由於計算機技術的迅速發展,計算機病毒技術也會迅速發展。反病毒技術也必須迅速發展。從而遏制計算機病毒給人們帶來的危害。不論計算機技術怎樣發展,它的核心技術離不開硬件的技術發展。計算機硬件組成的實質技術不會有很大變化。即存儲程序工作原理:馮諾依曼計算機結構原理。從計算機病毒技術的發展可以看到,他們都是利用了計算機接口技術中的問題,大做文章。例如,利用鍵盤接口實施對鍵盤的封鎖,使用戶不能正常使用鍵盤。利用中斷控制器、DMA控制器、網絡控制器等接口電路,屏蔽某些端口操作,使其掛在其上的外設不能工作或不能正常工作。例如:干擾數據的正常存儲、正常傳遞等操作。其手段多種多樣,五花八門,無奇不有。從上述分析可以看到,製作計算機病毒的人員,他們正是利用了對計算機接口電路的弱點,實施對計算機的各種攻擊。因此,建立計算機病毒數據庫,對利用計算機接口電路中的端口,進行各種非法操作的數據進行分析、挖掘、歸類、整理,針對各種操作進行檢測、監視、跟蹤,及時遏制、消除或清除這些非法操作,使計算機能正常地工作,保證計算機信息的安全可靠。
對計算機病毒數據庫數據的建立和挖掘,是一件極其複雜的工作。它涉及到計算機系統的每一個環節,內容廣泛,知識面寬。因此,分類挖掘纔是有效的工作途徑。對病毒數據庫數據的挖掘應從以下幾個方面進行:
對各種外設接口中的端口操作,進行分類挖掘。比如:對中斷控制器的數據挖掘,對鍵盤、打印機進行操作數據的挖掘;對數據傳遞操作的挖掘;對DMA控制器的數據挖掘;對網絡適配器、8251A串行接口的數據挖掘,等等。例如:在8086系統中,使用一片8259A中斷控制器接口芯片,對8259A中斷控制器接口電路中的數據挖掘,進行數據分析和提取。在中斷控制器接口電路上連接有時鐘定時器、鍵盤、串行通信接口、硬磁盤、軟磁盤、打印機等設備。8259A芯片在系統中的端口地址爲20H、21H。8259A中斷控制器的IR1端連接鍵盤設備。對鍵盤設備的操作可以是開放和屏蔽。正常情況下,對鍵盤操作是出於開放狀態,即當使用鍵盤設備,從鍵盤上按下一個鍵時,鍵盤設備就向中斷控制器發出請求,中斷控制器接收到鍵盤設備發來的請求信號後,即向CPU發中斷請求信號,請求CPU爲之服務。CPU接收到中斷請求信號,經判別後,會立即向中斷控制器發出回答響應信號,中斷正在執行的.程序,轉向執行中斷服務程序。當鍵盤服務程序執行完畢後,返回斷點繼續執行主程序。相反,若中斷控制器的寄存器相應位出於屏蔽狀態,即使使用了鍵盤設備,從鍵盤設備按下了一個鍵,因爲鍵盤設備發出的請求已被屏蔽,中斷控制器則不能把請求信號發送給CPU。所以,CPU也就不能爲鍵盤設備服務。好像計算機系統中沒有鍵盤這個設備。用戶也就使用不了鍵盤設備了。計算機系統在啓動時,已對各個接口電路作了初始化工作,所以系統設備都處於開放狀態,用戶隨時可以使用計算機系統中的各個設備。爲了解中斷控制器中連接的設備是否出於開放或屏蔽狀態,只要瞭解中斷控制器的寄存器的狀態就可以知道是否是開放或屏蔽狀態。該位爲0,處於開放狀態,該位爲1,處於屏蔽狀態。同理,檢測串行口、硬磁盤、打印機等設備,是否處於屏蔽狀態。我們把中斷屏蔽寄存器中的狀態數據放在一個庫中,在某一時刻,讀取中斷控制器中的屏蔽寄存器中的狀態數據,若與庫中的數據相吻合,說明該設備進行了屏蔽操作。因此,該設備不能正常使用。若要正常使用鍵盤設備,只須將屏蔽寄存器的第一位置0就可以了。經綜合分析知道,屏蔽寄存器被屏蔽的數據爲01H~FFH。被屏蔽的設備最多爲8個。通過檢測,就知道哪個設備或哪幾個設備請求被屏蔽。對於計算機系統中有多片級連方式的中斷控制器,它所連接的外設會更多一些,原理是相同的,只是每一塊控制器芯片的端口地址不一樣,它所連接的設備有所不同。再就是多片中斷控制器級連時主從關係,應該特別注意。
以上方面的操作,基本包含了對各種數據的挖掘。通過對各類數據挖掘,使檢測病毒數據有了可靠的依據。即使有新病毒的出現,也能夠及時檢測、發現、防範、屏蔽、或消除直至清除之。這樣,就保證了計算機系統工作的安全、可靠。另外,需要說明的是,創建計算機病毒數據庫的工作,是一件龐大而且複雜的工程,需要一個團隊的合作與分工才能完成。並且使數據庫中的數據不斷的增加和更新,才能跟蹤計算機技術的新發展,滿足計算機信息安全工作的需要。