此内容来自ITPUB博客,给出了博客链接,强调转载需注明出处,否则将追究法律责任。
面临日益发达的互联网,每天都会担心自己的电脑是否被可怕的病毒缠上,特别是网络通讯的日益发达,使得病毒也拥有了更好的传播渠道。无论是超级菜鸟,还是经验丰富的技术工程师,面对病毒,无不“谈毒色变”!
虽然众多公司开发了各种各样的反病毒软件,但只有当新病毒出现后,杀毒软件并无法杀死该病毒,面对新出现的病毒,也只是傻傻的看。现在,我们不害怕反病毒软件能查出病毒,最害怕的应该是杀毒软件查不出病毒,但我们的机器不正常运转!我们充分了解病毒的知识后,应该具备能判断电脑是否中毒的基本常识。
一、病毒的基本知识
病毒,其实是一种程序,而且大部分病毒都具有一定的破坏能力,因此,病毒可以说是一种具有破坏作用的程序代码!由于病毒代码无任何规律可循,这使我们在防范病毒的时候有点难度。
我们要想准确判断电脑是否中毒,必须了解相关的病毒知识,还有曾经发作过的病毒特征。
1、病毒按照传染方式的分类:
现在的病毒,按照传染方式来分的话,可以分为以下几种:
①引导型病毒:这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如KV300、KILL系列等。
②文件型病毒:早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
③网络型病毒:这种病毒是近几来互联网高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。
④复合型病毒:把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。目前的Kv2004就具备这个功能!
2、病毒按照入侵方式的分类:
①源代码嵌入攻击型:这种病毒,一般是通过寄生在其他应用软件或者操作系统的程序中,只要用户运行该软件或操作系统,病毒就会立即发作。盗版软件一般是经过破译者修改正版软件完成的,因此病毒经常附在一些软件的注册机或者破解补丁中。
②代码取代攻击型:这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
③系统修改型:这类病毒主要是通过自身的代码程序,覆盖操作系统中必须执行的文件或者是应用程序来激活的,病毒感染后,危害大,但该病毒容易清除,称之为文件型病毒,是目前多发的一类病毒。
④外壳附加型:这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
二、电脑中毒的现象
了解了电脑病毒的基本知识,我们还必须了解电脑中毒后的一些表现,然后这样会有助于我们判断电脑是否中毒。在电脑出现以下中毒表现时,是在机器的硬件无故障,软件运行正常的情况下发生的。
1、电脑无法启动
电脑感染了引导型病毒后,通常会无法启动,因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。
2、电脑经常死机
病毒程序打开了较多的程序,或者是病毒自我复制,都会占用大量的CPU资源和内存资源,从而造成机器经常死机。对于网络病毒,由于病毒为了传播,通过邮件服务和QQ等聊天软件传播,也会造成系统因为资源耗尽而死机。
3、文件无法打开
系统中可以执行的文件,突然无法打开。由于病毒修改了感染了文件,可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。
4、系统经常提示内存不足
现在机器的内存通常是256MB的标准配置,可是在打开很少程序的情况下,系统经常提示内存不足。部分病毒的开发者,通常是为了让病毒占用大量的系统资源,达到让机器死机的目的。
5、机器空间不足
自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。
6、数据突然丢失
硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失。
7、电脑运行速度特别慢
在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的5位以上。
8、键盘、鼠标被锁死
键盘、鼠标在进行BIOS设置时正常,进入系统后无法使用。部分病毒,可以锁定键盘、鼠标在系统中的使用。
9、系统每天增加大量来历不明的文件
病毒进行变种,或者入侵系统时遗留下的垃圾文件。
10、系统自动加载某些程序
