各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有 点异常就认定是病毒在作怪，到处找杀毒软体，一个不行，再来一个，总之似乎 不找到"元凶"誓不甘休一样，结果病毒软体是用了一个又一个，或许为此人民 币是用了一张又一张，还是未见"元凶"的踪影，其实这未必就是病毒在作怪。 　　这样的例子并不少见，特别是对於一些初级电脑用户。下面我就结合个人电 脑使用及企业网路维护方面的防毒经验从以下几个方面给大家介绍介绍如何判 断是否中了病毒，希望对帮助识别"真毒"有一定帮助！ 　　病毒与软、硬体故障的区别和联系 　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故 障现象多是因为电脑本身的软、硬体故障引起的，网路上的多是由於许可权设置 所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病 毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬体故障引起 的一些常见电脑故障症状分析。 　　症状 病毒的入侵的可能性 软、硬体故障的可能性 　　经常死机：病毒打开了许多档或占用了大量记忆体；不稳定（如记忆体质量 差，硬体超频性能差等）；运行了大容量的软体占用了大量的记忆体和磁碟空间； 使用了一些测试软体（有许多BUG）；硬碟空间不够等等；运行网路上的软体时 经常死机也许是由於网路速度太慢，所运行的程式太大，或者自己的工作站硬体 配置太低。 　　系统无法启动：病毒修改了硬碟的引导资讯，或删除了某些启动档。如引导 型病毒引导档损坏；硬碟损坏或参数设置不正确；系统档人为地误删除等。 　　文件打不开：病毒修改了档格式；病毒修改了档链结位置。文件损坏；硬碟 损坏；档快捷方式对应的链结位置发生了变化；原来编辑档的软体删除了；如果 是在局域网中多表现为伺服器中档存放位置发生了变化，而工作站没有及时涮新 服器的内容（长时间打开了资源管理器）。 　　经常报告记忆体不够：病毒非法占用了大量记忆体；打开了大量的软体；运 行了需记忆体资源的软体；系统配置不正确；记忆体本就不够（目前基本记忆体 要求为128M）等。 　　提示硬碟空间不够：病毒复制了大量的病毒档（这个遇到过好几例，有时好 端端的近10G硬碟安装了一个WIN98或WINNT4.0系统就说没空间了，一安装 软体就提示硬碟空间不够。硬碟每个分区容量太小；安装了大量的大容量软体； 所有软体都集中安装在一个分区之中；硬碟本身就小；如果是在局域网中系统管 理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个 网路盘的大小，其实"私人盘"上容量已用完了。 　　软碟等设备未访问时出读写信号：病毒感染；软碟取走了还在打开曾经在软 碟中打开过的档。 　　出现大量来历不明的档：病毒复制档；可能是一些软体安装中产生的暂存档 案；也或许是一些软体的配置资讯及运行记录。 　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千 元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什 麽也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等 　　资料丢失：病毒删除了档；硬碟磁区损坏；因恢复档而覆盖原文件；如果是 在网路上的档，也可能是由於其他用户误删除了。 　　键盘或滑鼠无端地锁死：病毒作怪，特别要留意"木马"；键盘或滑鼠损坏； 主板上键盘或滑鼠介面损坏；运行了某个键盘或滑鼠锁定程式，所运行的程式太 大，长时间系统很忙，表现出按键盘或滑鼠不起作用。 　　系统运行速度慢：病毒占用了记忆体和CPU资源，在後台运行了大量非法 操作；硬体配置低；打开的程式太多或太大；系统配置不正确；如果是运行网路 上的程式时多数是由於你的机器配置太低造成，也有可能是此时网路上正忙，有 许多用户同时打开一个程式；还有一种可能就是你的硬碟空间不够用来运行程式 时作临时交换资料用。 　　系统自动执行操作：病毒在後台执行非法操作；用户在注册表或启动组中设 置了有关程式的自动运行；某些软体安装或升级後需自动重启系统。 　　通过以上的分析对比，我们知道其实大多数故障都可能是由於人为或软、硬 体故障造成的，当我们发现异常後不要急於下断言，在杀毒还不能解决的情况 下，应仔细分析故障的特徵，排除软、硬体及人为的可能性。 　　病毒的分类及各自的特徵 　　要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的 了解，而且越详细越好！ 　　病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划 分，所以病毒的分类可按多个角度大体去分。 　　