您必須掌握的電腦病毒知識彙集

您必須掌握的電腦病毒知識彙集

　　1.經常死機：病毒打開了許多文件或佔用了大量內存；不穩定（如內存質量差，硬體超頻性能差等）；運行了大容量的軟體佔用了大量的內存和磁碟空間；使用了一些測試軟體（有許多BUG）；硬碟空間不夠等等；運行網路上的軟體時經常死機也許是由於網路速度太慢，所運行的程序太大，或者自己的工作站硬體配置太低。

　　2.系統無法啟動：病毒修改了硬碟的引導信息，或刪除了某些啟動文件。如引導型病毒引導文件損壞；硬碟損壞或參數設置不正確；系統文件人為地誤刪除等。

　　3.文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬碟損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟體刪除了；如果是在區域網中多表現為伺服器中文件存放位置發生了變化，而工作站沒有及時涮新服器的內容（長時間打開了資源管理器）。

　　4.經常報告內存不夠：病毒非法佔用了大量內存；打開了大量的軟體；運行了需內存資源的軟體；系統配置不正確；內存本就不夠（目前基本內存要求為128M）等。

　　5.提示硬碟空間不夠：病毒複製了大量的病毒文件（這個遇到過好幾例，有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小；安裝了大量的大容量軟體；所有軟體都集中安裝在一個分區之中；硬碟本身就小；如果是在區域網中系統管理員為每個用戶設置了工作站用戶的「私人盤」使用空間限制，因查看的是整個網路盤的大小，其實「私人盤」上容量已用完了。

　　6.軟盤等設備未訪問時出讀寫信號：病毒感染；軟盤取走了還在打開曾經在軟盤中打開過的文件。

　　7.出現大量來歷不明的文件：病毒複製文件；可能是一些軟體安裝中產生的臨時文件；也或許是一些軟體的配置信息及運行記錄。

　　8.啟動黑屏：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什麼也沒有了）；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等

　　9.數據丟失：病毒刪除了文件；硬碟扇區損壞；因恢復文件而覆蓋原文件；如果是在網路上的文件，也可能是由於其它用戶誤刪除了。

　　10.鍵盤或滑鼠無端地鎖死：病毒作怪，特別要留意「木馬」；鍵盤或滑鼠損壞；主板上鍵盤或滑鼠介面損壞；運行了某個鍵盤或滑鼠鎖定程序，所運行的程序太大，長時間系統很忙，表現出按鍵盤或滑鼠不起作用。

　　11.系統運行速度慢：病毒佔用了內存和CPU資源，在後台運行了大量非法操作；硬體配置低；打開的程序太多或太大；系統配置不正確；如果是運行網路上的程序時多數是由於你的機器配置太低造成，也有可能是此時網路上正忙，有許多用戶同時打開一個程序；還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。

　　12.系統自動執行操作：病毒在後台執行非法操作；用戶在註冊表或啟動組中設置了有關程序的自動運行；某些軟體安裝或升級后需自動重啟系統。

　　通過以上的分析對比，我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的，當我們發現異常后不要急於下斷言，在殺毒還不能解決的情況下，應仔細分析故障的特徵，排除軟、硬體及人為的可能性。

　　要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的了解，而且越詳細越好！

　　病毒因為由眾多分散的個人或組織單獨編寫，也沒有一個標準去衡量、去劃分，所以病毒的分類可按多個角度大體去分。

　　如按傳染對象來分，病毒可以劃分為以下幾類：

　　a、引導型病毒

　　這類病毒攻擊的對象就是磁碟的引導扇區，這樣就能使系統在啟動時獲得優先的執行權，從而達到控制整個系統的目的，這類病毒因為感染的是引導扇區，所以造成的損失也就比較大，一般來說會造成系統無法正常啟動，但查殺這類病毒也較容易，多數殺毒軟體都能查殺這類病毒，如KV300、KILL系列等。

　　b、文件型病毒

　　早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件，這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件，因為這些文件通常是某程序的配置、鏈接文件，所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過安裝病毒代碼整段落或分散安裝到這些文件的空白位元組中，如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中，感染后通常文件的位元組數並不見增加，這就是它的隱蔽性的一面。

　　c、網路型病毒

　　這種病毒是近幾來網路的高速發展的產物，感染的對象不再局限於單一的模式和單一的可執行文件，而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變，從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息（如黑客程序）等，傳播的途經也發生了質的飛躍，不再局限磁碟，而是通過更加隱蔽的網路進行，如電子郵件、電子廣告等。

　　d、複合型病毒

　　把它歸為「複合型病毒」，是因為它們同時具備了「引導型」和「文件型」病毒的某些特點，它們即可以感染磁碟的引導扇區文件，也可以感染某此可執行文件，如果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復，還會造成引導扇區文件和可執行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟體要同時具備查殺兩類病毒的功能。

