金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

標題: 你必須學(xué)習掌握的病毒知識 [打印本頁(yè)]

作者: tianshiren    時(shí)間: 2008-11-4 00:56
標題: 你必須學(xué)習掌握的病毒知識
1.經(jīng)常死機:病毒打開(kāi)了許多文件或占用了大量?jì)却;不穩定(如內存質(zhì)量差,硬件超頻性能差等);運行了大容量的軟件占用了大量的內存和磁盤(pán)空間;使用了一些測試軟件(有許多BUG);硬盤(pán)空間不夠等等;運行網(wǎng)絡(luò )上的軟件時(shí)經(jīng)常死機也許是由于網(wǎng)絡(luò )速度太慢,所運行的程序太大,或者自己的工作站硬件配置太低。

  2.系統無(wú)法啟動(dòng):病毒修改了硬盤(pán)的引導信息,或刪除了某些啟動(dòng)文件。如引導型病毒引導文件損壞;硬盤(pán)損壞或參數設置不正確;系統文件人為地誤刪除等。

  3.文件打不開(kāi):病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬盤(pán)損壞;文件快捷方式對應的鏈接位置發(fā)生了變化;原來(lái)編輯文件的軟件刪除了;如果是在局域網(wǎng)中多表現為服務(wù)器中文件存放位置發(fā)生了變化,而工作站沒(méi)有及時(shí)涮新服器的內容(長(cháng)時(shí)間打開(kāi)了資源管理器)。

  4.經(jīng)常報告內存不夠:病毒非法占用了大量?jì)却;打開(kāi)了大量的軟件;運行了需內存資源的軟件;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。

  5.提示硬盤(pán)空間不夠:病毒復制了大量的病毒文件(這個(gè)遇到過(guò)好幾例,有時(shí)好端端的近10G硬盤(pán)安裝了一個(gè)WIN98或WINNT4.0系統就說(shuō)沒(méi)空間了,一安裝軟件就提示硬盤(pán)空間不夠。硬盤(pán)每個(gè)分區容量太;安裝了大量的大容量軟件;所有軟件都集中安裝在一個(gè)分區之中;硬盤(pán)本身就;如果是在局域網(wǎng)中系統管理員為每個(gè)用戶(hù)設置了工作站用戶(hù)的“私人盤(pán)”使用空間限制,因查看的是整個(gè)網(wǎng)絡(luò )盤(pán)的大小,其實(shí)“私人盤(pán)”上容量已用完了。

  6.軟盤(pán)等設備未訪(fǎng)問(wèn)時(shí)出讀寫(xiě)信號:病毒感染;軟盤(pán)取走了還在打開(kāi)曾經(jīng)在軟盤(pán)中打開(kāi)過(guò)的文件。

  7.出現大量來(lái)歷不明的文件:病毒復制文件;可能是一些軟件安裝中產(chǎn)生的臨時(shí)文件;也或許是一些軟件的配置信息及運行記錄。

  8.啟動(dòng)黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價(jià),那天我第一次開(kāi)機到了Windows畫(huà)面就死機了,第二次再開(kāi)機就什么也沒(méi)有了);顯示器故障;顯示卡故障;主板故障;超頻過(guò)度;CPU損壞等等

  9.數據丟失:病毒刪除了文件;硬盤(pán)扇區損壞;因恢復文件而覆蓋原文件;如果是在網(wǎng)絡(luò )上的文件,也可能是由于其它用戶(hù)誤刪除了。

  10.鍵盤(pán)或鼠標無(wú)端地鎖死:病毒作怪,特別要留意“木馬”;鍵盤(pán)或鼠標損壞;主板上鍵盤(pán)或鼠標接口損壞;運行了某個(gè)鍵盤(pán)或鼠標鎖定程序,所運行的程序太大,長(cháng)時(shí)間系統很忙,表現出按鍵盤(pán)或鼠標不起作用。

  11.系統運行速度慢:病毒占用了內存和CPU資源,在后臺運行了大量非法操作;硬件配置低;打開(kāi)的程序太多或太大;系統配置不正確;如果是運行網(wǎng)絡(luò )上的程序時(shí)多數是由于你的機器配置太低造成,也有可能是此時(shí)網(wǎng)路上正忙,有許多用戶(hù)同時(shí)打開(kāi)一個(gè)程序;還有一種可能就是你的硬盤(pán)空間不夠用來(lái)運行程序時(shí)作臨時(shí)交換數據用。

  12.系統自動(dòng)執行操作:病毒在后臺執行非法操作;用戶(hù)在注冊表或啟動(dòng)組中設置了有關(guān)程序的自動(dòng)運行;某些軟件安裝或升級后需自動(dòng)重啟系統。

  通過(guò)以上的分析對比,我們知道其實(shí)大多數故障都可能是由于人為或軟、硬件故障造成的,當我們發(fā)現異常后不要急于下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特征,排除軟、硬件及人為的可能性。

  要真正地識別病毒,及時(shí)的查殺病毒,我們還有必要對病毒有一番較詳細的了解,而且越詳細越好!