如按传染物件来分，病毒可以划分为以下几类： 　　a、引导型病毒 　　这类病毒攻击的物件就是磁片的引导磁区，这样就能使系统在启动时获得优 先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导磁区， 所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病 毒也较容易，多数杀毒软体都能查杀这类病毒，如KV300、KILL系列等。 　　b、档型病毒 　　早期的这类病毒一般是感染以exe、com等为副档名的可执行档，这样的话 当你执行某个可执行档时病毒程式就跟着启动。近期也有一些病毒感染以dll、 ovl、sys等为副档名的档，因为这些档通常是某程式的配置、链结档，所以执行 某程式时病毒也就自动被子载入了。它们载入的方法是通过插入病毒代码整段落 或分散插入到这些档的空白位元组中，如CIH病毒就是把自己拆分成9段嵌入 到PE结构的可执行档中，感染後通常档的位元组数并不见增加，这就是它的隐 蔽性的一面。 　　c、网路型病毒 　　这种病毒是近几来网路的高速发展的产物，感染的物件不再局限于单一的模 式和单一的可执行档，而是更加综合、更加隐蔽。现在一些网路型病毒几乎可以 对所有的OFFICE档进行感染，如WORD、EXCEL、电子邮件等。其攻击方式 也有转变，从原始的删除、修改档到现在进行档加密、窃取用户有用资讯（如黑 客程式）等，传播的途经也发生了质的飞跃，不再局限磁片，而是通过更加隐蔽 的网路进行，如电子邮件、电子广告等。 　　d、复合型病毒 　　把它归为"复合型病毒"，是因为它们同时具备了"引导型"和"档型"病 毒的某些特点，它们即可以感染磁片的引导磁区档，也可以感染某此可执行档， 如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导磁 区档和可执行档的感染，所以这类病毒查杀难度极大，所用的杀毒软体要同时具 备查杀两类病毒的功能。 　　以上是按照病毒感染的物件来分，如果按病毒的破坏程度来分，我们又可以 将病毒划分为以下几种： 　　a、良性病毒： 　　这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你 的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发 病毒程式的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提 示，除了占用一定的硬碟空间和CPU处理时间外别无其他坏处。如一些木马病 毒程式也是这样，只是想窃取你电脑中的一些通讯资讯，如密码、IP位址等， 以备有需要时用。 　　b、恶性病毒 　　我们把只对软体系统造成干扰、窃取资讯、修改系统资讯，不会造成硬体损 坏、资料丢失等严重後果的病毒归之为"恶性病毒"，这类病毒入侵後系统除了 不能正常使用之外，别无其他损失，系统损坏後一般只需要重装系统的某个部分 档後即可恢复，当然还是要杀掉这些病毒之後重装系统。 　　c、极恶性病毒 　　这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒 你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬碟中的有用资料也可 能随之不能获取，轻一点的还只是删除系统档和应用程式等。 　　d、灾难性病毒 　　这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒 一般是破坏磁片的引导磁区档、修改档分配表和硬碟分区表，造成系统根本无法 启动，有时甚至会格式化或锁死你的硬碟，使你无法使用硬碟。如果一旦染上这 类病毒，你的系统就很难恢复了，保留在硬碟中的资料也就很难获取了，所造成 的损失是非常巨大的，所以我们进化论什麽时候应作好最坏的打算，特别是针对 企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的 意义所在，花钜资在每天的系统和资料备份上，虽然大家都知道或许几年也不可 能遇到过这样灾难性的後果，但是还是放松这"万一"。我所在的雀巢就是这 样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因 为它不仅对软体造成破坏，更直接对硬碟、主板的BIOS等硬体造成破坏。 　　如按其入侵的方式来分为以下几种： 　　a、源代码嵌入攻击型 　　从它的名字我们就知道这类病毒入侵的主要是高阶语言的根源程式，病毒是 在根源程式编译之前插入病毒代码，最後随根源程式一起被编译成可执行档，这 样刚生成的档就是带毒档。当然这类档是极少数，因为这些病毒开发者不可能轻 易得到那些软体发展公司编译前的根源程式，况且这种入侵的方式难度较大，需 要非常专业的编程水平。 　　