|
|
馬上注冊����,結交更多好友���,享用更多功能���。
您需要 登錄 才可以下載或查看�����,沒(méi)有帳號�?注冊
x
1.經(jīng)常死機:病毒打開(kāi)了許多文件或占用了大量內存���;不穩定(如內存質(zhì)量差���,硬件超頻性能差等)�����;運行了大容量的軟件占用了大量的內存和磁盤(pán)空間���;使用了一些測試軟件(有許多BUG)����;硬盤(pán)空間不夠等等����;運行網(wǎng)絡(luò )上的軟件時(shí)經(jīng)常死機也許是由于網(wǎng)絡(luò )速度太慢���,所運行的程序太大��,或者自己的工作站硬件配置太低���。
2.系統無(wú)法啟動(dòng):病毒修改了硬盤(pán)的引導信息�����,或刪除了某些啟動(dòng)文件��。如引導型病毒引導文件損壞�;硬盤(pán)損壞或參數設置不正確�����;系統文件人為地誤刪除等����。
3.文件打不開(kāi):病毒修改了文件格式���;病毒修改了文件鏈接位置��。文件損壞���;硬盤(pán)損壞�;文件快捷方式對應的鏈接位置發(fā)生了變化��;原來(lái)編輯文件的軟件刪除了����;如果是在局域網(wǎng)中多表現為服務(wù)器中文件存放位置發(fā)生了變化�,而工作站沒(méi)有及時(shí)涮新服器的內容(長(cháng)時(shí)間打開(kāi)了資源管理器)�����。
4.經(jīng)常報告內存不夠:病毒非法占用了大量?jì)却���;打開(kāi)了大量的軟件�����;運行了需內存資源的軟件�;系統配置不正確����;內存本就不夠(目前基本內存要求為128M)等����。
5.提示硬盤(pán)空間不夠:病毒復制了大量的病毒文件(這個(gè)遇到過(guò)好幾例�,有時(shí)好端端的近10G硬盤(pán)安裝了一個(gè)WIN98或WINNT4.0系統就說(shuō)沒(méi)空間了�����,一安裝軟件就提示硬盤(pán)空間不夠��。硬盤(pán)每個(gè)分區容量太��������;安裝了大量的大容量軟件���;所有軟件都集中安裝在一個(gè)分區之中�����;硬盤(pán)本身就�������;如果是在局域網(wǎng)中系統管理員為每個(gè)用戶(hù)設置了工作站用戶(hù)的“私人盤(pán)”使用空間限制�����,因查看的是整個(gè)網(wǎng)絡(luò )盤(pán)的大小�����,其實(shí)“私人盤(pán)”上容量已用完了�����。
6.軟盤(pán)等設備未訪(fǎng)問(wèn)時(shí)出讀寫(xiě)信號:病毒感染��;軟盤(pán)取走了還在打開(kāi)曾經(jīng)在軟盤(pán)中打開(kāi)過(guò)的文件��。
7.出現大量來(lái)歷不明的文件:病毒復制文件����;可能是一些軟件安裝中產(chǎn)生的臨時(shí)文件�����;也或許是一些軟件的配置信息及運行記錄�����。
8.啟動(dòng)黑屏:病毒感染(記得最深的是98年的4.26�����,我為CIH付出了好幾千元的代價(jià)�,那天我第一次開(kāi)機到了Windows畫(huà)面就死機了�,第二次再開(kāi)機就什么也沒(méi)有了)����;顯示器故障�;顯示卡故障��;主板故障�;超頻過(guò)度����;CPU損壞等等
9.數據丟失:病毒刪除了文件����;硬盤(pán)扇區損壞�����;因恢復文件而覆蓋原文件����;如果是在網(wǎng)絡(luò )上的文件���,也可能是由于其它用戶(hù)誤刪除了�。
10.鍵盤(pán)或鼠標無(wú)端地鎖死:病毒作怪����,特別要留意“木馬”�����;鍵盤(pán)或鼠標損壞���;主板上鍵盤(pán)或鼠標接口損壞���;運行了某個(gè)鍵盤(pán)或鼠標鎖定程序���,所運行的程序太大�,長(cháng)時(shí)間系統很忙����,表現出按鍵盤(pán)或鼠標不起作用��。
11.系統運行速度慢:病毒占用了內存和CPU資源����,在后臺運行了大量非法操作�;硬件配置低��;打開(kāi)的程序太多或太大�;系統配置不正確�;如果是運行網(wǎng)絡(luò )上的程序時(shí)多數是由于你的機器配置太低造成��,也有可能是此時(shí)網(wǎng)路上正忙���,有許多用戶(hù)同時(shí)打開(kāi)一個(gè)程序�;還有一種可能就是你的硬盤(pán)空間不夠用來(lái)運行程序時(shí)作臨時(shí)交換數據用�。
12.系統自動(dòng)執行操作:病毒在后臺執行非法操作����;用戶(hù)在注冊表或啟動(dòng)組中設置了有關(guān)程序的自動(dòng)運行���;某些軟件安裝或升級后需自動(dòng)重啟系統����。
通過(guò)以上的分析對比�,我們知道其實(shí)大多數故障都可能是由于人為或軟����、硬件故障造成的���,當我們發(fā)現異常后不要急于下斷言���,在殺毒還不能解決的情況下��,應仔細分析故障的特征�,排除軟��、硬件及人為的可能性���。
要真正地識別病毒���,及時(shí)的查殺病毒����,我們還有必要對病毒有一番較詳細的了解�����,而且越詳細越好��!
