[网民必知]教你如何判断电脑是否中毒和木马
面临日益发达的互联网,病毒也在不断的发展中...每天都会担心自己的电脑是否被病毒或木马缠上,特别是互联网通讯的日益发达,使得病毒和木马也拥有了更好的传播渠道。无论是超
级菜鸟,还是经验丰富的技术工程师,都会有遇到过病毒和木马.面对病毒,无不“谈毒色变
”!
虽然很多公司都开发了病毒软件,如金山毒霸、端星、卡巴、江民等。但这些只能在病毒和木
马出现后再去做防疫。所以,我们充分了解病毒的知识后,应该具备能判断电脑是否中毒的基
本常识。做好自己的防疫工作!
一、病毒的基本知识
病毒,其实是一种程序,而且大部分病毒都具有一定的破坏能力,因此,病毒可以说是一种具
有破坏作用的程序代码!由于病毒代码无任何规律可循,这使我们在防范病毒的时候有点难度
。
我们要想准确判断电脑是否中毒,必须了解相关的病毒知识,还有曾经发作过的病毒特征。
1、病毒按照传染方式的分类:
现在的病毒,按照传染方式来分的话,可以分为以下几种:
①引导型病毒:这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先
的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失
也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都
能查杀这类病毒,如KV300、KILL系列等。
②文件型病毒:早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当
你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为
扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自
动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节
中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数
并不见增加,这就是它的隐蔽性的一面。
③互联网型病毒:这种病毒是近几来互联网高速发展的产物,感染的对象不再局限于单一的模
式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些互联网型病毒几乎可以对所有的
OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。其攻击方式也有转变,从原始的删除、
修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质
的飞跃,不再局限磁盘,而是通过更加隐蔽的互联网进行,如电子邮件、电子广告等。
④复合型病毒:把它归为“复合型病毒”,是因为它们同时具备了“引导型”和“文件型”病
毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有
对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的
感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。目前的
Kv2004就具备这个功能!
2、病毒按照入侵方式的分类:
①源代码嵌入攻击型:这种病毒,一般是通过寄生在其他应用软件或者操作系统的程序中,只
要用户运行该软件或操作系统,病毒就会立即发作。盗版软件一般是经过破译者修改正版软件
完成的,因此病毒经常附在一些软件的注册机或者破解补丁中。
②代码取代攻击型:这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块
,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较
困难。
③系统修改型:这类病毒主要是通过自身的代码程序,覆盖操作系统中必须执行的文件或者是
应用程序来激活的,病毒感染后,危害大,但该病毒容易清除,称之为文件型病毒,是目前多
发的一类病毒。
④外壳附加型:这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了
一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大
多数文件型的病毒属于这一类。
二、电脑中毒的现象
了解了电脑病毒的基本知识,我们还必须了解电脑中毒后的一些表现,然后这样会有助于我们
判断电脑是否中毒。在电脑出现以下中毒表现时,是在机器的硬件无故障,软件运行正常的情
况下发生的。
1、电脑无法启动
电脑感染了引导型病毒后,通常会无法启动,因为病毒破坏了操作系统的引导文件。最典型的
病毒是CIH病毒。
2、电脑经常死机
病毒程序打开了较多的程序,或者是病毒自我复制,都会占用大量的CPU资源和内存资源,从
而造成机器经常死机。对于互联网病毒,由于病毒为了传播,通过邮件服务和QQ等聊天软件传
播,也会造成系统因为资源耗尽而死机。
3、文件无法打开
系统中可以执行的文件,突然无法打开。由于病毒修改了感染了文件,可能会使文件损坏,或
者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。
4、系统经常提示内存不足
现在机器的内存通常是256MB的标准配置,可是在打开很少程序的情况下,系统经常提示内存
不足。部分病毒的开发者,通常是为了让病毒占用大量的系统资源,达到让机器死机的目的。
5、机器空间不足
自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。
6、数据突然丢失
硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失
。
7、电脑运行速度特别慢
在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的5位以上。
8、键盘、鼠标被锁死
键盘、鼠标在进行BIOS设置时正常,进入系统后无法使用。部分病毒,可以锁定键盘、鼠标在
系统中的使用。
9、系统每天增加大量来历不明的文件
病毒进行变种,或者入侵系统时遗留下的垃圾文件。
10、系统自动加载某些程序
系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。部分病毒,如QQ病毒
,还会自动发送消息。
三、判断电脑是否中毒的方法
我们在了解了病毒的基础知识和中毒表现后,自然会有一些方法,来判断我们的电脑是否中毒
。
1、使用杀毒软件进行磁盘扫描
判断病毒的第一步,就是通过杀毒软件进行扫描,查看机器中是否存在病毒。在扫描前,最好
升级一下杀毒软件的病毒库。
2、查看硬盘容量
对于自我复制型病毒,查看硬盘容量,可以判断出是否感染了病毒。特别是系统盘的容量大小
,大家在平时,一定要了解自己的系统盘容量是多少。
3、检查系统使用的内存数量
正常使用的操作系统,占用的系统资源是一定的。如果系统感染了病毒,病毒肯定会占用内存
资源。对于Windows 98操作系统,进入操作系统后,在DOS提示符下,运行mem /c/p查看内存
的使用情况,特别是640Kb的基本内存使用情况!在Windows 2000或者是Windows XP系统下,
在“运行”中输入cmd后,执行mem即可。
4、使用任务管理器查看进程数量
在Windows 2000和Windows XP操作系统中,可以利用任务管理器,查看一下是否有非法的进程
在运行。对于一些隐蔽性的病毒,在任务管理器中不显示进程。
5、查看注册表
部分病毒的运行,需要通过注册表加载的,如恶意网页病毒都会通过注册表加载,这些病毒,
在注册表中的加载位置如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windwos\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windwos\CurrentVersionRunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windwos\CurrentVersionRunSevices]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion \RunOnce]
查看注册表中以上几个键值的情况,看一下有没有异常的程序加载。要想提高判断的准确性,
可以把正常运行的机器的这几个键值记录下来,方便比较!
6、查看系统配置文件
这类病毒一般在隐藏在System.ini、Wini.ini(Win9x/WinME)和启动组中。在System.ini文
件中有一个“Shell=”项,而在Wini.ini文件中有“Load=”、“Run=”项,这些病毒一般就
是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行
msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序,可
以由Windows XP操作系统中复制!
7、观察机器的启动和运行速度
对于一些隐蔽性高的病毒,我们通过以上方法无法判断时,可以根据机器的启动和运行速度进
行判断,在保证硬件系统无故障和软件系统运行正常的情况下,可以基本断定已经感染病毒!
8、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就
会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要
的系统文件(如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现,当然编
辑之前最好还要要备份,不然你修改错了,就没得救了!
通过以上的叙述,相信大家对如何判断病毒应该有一个大致的了解了吧。要想准确判断病毒,
还需要了解各种常见病毒的特征及更多的病毒相关知识。
一般不乱上网站,特别是黄网,就问题不大,实在是中了,就得重装系统啦。
页:
[1]