如何判断你的电脑是否中毒
交流学习电脑群号 310698204 深度启动制作群号 311938158
各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点
异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到“
元凶”誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又
一张,还是未见“元凶”的踪影,其实这未必就是病毒在作怪。
如按传染对象来分,病毒可以划分为以下几类:
a、引导型病毒
这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执
行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损
失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀
毒软件都能查杀这类病毒,如KV300、KILL系列等。
b、文件型病毒
早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执
行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等
为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病
毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些
文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感
染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
c、网络型病毒
这种病毒是近几来网络的高速发展的产物,感染的对象不再局限于单一的模式和单
一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的
OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的
删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途
经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电
子广告等。
d、复合型病毒
把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病毒的
某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没
有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执
行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒
的功能。
以上是按照病毒感染的对象来分,如果按病毒的破坏程度来分,我们又可以将病毒
划分为以下几种:
a、良性病毒:
这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统
,只是想玩一玩而已,多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水
平。它们并不想破坏你的系统,只是发出某种声音,或出现一些提示,除了占用一定的
硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样,只是想窃取
你电脑中的一些通讯信息,如密码、IP地址等,以备有需要时用。
b、恶性病毒
我们把只对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数
据丢失等严重后果的病毒归之为“恶性病毒”,这类病毒入侵后系统除了不能正常使用
之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复,当
然还是要杀掉这些病毒之后重装系统。
c、极恶性病毒
这类病毒比上述b类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系
统就要彻底崩溃,根本无法正常启动,你保分留在硬盘中的有用数据也可能随之不能获
取,轻一点的还只是删除系统文件和应用程序等。
d、灾难性病毒
这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是
破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有
时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。如果一旦染上这类病毒,你的系
统就很难恢复了,保留在硬盘中的数据也就很难获取了,所造成的损失是非常巨大的,
所以我们进化论什么时候应作好最坏的打算,特别是针对企业用户,应充分作好灾难性
备份,还好现在大多数大型企业都已认识到备份的意义所在,花巨资在每天的系统和数
据备份上,虽然大家都知道或许几年也不可能遇到过这样灾难性的后果,但是还是放松
这“万一”。我所在的雀巢就是这样,而且还非常重视这个问题。如98年4.26发作的
CIH病毒就可划归此类,因为它不仅对软件造成破坏,更直接对硬盘、主板的BIOS等硬
件造成破坏。
如按其入侵的方式来分为以下几种:
a、源代码嵌入攻击型
从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序
编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就
是带毒文件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开
发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。
b、代码取代攻击型
这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病
毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困
难。
b、注册表观察法
这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过
修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现
:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
等等,具体可参考我的另一篇文章——《通通透透看木马》,在其中对注册表中可
能出现的地方会有一个比较详尽的分析。
c、系统配置文件观察法
这类方法一般也是适用于黑客类程序,这类病毒一般在隐藏在system.ini 、
wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个"shell=”项,而在
wini.ini文件中有“load= ”、“run= ”项,这些病毒一般就是在这些项目中加载它
们自身的程序的,注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的
msconfig.exe程序来一项一项查看。具体也可参考我的《通通透透看木马》一文。
d、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如
CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,
我们可以对主要的系统文件(如Explorer.exe)运用16进制代码编辑器进行编辑就可发
现,当然编辑之前最好还要要备份,毕竟是主要系统文件。
e、硬盘空间观察法
有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少
,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不到
它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的
文件(这方法应不需要我来说吧?),相信这个庞然大物一定会到时显形的,因为病毒
一般把它设置成隐藏属性的。到时删除它即可,这方面的例子在我进行电脑网络维护和
个人电脑维修过程中见到几例,明明只安装了几个常用程序,为什么在C盘之中几个G的
硬盘空间显示就没有了,经过上述方法一般能很快地让病毒显形的。
交流学习电脑群号 310698204 深度启动制作群号 311938158