病毒因為由眾多分散的個(gè)人或組織單獨編寫(xiě)�,也沒(méi)有一個(gè)標準去衡量����、去劃分�����,所以病毒的分類(lèi)可按多個(gè)角度大體去分�。
如按傳染對象來(lái)分���,病毒可以劃分為以下幾類(lèi):
a����、引導型病毒
這類(lèi)病毒攻擊的對象就是磁盤(pán)的引導扇區�����,這樣就能使系統在啟動(dòng)時(shí)獲得優(yōu)先的執行權����,從而達到控制整個(gè)系統的目的���,這類(lèi)病毒因為感染的是引導扇區�,所以造成的損失也就比較大�����,一般來(lái)說(shuō)會(huì )造成系統無(wú)法正常啟動(dòng)�����,但查殺這類(lèi)病毒也較容易����,多數殺毒軟件都能查殺這類(lèi)病毒����,如KV300����、KILL系列等���。
b���、文件型病毒
早期的這類(lèi)病毒一般是感染以exe���、com等為擴展名的可執行文件����,這樣的話(huà)當你執行某個(gè)可執行文件時(shí)病毒程序就跟著(zhù)激活���。近期也有一些病毒感染以dll��、ovl����、sys等為擴展名的文件���,因為這些文件通常是某程序的配置����、鏈接文件��,所以執行某程序時(shí)病毒也就自動(dòng)被子加載了�����。它們加載的方法是通過(guò)安裝病毒代碼整段落或分散安裝到這些文件的空白字節中�,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中���,感染后通常文件的字節數并不見(jiàn)增加����,這就是它的隱蔽性的一面����。
c���、網(wǎng)絡(luò )型病毒
這種病毒是近幾來(lái)網(wǎng)絡(luò )的高速發(fā)展的產(chǎn)物�,感染的對象不再局限于單一的模式和單一的可執行文件���,而是更加綜合�、更加隱蔽�,F在一些網(wǎng)絡(luò )型病毒幾乎可以對所有的OFFICE文件進(jìn)行感染�,如WORD���、EXCEL���、電子郵件等�����。其攻擊方式也有轉變��,從原始的刪除�����、修改文件到現在進(jìn)行文件加密���、竊取用戶(hù)有用信息(如黑客程序)等���,傳播的途經(jīng)也發(fā)生了質(zhì)的飛躍�����,不再局限磁盤(pán)���,而是通過(guò)更加隱蔽的網(wǎng)絡(luò )進(jìn)行����,如電子郵件�、電子廣告等�。
d�、復合型病毒
把它歸為“復合型病毒”���,是因為它們同時(shí)具備了“引導型”和“文件型”病毒的某些特點(diǎn)���,它們即可以感染磁盤(pán)的引導扇區文件��,也可以感染某此可執行文件����,如果沒(méi)有對這類(lèi)病毒進(jìn)行全面的清除�,則殘留病毒可自我恢復�,還會(huì )造成引導扇區文件和可執行文件的感染��,所以這類(lèi)病毒查殺難度極大����,所用的殺毒軟件要同時(shí)具備查殺兩類(lèi)病毒的功能���。
如果按病毒的破壞程度來(lái)分���,我們又可以將病毒劃分為以下幾種:
a��、良性病毒:
這些病毒之所以把它們稱(chēng)之為良性病毒����,是因為它們入侵的目的不是破壞你的系統��,只是想玩一玩而已�����,多數是一些初級病毒發(fā)燒友想測試一下自己的開(kāi)發(fā)病毒程序的水平�����。它們并不想破壞你的系統�����,只是發(fā)出某種聲音��,或出現一些提示����,除了占用一定的硬盤(pán)空間和CPU處理時(shí)間外別無(wú)其它壞處���。如一些木馬病毒程序也是這樣��,只是想竊取你電腦中的一些通訊信息�,如密碼��、IP地址等��,以備有需要時(shí)用���。
b���、惡性病毒
我們把只對軟件系統造成干擾�、竊取信息��、修改系統信息��,不會(huì )造成硬件損壞�����、數據丟失等嚴重后果的病毒歸之為“惡性病毒”�,這類(lèi)病毒入侵后系統除了不能正常使用之外�����,別無(wú)其它損失�,系統損壞后一般只需要重裝系統的某個(gè)部分文件后即可恢復�,當然還是要殺掉這些病毒之后重裝系統���。
c���、極惡性病毒