系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。部分病毒,如QQ病毒,还会自动发送消息。
三、判断电脑是否中毒的方法
我们在了解了病毒的基础知识和中毒表现后,自然会有一些方法,来判断我们的电脑是否中毒。
1、使用杀毒软件进行磁盘扫描
判断病毒的第一步,就是通过杀毒软件进行扫描,查看机器中是否存在病毒。在扫描前,最好升级一下杀毒软件的病毒库。
2、查看硬盘容量
对于自我复制型病毒,查看硬盘容量,可以判断出是否感染了病毒。特别是系统盘的容量大小,大家在平时,一定要了解自己的系统盘容量是多少。
3、检查系统使用的内存数量
正常使用的操作系统,占用的系统资源是一定的。如果系统感染了病毒,病毒肯定会占用内存资源。对于Windows 98操作系统,进入操作系统后,在DOS提示符下,运行mem /c/p查看内存的使用情况,特别是640Kb的基本内存使用情况!在Windows 2000或者是Windows XP系统下,在“运行”中输入cmd后,执行mem即可。
4、使用任务管理器查看进程数量
在Windows 2000和Windows XP操作系统中,可以利用任务管理器,查看一下是否有非法的进程在运行。对于一些隐蔽性的病毒,在任务管理器中不显示进程。
5、查看注册表
部分病毒的运行,需要通过注册表加载的,如恶意网页病毒都会通过注册表加载,这些病毒,在注册表中的加载位置如下:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRunSevices]
[HKEY_CURRENT_USERSOFTWAREMicrosoft
WindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoft
WindowsCurrentVersion RunOnce]
查看注册表中以上几个键值的情况,看一下有没有异常的程序加载。要想提高判断的准确性,可以把正常运行的机器的这几个键值记录下来,方便比较!
6、查看系统配置文件
这类病毒一般在隐藏在System.ini、Wini.ini(Win9x/WinME)和启动组中。在System.ini文件中有一个“Shell=”项,而在Wini.ini文件中有“Load=”、“Run=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序,可以由Windows XP操作系统中复制!
7、观察机器的启动和运行速度
对于一些隐蔽性高的病毒,我们通过以上方法无法判断时,可以根据机器的启动和运行速度进行判断,在保证硬件系统无故障和软件系统运行正常的情况下,可以基本断定已经感染病毒!
8、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,不然你修改错了,就没得救了!
通过以上的叙述,相信大家对如何判断病毒应该有一个大致的了解了吧。要想准确判断病毒,还需要了解各种常见病毒的特征及更多的病毒相关知识。
虽然众多公司开发了各种各样的反病毒软件,但只有当新病毒出现后,杀毒软件并无法杀死该病毒,面对新出现的病毒,也只是傻傻的看。现在,我们不害怕反病毒软件能查出病毒,最害怕的应该是杀毒软件查不出病毒,但我们的机器不正常运转!我们充分了解病毒的知识后,应该具备能判断电脑是否中毒的基本常识。
一、病毒的基本知识
病毒,其实是一种程序,而且大部分病毒都具有一定的破坏能力,因此,病毒可以说是一种具有破坏作用的程序代码!由于病毒代码无任何规律可循,这使我们在防范病毒的时候有点难度。
我们要想准确判断电脑是否中毒,必须了解相关的病毒知识,还有曾经发作过的病毒特征。
1、病毒按照传染方式的分类:
现在的病毒,按照传染方式来分的话,可以分为以下几种:
①引导型病毒:这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如KV300、KILL系列等。
②文件型病毒:早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
③网络型病毒:这种病毒是近几来互联网高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。
④复合型病毒:把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。目前的Kv2004就具备这个功能!