  病毒因為由眾多分散的個(gè)人或組織單獨編寫(xiě),也沒(méi)有一個(gè)標準去衡量、去劃分,所以病毒的分類(lèi)可按多個(gè)角度大體去分。

如按傳染對象來(lái)分,病毒可以劃分為以下幾類(lèi):

  a、引導型病毒

  這類(lèi)病毒攻擊的對象就是磁盤(pán)的引導扇區,這樣就能使系統在啟動(dòng)時(shí)獲得優(yōu)先的執行權,從而達到控制整個(gè)系統的目的,這類(lèi)病毒因為感染的是引導扇區,所以造成的損失也就比較大,一般來(lái)說(shuō)會(huì )造成系統無(wú)法正常啟動(dòng),但查殺這類(lèi)病毒也較容易,多數殺毒軟件都能查殺這類(lèi)病毒,如KV300、KILL系列等。

  b、文件型病毒

  早期的這類(lèi)病毒一般是感染以exe、com等為擴展名的可執行文件,這樣的話(huà)當你執行某個(gè)可執行文件時(shí)病毒程序就跟著(zhù)激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件,因為這些文件通常是某程序的配置、鏈接文件,所以執行某程序時(shí)病毒也就自動(dòng)被子加載了。它們加載的方法是通過(guò)安裝病毒代碼整段落或分散安裝到這些文件的空白字節中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染后通常文件的字節數并不見(jiàn)增加,這就是它的隱蔽性的一面。

  c、網(wǎng)絡(luò )型病毒

  這種病毒是近幾來(lái)網(wǎng)絡(luò )的高速發(fā)展的產(chǎn)物,感染的對象不再局限于單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽,F在一些網(wǎng)絡(luò )型病毒幾乎可以對所有的OFFICE文件進(jìn)行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改文件到現在進(jìn)行文件加密、竊取用戶(hù)有用信息(如黑客程序)等,傳播的途經(jīng)也發(fā)生了質(zhì)的飛躍,不再局限磁盤(pán),而是通過(guò)更加隱蔽的網(wǎng)絡(luò )進(jìn)行,如電子郵件、電子廣告等。

  d、復合型病毒

  把它歸為“復合型病毒”,是因為它們同時(shí)具備了“引導型”和“文件型”病毒的某些特點(diǎn),它們即可以感染磁盤(pán)的引導扇區文件,也可以感染某此可執行文件,如果沒(méi)有對這類(lèi)病毒進(jìn)行全面的清除,則殘留病毒可自我恢復,還會(huì )造成引導扇區文件和可執行文件的感染,所以這類(lèi)病毒查殺難度極大,所用的殺毒軟件要同時(shí)具備查殺兩類(lèi)病毒的功能。

  如果按病毒的破壞程度來(lái)分,我們又可以將病毒劃分為以下幾種:

  a、良性病毒:

  這些病毒之所以把它們稱(chēng)之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發(fā)燒友想測試一下自己的開(kāi)發(fā)病毒程序的水平。它們并不想破壞你的系統,只是發(fā)出某種聲音,或出現一些提示,除了占用一定的硬盤(pán)空間和CPU處理時(shí)間外別無(wú)其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊信息,如密碼、IP地址等,以備有需要時(shí)用。

  b、惡性病毒

  我們把只對軟件系統造成干擾、竊取信息、修改系統信息,不會(huì )造成硬件損壞、數據丟失等嚴重后果的病毒歸之為“惡性病毒”,這類(lèi)病毒入侵后系統除了不能正常使用之外,別無(wú)其它損失,系統損壞后一般只需要重裝系統的某個(gè)部分文件后即可恢復,當然還是要殺掉這些病毒之后重裝系統。

  c、極惡性病毒

  這類(lèi)病毒比上述b類(lèi)病毒損壞的程度又要大些,一般如果是感染上這類(lèi)病毒你的系統就要徹底崩潰,根本無(wú)法正常啟動(dòng),你保分留在硬盤(pán)中的有用數據也可能隨之不能獲取,輕一點(diǎn)的還只是刪除系統文件和應用程序等。