這類(lèi)病毒比上述b類(lèi)病毒損壞的程度又要大些���,一般如果是感染上這類(lèi)病毒你的系統就要徹底崩潰��,根本無(wú)法正常啟動(dòng)���,你保分留在硬盤(pán)中的有用數據也可能隨之不能獲取����,輕一點(diǎn)的還只是刪除系統文件和應用程序等�����。
d���、災難性病毒
這類(lèi)病毒從它的名字我們就可以知道它會(huì )給我們帶來(lái)的破壞程度���,這類(lèi)病毒一般是破壞磁盤(pán)的引導扇區文件�、修改文件分配表和硬盤(pán)分區表���,造成系統根本無(wú)法啟動(dòng)�����,有時(shí)甚至會(huì )格式化或鎖死你的硬盤(pán)�����,使你無(wú)法使用硬盤(pán)���。如果一旦染上這類(lèi)病毒��,你的系統就很難恢復了����,保留在硬盤(pán)中的數據也就很難獲取了����,所造成的損失是非常巨大的��,所以我們進(jìn)化論什么時(shí)候應作好最壞的打算����,特別是針對企業(yè)用戶(hù)�����,應充分作好災難性備份����,還好現在大多數大型企業(yè)都已認識到備份的意義所在�,花巨資在每天的系統和數據備份上�,雖然大家都知道或許幾年也不可能遇到過(guò)這樣災難性的后果����,但是還是放松這“萬(wàn)一”����。我所在的雀巢就是這樣����,而且還非常重視這個(gè)問(wèn)題�。如98年4.26發(fā)作的CIH病毒就可劃歸此類(lèi)�,因為它不僅對軟件造成破壞���,更直接對硬盤(pán)����、主板的BIOS等硬件造成破壞��。
如按病毒的入侵的方式來(lái)分為以下幾種:
a�、源代碼嵌入攻擊型
從它的名字我們就知道這類(lèi)病毒入侵的主要是高級語(yǔ)言的源程序����,病毒是在源程序編譯之前安裝病毒代碼�,最后隨源程序一起被編譯成可執行文件�,這樣剛生成的文件就是帶毒文件��。當然這類(lèi)文件是極少數�����,因為這些病毒開(kāi)發(fā)者不可能輕易得到那些軟件開(kāi)發(fā)公司編譯前的源程序�,況且這種入侵的方式難度較大�,需要非常專(zhuān)業(yè)的編程水平����。
b���、代碼取代攻擊型
這類(lèi)病毒主要是用它自身的病毒代碼取代某個(gè)入侵程序的整個(gè)或部分模塊��,這類(lèi)病毒也少見(jiàn)����,它主要是攻擊特定的程序�,針對性較強����,但是不易被發(fā)現�,清除起來(lái)也較困難����。
c�、系統修改型
這類(lèi)病毒主要是用自身程序覆蓋或修改系統中的某些文件來(lái)達到調用或替代操作系統中的部分功能�����,由于是直接感染系統��,危害較大��,也是最為多見(jiàn)的一種病毒類(lèi)型��,多為文件型病毒���。
d�、外殼附加型
這類(lèi)病毒通常是將其病毒附加在正常程序的頭部或尾部��,相當于給程序添加了一個(gè)外殼����,在被感染的程序執行時(shí)����,病毒代碼先被執行�����,然后才將正常程序調入內存����。目前大多數文件型的病毒屬于這一類(lèi)���。
有了病毒的一些基本知識后現在我們就可以來(lái)檢查你的電腦中是否含有病毒�,要知道這些我們可以按以下幾個(gè)方法來(lái)判斷���。
1�、反病毒軟件的掃描法
這恐怕是我們絕大數朋友首選��,也恐怕是唯一的選擇���,現在病毒種類(lèi)是越來(lái)越多�,隱蔽的手段也越來(lái)越高明�,所以給查殺病毒帶來(lái)了新的難度�����,也給反病毒軟件開(kāi)發(fā)商帶來(lái)挑戰�。但隨著(zhù)計算機程序開(kāi)發(fā)語(yǔ)言的技術(shù)性提高��、計算機網(wǎng)絡(luò )越來(lái)越普及���,病毒的開(kāi)發(fā)和傳播是越來(lái)越容易了�����,因而反病毒軟件開(kāi)發(fā)公司也是越來(lái)越多了���。但目前比較有名的還是那么幾個(gè)系統的反病毒軟件��,如金山毒霸��、KV300��、KILL�����、PC-cillin���、VRV���、瑞星���、諾頓等����。至于這些反病毒軟件的使用在此就不必說(shuō)敘了�,我相信大家都有這個(gè)水平���!