2、病毒按照入侵方式的分类:
①源代码嵌入攻击型:这种病毒,一般是通过寄生在其他应用软件或者操作系统的程序中,只要用户运行该软件或操作系统,病毒就会立即发作。盗版软件一般是经过破译者修改正版软件完成的,因此病毒经常附在一些软件的注册机或者破解补丁中。
②代码取代攻击型:这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
③系统修改型:这类病毒主要是通过自身的代码程序,覆盖操作系统中必须执行的文件或者是应用程序来激活的,病毒感染后,危害大,但该病毒容易清除,称之为文件型病毒,是目前多发的一类病毒。
④外壳附加型:这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
二、电脑中毒的现象
了解了电脑病毒的基本知识,我们还必须了解电脑中毒后的一些表现,然后这样会有助于我们判断电脑是否中毒。在电脑出现以下中毒表现时,是在机器的硬件无故障,软件运行正常的情况下发生的。
1、电脑无法启动
电脑感染了引导型病毒后,通常会无法启动,因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。
2、电脑经常死机
病毒程序打开了较多的程序,或者是病毒自我复制,都会占用大量的CPU资源和内存资源,从而造成机器经常死机。对于网络病毒,由于病毒为了传播,通过邮件服务和QQ等聊天软件传播,也会造成系统因为资源耗尽而死机。
3、文件无法打开
系统中可以执行的文件,突然无法打开。由于病毒修改了感染了文件,可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。
4、系统经常提示内存不足
现在机器的内存通常是256MB的标准配置,可是在打开很少程序的情况下,系统经常提示内存不足。部分病毒的开发者,通常是为了让病毒占用大量的系统资源,达到让机器死机的目的。
5、机器空间不足
自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。
6、数据突然丢失
硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失。
7、电脑运行速度特别慢
在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的5位以上。
8、键盘、鼠标被锁死
键盘、鼠标在进行BIOS设置时正常,进入系统后无法使用。部分病毒,可以锁定键盘、鼠标在系统中的使用。
9、系统每天增加大量来历不明的文件
病毒进行变种,或者入侵系统时遗留下的垃圾文件。
10、系统自动加载某些程序
系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。部分病毒,如QQ病毒,还会自动发送消息。
三、判断电脑是否中毒的方法
我们在了解了病毒的基础知识和中毒表现后,自然会有一些方法,来判断我们的电脑是否中毒。
1、使用杀毒软件进行磁盘扫描
判断病毒的第一步,就是通过杀毒软件进行扫描,查看机器中是否存在病毒。在扫描前,最好升级一下杀毒软件的病毒库。
2、查看硬盘容量
对于自我复制型病毒,查看硬盘容量,可以判断出是否感染了病毒。特别是系统盘的容量大小,大家在平时,一定要了解自己的系统盘容量是多少。
3、检查系统使用的内存数量
正常使用的操作系统,占用的系统资源是一定的。如果系统感染了病毒,病毒肯定会占用内存资源。对于Windows 98操作系统,进入操作系统后,在DOS提示符下,运行mem /c/p查看内存的使用情况,特别是640Kb的基本内存使用情况!在Windows 2000或者是Windows XP系统下,在“运行”中输入cmd后,执行mem即可。
4、使用任务管理器查看进程数量
在Windows 2000和Windows XP操作系统中,可以利用任务管理器,查看一下是否有非法的进程在运行。对于一些隐蔽性的病毒,在任务管理器中不显示进程。
5、查看注册表
部分病毒的运行,需要通过注册表加载的,如恶意网页病毒都会通过注册表加载,这些病毒,在注册表中的加载位置如下:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindwosCurrentVersionRunSevices]
[HKEY_CURRENT_USERSOFTWAREMicrosoft
WindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoft
WindowsCurrentVersion RunOnce]
查看注册表中以上几个键值的情况,看一下有没有异常的程序加载。要想提高判断的准确性,可以把正常运行的机器的这几个键值记录下来,方便比较!
6、查看系统配置文件
这类病毒一般在隐藏在System.ini、Wini.ini(Win9x/WinME)和启动组中。在System.ini文件中有一个“Shell=”项,而在Wini.ini文件中有“Load=”、“Run=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序,可以由Windows XP操作系统中复制!
7、观察机器的启动和运行速度
对于一些隐蔽性高的病毒,我们通过以上方法无法判断时,可以根据机器的启动和运行速度进行判断,在保证硬件系统无故障和软件系统运行正常的情况下,可以基本断定已经感染病毒!
8、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,不然你修改错了,就没得救了!
通过以上的叙述,相信大家对如何判断病毒应该有一个大致的了解了吧。要想准确判断病毒,还需要了解各种常见病毒的特征及更多的病毒相关知识。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-123735/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10294527/viewspace-123735/
扫一扫
2904
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