　　如果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：

　　a、良性病毒：

　　這些病毒之所以把它們稱之為良性病毒，是因為它們入侵的目的不是破壞你的系統，只是想玩一玩而已，多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統，只是發出某種聲音，或出現一些提示，除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時用。

　　b、惡性病毒

　　我們把只對軟體系統造成干擾、竊取信息、修改系統信息，不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為「惡性病毒」，這類病毒入侵后系統除了不能正常使用之外，別無其它損失，系統損壞后一般只需要重裝系統的某個部分文件后即可恢復，當然還是要殺掉這些病毒之後重裝系統。

　　c、極惡性病毒

　　這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統就要徹底崩潰，根本無法正常啟動，你保分留在硬碟中的有用數據也可能隨之不能獲取，輕一點的還只是刪除系統文件和應用程序等。

　　d、災難性病毒

　　這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表，造成系統根本無法啟動，有時甚至會格式化或鎖死你的硬碟，使你無法使用硬碟。如果一旦染上這類病毒，你的系統就很難恢復了，保留在硬碟中的數據也就很難獲取了，所造成的損失是非常巨大的，所以我們進化論什麼時候應作好最壞的打算，特別是針對企業用戶，應充分作好災難性備份，還好現在大多數大型企業都已認識到備份的意義所在，花巨資在每天的系統和數據備份上，雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果，但是還是放鬆這「萬一」。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類，因為它不僅對軟體造成破壞，更直接對硬碟、主板的BIOS等硬體造成破壞。

　　如按病毒的入侵的方式來分為以下幾種：

　　a、源代碼嵌入攻擊型

　　從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前安裝病毒代碼，最後隨源程序一起被編譯成可執行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業的編程水平。

　　b、代碼取代攻擊型

　　這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發現，清除起來也較困難。

　　c、系統修改型

　　這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。

　　d、外殼附加型

　　這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當於給程序添加了一個外殼，在被感染的程序執行時，病毒代碼先被執行，然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。

　　有了病毒的一些基本知識后現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。

　　1、反病毒軟體的掃描法

　　這恐怕是我們絕大數朋友首選，也恐怕是唯一的選擇，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了，我相信大家都有這個水平！

　　2、觀察法

　　這一方法只有在了解了一些病毒發作的癥狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬體出現故障同樣也可能出現那些癥狀嘛！

　　對於如屬病毒引起的我們可以從以下幾個方面來觀察：

　　a、內存觀察

　　這一方法一般用在DOS下發現的病毒，我們可用DOS下的「mem/c/p」命令來查看各程序佔用內存的情況，從中發現病毒佔用內存的情況（一般不單獨佔用，而是依附在其它程序之中），有的病毒佔用內存也比較隱蔽，用「mem/c/p」發現不了它，但可以看到總的基本內存640K之中少了那麼區區1k或幾K。

　　b、註冊表觀察法

　　這類方法一般適用於近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改註冊表中的啟動、載入配置來達到自動啟動或載入的，一般是在如下幾個地方實現：

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　c、系統配置文件觀察法

　　這類方法一般也是適用於黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell=」項，而在wini.ini文件中有「load= 」、「run= 」項，這些病毒一般就是在這些項目中載入它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。

　　d、特徵字元串觀察法

　　這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特徵代碼，如CIH病毒就會在入侵的文件中寫入「CIH」這樣的字元串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進位代碼編輯器進行編輯就可發現，當然編輯之前最好還要要備份，畢竟是主要系統文件。

　　e、硬碟空間觀察法

　　有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所佔硬碟空間很大，有時大得讓你的硬碟無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然後把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什麼在C盤之中幾個G的硬碟空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。