2�、觀(guān)察法
這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準確地觀(guān)察到�。如硬盤(pán)引導時(shí)經(jīng)常出現死機���、系統引導時(shí)間較長(cháng)���、運行速度很慢����、不能訪(fǎng)問(wèn)硬盤(pán)���、出現特殊的聲音或提示等上述在第一大點(diǎn)中出現的故障時(shí)�,我們首先要考慮的是病毒在作怪��,但也不能一條胡洞走到底���,上面我不是講了軟�����、硬件出現故障同樣也可能出現那些癥狀嘛�����!對于如屬病毒引起的我們可以從以下幾個(gè)方面來(lái)觀(guān)察:
a��、內存觀(guān)察
這一方法一般用在DOS下發(fā)現的病毒�����,我們可用DOS下的“mem/c/p”命令來(lái)查看各程序占用內存的情況��,從中發(fā)現病毒占用內存的情況(一般不單獨占用����,而是依附在其它程序之中)���,有的病毒占用內存也比較隱蔽����,用“mem/c/p”發(fā)現不了它�,但可以看到總的基本內存640K之中少了那么區區1k或幾K�。
b�����、注冊表觀(guān)察法
這類(lèi)方法一般適用于近來(lái)出現的所謂黑客程序����,如木馬程序��,這些病毒一般是通過(guò)修改注冊表中的啟動(dòng)��、加載配置來(lái)達到自動(dòng)啟動(dòng)或加載的����,一般是在如下幾個(gè)地方實(shí)現:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
c����、系統配置文件觀(guān)察法
這類(lèi)方法一般也是適用于黑客類(lèi)程序��,這類(lèi)病毒一般在隱藏在system.ini �����、wini.ini(Win9x/WinME)和啟動(dòng)組中�,在system.ini文件中有一個(gè)"shell=”項�����,而在wini.ini文件中有“l(fā)oad= ”�����、“run= ”項���,這些病毒一般就是在這些項目中加載它們自身的程序的�����,注意有時(shí)是修改原有的某個(gè)程序�����。我們可以運行Win9x/WinME中的msconfig.exe程序來(lái)一項一項查看�����。
d����、特征字符串觀(guān)察法
這種方法主要是針對一些較特別的病毒�����,這些病毒入侵時(shí)會(huì )寫(xiě)相應的特征代碼���,如CIH病毒就會(huì )在入侵的文件中寫(xiě)入“CIH”這樣的字符串��,當然我們不可能輕易地發(fā)現�,我們可以對主要的系統文件(如Explorer.exe)運用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現��,當然編輯之前最好還要要備份���,畢竟是主要系統文件����。
e����、硬盤(pán)空間觀(guān)察法
有些病毒不會(huì )破壞你的系統文件�����,而僅是生成一個(gè)隱藏的文件�����,這個(gè)文件一般內容很少�����,但所占硬盤(pán)空間很大�����,有時(shí)大得讓你的硬盤(pán)無(wú)法運行一般的程序�,但是你查又看不到它�,這時(shí)我們就要打開(kāi)資源管理器���,然后把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來(lái)說(shuō)吧�?)�����,相信這個(gè)龐然大物一定會(huì )到時(shí)顯形的����,因為病毒一般把它設置成隱藏屬性的�����。到時(shí)刪除它即可�,這方面的例子在我進(jìn)行電腦網(wǎng)絡(luò )維護和個(gè)人電腦維修過(guò)程中見(jiàn)到幾例�,明明只安裝了幾個(gè)常用程序�,為什么在C盤(pán)之中幾個(gè)G的硬盤(pán)空間顯示就沒(méi)有了����,經(jīng)過(guò)上述方法一般能很快地讓病毒顯形的��。 |
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
呵呵學(xué)習中
