判斷PC是否含有病毒(1)

各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找殺毒軟件,一個不行,再來一個,總之似乎不找到”元兇”誓不罷休一樣,結果病毒軟件是用了一個又一個,或許爲此人民幣是用了一張又一張,還是未見”元兇”的蹤影,其實這未必就是病毒在作怪。
  這樣的例子並不少見,特別是對於一些初級電腦用戶。下面我就結合個人電腦使用及企業網絡維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒,希望對幫助識別”真毒”有一定幫助!
  病毒與軟、硬件故障的區別和聯繫
  電腦出故障不只是因爲感染病毒纔會有的,個人電腦使用過程中出現各種故障現象多是因爲電腦本身的軟、硬件故障引起的,網絡上的多是由於權限設置所致。我們只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時纔會及時發現。下面我就簡要列出了分別因病毒和軟、硬件故障引起的一些常見電腦故障症狀分析。
  症狀 病毒的***的可能性 軟、硬件故障的可能性
  經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬件超頻性能差等);運行了大容量的軟件佔用了大量的內存和磁盤空間;使用了一些測試軟件(有許多BUG);硬盤空間不夠等等;運行網絡上的軟件時經常死機也許是由於網絡速度太慢,所運行的程序太大,或者自己的工作站硬件配置太低。
  系統無法啓動:病毒修改了硬盤的引導信息,或刪除了某些啓動文件。如引導型病毒引導文件損壞;硬盤損壞或參數設置不正確;系統文件人爲地誤刪除等。
  文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬盤損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟件刪除了;如果是在局域網中多表現爲服務器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
  經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟件;運行了需內存資源的軟件;系統配置不正確;內存本就不夠(目前基本內存要求爲128M)等。
  提示硬盤空間不夠:病毒複製了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬盤安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟件就提示硬盤空間不夠。硬盤每個分區容量太小;安裝了大量的大容量軟件;所有軟件都集中安裝在一個分區之中;硬盤本身就小;如果是在局域網中系統管理員爲每個用戶設置了工作站用戶的”私人盤”使用空間限制,因查看的是整個網絡盤的大小,其實”私人盤”上容量已用完了。
  軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
  出現大量來歷不明的文件:病毒複製文件;可能是一些軟件安裝中產生的臨時文件;也或許是一些軟件的配置信息及運行記錄。
  啓動黑屏:病毒感染(記得最深的是98年的4.26,我爲CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
  數據丟失:病毒刪除了文件;硬盤扇區損壞;因恢復文件而覆蓋原文件;如果是在網絡上的文件,也可能是由於其它用戶誤刪除了。
  鍵盤或鼠標無端地鎖死:病毒作怪,特別要留意”***”;鍵盤或鼠標損壞;主板上鍵盤或鼠標接口損壞;運行了某個鍵盤或鼠標鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或鼠標不起作用。
  系統運行速度慢:病毒佔用了內存和CPU資源,在後臺運行了大量非法操作;硬件配置低;打開的程序太多或太大;系統配置不正確;如果是運行網絡上的程序時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬盤空間不夠用來運行程序時作臨時交換數據用。
  系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啓動組中設置了有關程序的自動運行;某些軟件安裝或升級後需自動重啓系統。
  通過以上的分析對比,我們知道其實大多數故障都可能是由於人爲或軟、硬件故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬件及人爲的可能性。
  病毒的分類及各自的特徵
  要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!
  病毒因爲由衆多分散的個人或組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
  如按傳染對象來分,病毒可以劃分爲以下幾類:
  a、引導型病毒
  這類病毒***的對象就是磁盤的引導扇區,這樣就能使系統在啓動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因爲感染的是引導扇區,所以造成的損失也就比較大,一般來說會造成系統無法正常啓動,但查殺這類病毒也較容易,多數殺毒軟件都能查殺這類病毒,如KV300、KILL系列等。
  b、文件型病毒
  早期的這類病毒一般是感染以exe、com等爲擴展名的可執行文件,這樣的話當你執行某個可執行文件時病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等爲擴展名的文件,因爲這些文件通常是某程序的配置、鏈接文件,所以執行某程序時病毒也就自動被子加載了。它們加載的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白字節中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染後通常文件的字節數並不見增加,這就是它的隱蔽性的一面。
  c、網絡型病毒
  這種病毒是近幾來網絡的高速發展的產物,感染的對象不再侷限於單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽。現在一些網絡型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其***方式也有轉變,從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息(如***程序)等,傳播的途經也發生了質的飛躍,不再侷限磁盤,而是通過更加隱蔽的網絡進行,如電子郵件、電子廣告等。
  d、複合型病毒
  把它歸爲”複合型病毒”,是因爲它們同時具備了”引導型”和”文件型”病毒的某些特點,它們即可以感染磁盤的引導扇區文件,也可以感染某此可執行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導扇區文件和可執行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟件要同時具備查殺兩類病毒的功能。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章