由於計算機技術的迅速發展,計算機病毒技術也會迅速發展。反病毒技術也必須迅速發展。從而遏制計算機病毒給人們帶來的危害。不論計算機技術怎樣發展,它的核心技術離不開硬體的技術發展。計算機硬體組成的實質技術不會有很大變化。即儲存程式工作原理:馮諾依曼計算機結構原理。從計算機病毒技術的發展可以看到,他們都是利用了計算機介面技術中的問題,大做文章。例如,利用鍵盤介面實施對鍵盤的封鎖,使使用者不能正常使用鍵盤。利用中斷控制器、DMA控制器、網路控制器等介面電路,遮蔽某些埠操作,使其掛在其上的外設不能工作或不能正常工作。例如:干擾資料的正常儲存、正常傳遞等操作。其手段多種多樣,五花八門,無奇不有。從上述分析可以看到,製作計算機病毒的人員,他們正是利用了對計算機介面電路的弱點,實施對計算機的各種攻擊。因此,建立計算機病毒資料庫,對利用計算機介面電路中的埠,進行各種非法操作的資料進行分析、挖掘、歸類、整理,針對各種操作進行檢測、監視、跟蹤,及時遏制、消除或清除這些非法操作,使計算機能正常地工作,保證計算機資訊的安全可靠。
對計算機病毒資料庫資料的建立和挖掘,是一件極其複雜的工作。它涉及到計算機系統的每一個環節,內容廣泛,知識面寬。因此,分類挖掘才是有效的工作途徑。對病毒資料庫資料的挖掘應從以下幾個方面進行:
對各種外設介面中的埠操作,進行分類挖掘。比如:對中斷控制器的資料探勘,對鍵盤、印表機進行操作資料的挖掘;對資料傳遞操作的挖掘;對DMA控制器的資料探勘;對網路介面卡、8251A序列介面的資料探勘,等等。例如:在8086系統中,使用一片8259A中斷控制器介面晶片,對8259A中斷控制器介面電路中的資料探勘,進行資料分析和提取。在中斷控制器介面電路上連線有時鐘定時器、鍵盤、序列通訊介面、硬磁碟、軟磁碟、印表機等裝置。8259A晶片在系統中的埠地址為20H、21H。8259A中斷控制器的IR1端連線鍵盤裝置。對鍵盤裝置的操作可以是開放和遮蔽。正常情況下,對鍵盤操作是出於開放狀態,即當使用鍵盤裝置,從鍵盤上按下一個鍵時,鍵盤裝置就向中斷控制器發出請求,中斷控制器接收到鍵盤裝置發來的請求訊號後,即向CPU發中斷請求訊號,請求CPU為之服務。CPU接收到中斷請求訊號,經判別後,會立即向中斷控制器發出回答響應訊號,中斷正在執行的.程式,轉向執行中斷服務程式。當鍵盤服務程式執行完畢後,返回斷點繼續執行主程式。相反,若中斷控制器的暫存器相應位出於遮蔽狀態,即使使用了鍵盤裝置,從鍵盤裝置按下了一個鍵,因為鍵盤裝置發出的請求已被遮蔽,中斷控制器則不能把請求訊號傳送給CPU。所以,CPU也就不能為鍵盤裝置服務。好像計算機系統中沒有鍵盤這個裝置。使用者也就使用不了鍵盤裝置了。計算機系統在啟動時,已對各個介面電路作了初始化工作,所以系統裝置都處於開放狀態,使用者隨時可以使用計算機系統中的各個裝置。為了解中斷控制器中連線的裝置是否出於開放或遮蔽狀態,只要瞭解中斷控制器的暫存器的狀態就可以知道是否是開放或遮蔽狀態。該位為0,處於開放狀態,該位為1,處於遮蔽狀態。同理,檢測序列口、硬磁碟、印表機等裝置,是否處於遮蔽狀態。我們把中斷遮蔽暫存器中的狀態資料放在一個庫中,在某一時刻,讀取中斷控制器中的遮蔽暫存器中的狀態資料,若與庫中的資料相吻合,說明該裝置進行了遮蔽操作。因此,該裝置不能正常使用。若要正常使用鍵盤裝置,只須將遮蔽暫存器的第一位置0就可以了。經綜合分析知道,遮蔽暫存器被遮蔽的資料為01H~FFH。被遮蔽的裝置最多為8個。通過檢測,就知道哪個裝置或哪幾個裝置請求被遮蔽。對於計算機系統中有多片級連方式的中斷控制器,它所連線的外設會更多一些,原理是相同的,只是每一塊控制器晶片的埠地址不一樣,它所連線的裝置有所不同。再就是多片中斷控制器級連時主從關係,應該特別注意。
以上方面的操作,基本包含了對各種資料的挖掘。通過對各類資料探勘,使檢測病毒資料有了可靠的依據。即使有新病毒的出現,也能夠及時檢測、發現、防範、遮蔽、或消除直至清除之。這樣,就保證了計算機系統工作的安全、可靠。另外,需要說明的是,建立計算機病毒資料庫的工作,是一件龐大而且複雜的工程,需要一個團隊的合作與分工才能完成。並且使資料庫中的資料不斷的增加和更新,才能跟蹤計算機技術的新發展,滿足計算機資訊保安工作的需要。