  d、災難性病毒

  這類(lèi)病毒從它的名字我們就可以知道它會(huì )給我們帶來(lái)的破壞程度,這類(lèi)病毒一般是破壞磁盤(pán)的引導扇區文件、修改文件分配表和硬盤(pán)分區表,造成系統根本無(wú)法啟動(dòng),有時(shí)甚至會(huì )格式化或鎖死你的硬盤(pán),使你無(wú)法使用硬盤(pán)。如果一旦染上這類(lèi)病毒,你的系統就很難恢復了,保留在硬盤(pán)中的數據也就很難獲取了,所造成的損失是非常巨大的,所以我們進(jìn)化論什么時(shí)候應作好最壞的打算,特別是針對企業(yè)用戶(hù),應充分作好災難性備份,還好現在大多數大型企業(yè)都已認識到備份的意義所在,花巨資在每天的系統和數據備份上,雖然大家都知道或許幾年也不可能遇到過(guò)這樣災難性的后果,但是還是放松這“萬(wàn)一”。我所在的雀巢就是這樣,而且還非常重視這個(gè)問(wèn)題。如98年4.26發(fā)作的CIH病毒就可劃歸此類(lèi),因為它不僅對軟件造成破壞,更直接對硬盤(pán)、主板的BIOS等硬件造成破壞。

如按病毒的入侵的方式來(lái)分為以下幾種:

  a、源代碼嵌入攻擊型

  從它的名字我們就知道這類(lèi)病毒入侵的主要是高級語(yǔ)言的源程序,病毒是在源程序編譯之前安裝病毒代碼,最后隨源程序一起被編譯成可執行文件,這樣剛生成的文件就是帶毒文件。當然這類(lèi)文件是極少數,因為這些病毒開(kāi)發(fā)者不可能輕易得到那些軟件開(kāi)發(fā)公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專(zhuān)業(yè)的編程水平。

  b、代碼取代攻擊型

  這類(lèi)病毒主要是用它自身的病毒代碼取代某個(gè)入侵程序的整個(gè)或部分模塊,這類(lèi)病毒也少見(jiàn),它主要是攻擊特定的程序,針對性較強,但是不易被發(fā)現,清除起來(lái)也較困難。

  c、系統修改型

  這類(lèi)病毒主要是用自身程序覆蓋或修改系統中的某些文件來(lái)達到調用或替代操作系統中的部分功能,由于是直接感染系統,危害較大,也是最為多見(jiàn)的一種病毒類(lèi)型,多為文件型病毒。

  d、外殼附加型

  這類(lèi)病毒通常是將其病毒附加在正常程序的頭部或尾部,相當于給程序添加了一個(gè)外殼,在被感染的程序執行時(shí),病毒代碼先被執行,然后才將正常程序調入內存。目前大多數文件型的病毒屬于這一類(lèi)。

  有了病毒的一些基本知識后現在我們就可以來(lái)檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個(gè)方法來(lái)判斷。

  1、反病毒軟件的掃描法

  這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類(lèi)是越來(lái)越多,隱蔽的手段也越來(lái)越高明,所以給查殺病毒帶來(lái)了新的難度,也給反病毒軟件開(kāi)發(fā)商帶來(lái)挑戰。但隨著(zhù)計算機程序開(kāi)發(fā)語(yǔ)言的技術(shù)性提高、計算機網(wǎng)絡(luò )越來(lái)越普及,病毒的開(kāi)發(fā)和傳播是越來(lái)越容易了,因而反病毒軟件開(kāi)發(fā)公司也是越來(lái)越多了。但目前比較有名的還是那么幾個(gè)系統的反病毒軟件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至于這些反病毒軟件的使用在此就不必說(shuō)敘了,我相信大家都有這個(gè)水平!

  2、觀(guān)察法

  這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準確地觀(guān)察到。如硬盤(pán)引導時(shí)經(jīng)常出現死機、系統引導時(shí)間較長(cháng)、運行速度很慢、不能訪(fǎng)問(wèn)硬盤(pán)、出現特殊的聲音或提示等上述在第一大點(diǎn)中出現的故障時(shí),我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬件出現故障同樣也可能出現那些癥狀嘛!對于如屬病毒引起的我們可以從以下幾個(gè)方面來(lái)觀(guān)察:

  a、內存觀(guān)察

  這一方法一般用在DOS下發(fā)現的病毒,我們可用DOS下的“mem/c/p”命令來(lái)查看各程序占用內存的情況,從中發(fā)現病毒占用內存的情況(一般不單獨占用,而是依附在其它程序之中),有的病毒占用內存也比較隱蔽,用“mem/c/p”發(fā)現不了它,但可以看到總的基本內存640K之中少了那么區區1k或幾K。

  b、注冊表觀(guān)察法

  這類(lèi)方法一般適用于近來(lái)出現的所謂黑客程序,如木馬程序,這些病毒一般是通過(guò)修改注冊表中的啟動(dòng)、加載配置來(lái)達到自動(dòng)啟動(dòng)或加載的,一般是在如下幾個(gè)地方實(shí)現:

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

  c、系統配置文件觀(guān)察法

  這類(lèi)方法一般也是適用于黑客類(lèi)程序,這類(lèi)病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動(dòng)組中,在system.ini文件中有一個(gè)"shell=”項,而在wini.ini文件中有“l(fā)oad= ”、“run= ”項,這些病毒一般就是在這些項目中加載它們自身的程序的,注意有時(shí)是修改原有的某個(gè)程序。我們可以運行Win9x/WinME中的msconfig.exe程序來(lái)一項一項查看。

  d、特征字符串觀(guān)察法

  這種方法主要是針對一些較特別的病毒,這些病毒入侵時(shí)會(huì )寫(xiě)相應的特征代碼,如CIH病毒就會(huì )在入侵的文件中寫(xiě)入“CIH”這樣的字符串,當然我們不可能輕易地發(fā)現,我們可以對主要的系統文件(如Explorer.exe)運用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現,當然編輯之前最好還要要備份,畢竟是主要系統文件。

  e、硬盤(pán)空間觀(guān)察法

  有些病毒不會(huì )破壞你的系統文件,而僅是生成一個(gè)隱藏的文件,這個(gè)文件一般內容很少,但所占硬盤(pán)空間很大,有時(shí)大得讓你的硬盤(pán)無(wú)法運行一般的程序,但是你查又看不到它,這時(shí)我們就要打開(kāi)資源管理器,然后把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來(lái)說(shuō)吧?),相信這個(gè)龐然大物一定會(huì )到時(shí)顯形的,因為病毒一般把它設置成隱藏屬性的。到時(shí)刪除它即可,這方面的例子在我進(jìn)行電腦網(wǎng)絡(luò )維護和個(gè)人電腦維修過(guò)程中見(jiàn)到幾例,明明只安裝了幾個(gè)常用程序,為什么在C盤(pán)之中幾個(gè)G的硬盤(pán)空間顯示就沒(méi)有了,經(jīng)過(guò)上述方法一般能很快地讓病毒顯形的。
作者: sftstt    時(shí)間: 2008-11-5 13:42
haodongdong
作者: windows3031    時(shí)間: 2008-11-22 11:54
學(xué)習了。。。頂你個(gè)肺。。。
作者: qingfengedu    時(shí)間: 2009-1-15 18:54
學(xué)習了
作者: xuli16688    時(shí)間: 2009-2-4 22:55
好象不咋的,呵呵
作者: hudaohai    時(shí)間: 2009-2-17 13:36
呵呵學(xué)習中
作者: nconline    時(shí)間: 2009-4-15 17:18
看看了
作者: qingfengedu    時(shí)間: 2009-4-21 18:47
學(xué)習了
作者: qingfengedu    時(shí)間: 2009-4-21 18:47
學(xué)習了
作者: qbstzlx    時(shí)間: 2009-4-26 11:27
學(xué)習了,謝謝!
作者: 永夜の愿    時(shí)間: 2009-5-5 03:03
還是先學(xué)學(xué)怎么養成好習慣的上網(wǎng)方式吧.
作者: w282821935    時(shí)間: 2009-5-5 20:32
領(lǐng)教了!
作者: longweicai    時(shí)間: 2009-5-13 22:20
好,好好學(xué)習一翻
作者: yuewenfu    時(shí)間: 2009-5-19 18:27
挺好的,就是能不能說(shuō)的再詳細點(diǎn),比如舉個(gè)例子,這樣像我這些菜鳥(niǎo)就能看懂理解了。
作者: syd2006    時(shí)間: 2009-5-19 19:18
學(xué)習了,謝謝!
作者: 寄生蜂    時(shí)間: 2009-5-20 22:40
好基礎的東東,不錯不錯
作者: 674339735    時(shí)間: 2009-5-24 13:48
很好。!




歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/) Powered by Discuz! X3.4
抚宁县| 锡林郭勒盟| 璧山县| 平南县| 禹州市| 张北县| 织金县| 法库县| 罗江县| 且末县| 庄河市| 松江区| 龙江县| 浦东新区| 明光市| 巴彦淖尔市| 太仆寺旗| 客服| 罗江县| 鄂托克旗| 大理市| 六安市| 镇远县| 荃湾区| 正蓝旗| 九台市| 桐乡市| 都昌县| 颍上县| 盘山县| 陵水| 珠海市| 潜山县| 佛学| 济阳县| 神木县| 仪征市| 岳阳县| 惠州市| 芜湖县| 高密市|