b、代码取代攻击型 　　这类病毒主要是用它自身的病毒代码取代某个入侵程式的整个或部分模 组，这类病毒也少见，它主要是攻击特定的程式，针对性较强，但是不易被发现， 清除起来也较困难。 　　c、系统修改型 　　这类病毒主要是用自身程式覆盖或修改系统中的某些档来达到调用或替代 作业系统中的部分功能，由於是直接感染系统，危害较大，也是最为多见的一种 病毒类型，多为档型病毒。 　　d、外壳附加型 　　这类病毒通常是将其病毒附加在正常程式的头部或尾部，相当於给程式添加 了一个外壳，在被感染的程式执行时，病毒代码先被执行，然後才将正常程式调 入记忆体。目前大多数档型的病毒属於这一类。 　　有了病毒的一些基本知识後现在我们就可以来检查你的电脑中是否含有病 毒，要知道这些我们可以按以下几个方法来判断。 　　1、反病毒软体的扫描法 　　这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来 越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒 软体发展商带来挑战。但随着电脑程式开发语言的技术性提高、电脑网路越来越 普及，病毒的开发和传播是越来越容易了，因而反病毒软体发展公司也是越来越 多了。但目前比较有名的还是那麽几个系统的反病毒软体，如金山毒霸、KV300、 KILL、PC-cillin、VRV、瑞星、诺顿等。至於这些反病毒软体的使用在此就不必 说叙了，我相信大家都有这个水平！ 　　2、观察法 　　这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观 察到。如硬碟引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访 问硬碟、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要 考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬体出现 故障同样也可能出现那些症状嘛！对於如属病毒引起的我们可以从以下几个方 面来观察： 　　a、记忆体观察 　　这一方法一般用在DOS下发现的病毒，我们可用DOS下的"mem/c/p"命 令来查看各程式占用记忆体的情况，从中发现病毒占用记忆体的情况（一般不单 独占用，而是依附在其他程式之中），有的病毒占用记忆体也比较隐蔽，用 "mem/c/p"发现不了它，但可以看到总的基本记忆体640K之中少了那麽区区 1k或几K。 　　b、注册表观察法 　　这类方法一般适用於近来出现的所谓黑客程式，如木马程式，这些病毒一般 是通过修改注册表中的启动、载入配置来达到自动启动或载入的，一般是在如下 几个地方实现： 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion 　　等等，具体可参考我的另一篇文章--《通通透透看木马》，在其中对注册 表中可能出现的地方会有一个比较详尽的分析。 　　c、系统配置档观察法 　　这类方法一般也是适用于黑客类程式，这类病毒一般在隐藏在system.ini 、 wini.ini（Win9x/WinME）和启动组中，在system.ini档中有一个"shell="项，而 在wini.ini档中有"load= "、"run= "项，这些病毒一般就是在这些专案中载 入它们自身的程式的，注意有时是修改原有的某个程式。我们可以运行 Win9x/WinME中的msconfig.exe程式来一项一项查看。具体也可参考我的《通 通透透看木马》一文。 　　d、特徵字串观察法 　　这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特徵代 码，如CIH病毒就会在入侵的档中写入"CIH"这样的字串，当然我们不可能轻 易地发现，我们可以对主要的系统档（如Explorer.exe)运用16进制代码编辑器 进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统档。 　　e、硬碟空间观察法 　　有些病毒不会破坏你的系统档，而仅是生成一个隐藏的档，这个档一般内容 很少，但所占硬碟空间很大，有时大得让你的硬碟无法运行一般的程式，但是你 查又看不到它，这时我们就要打开资源管理器，然後把所查看的内容属性设置成 可查看所有属性的档（这方法应不需要我来说吧？），相信这个庞然大物一定会 到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的 例子在我进行电脑网路维护和个人电脑维修过程中见到几例，明明只安装了几个 常用程式，为什麽在C盘之中几个G的硬碟空间显示就没有了，经过上述方法 一般能很快地让病毒显形的。 参考看看~~ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.62.185.129