病毒的分類特徵&判斷電腦是否含有病毒
下面結合個人電腦使用及企業網路維護方面的防毒經驗,從幾個方面判斷是否中了病毒! 病毒與軟、硬體故障的區別和聯繫 電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時才會及時發現。 症狀:病毒的入侵的可能性,軟、硬體故障的可能性 經常當機:病毒打開了許多檔或佔用了大量記憶體;不穩定(如記憶體品質差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的記憶體和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常當機也許是由於網路速度太慢,所運行的程式太大,或者自己的工作站硬體配置太低。 系統無法啟動:病毒修改了硬碟的引導資訊,或刪除了某些啟動檔。如引導型病毒引導檔損壞;硬碟損壞或參數設置不正確;系統檔人為地誤刪除等。 文件打不開:病毒修改了檔格式;病毒修改了檔鏈結位置。文件損壞;硬碟損壞;檔快捷方式對應的鏈結位置發生了變化;原來編輯檔的軟體刪除了;如果是在局域網中多表現為服務器中檔存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。 經常報告記憶體不夠:病毒非法佔用了大量記憶體;打開了大量的軟體;運行了需記憶體資源的軟體;系統配置不正確;記憶體本就不夠(目前基本記憶體要求為128M)等。 提示硬碟空間不夠:病毒複製了大量的病毒檔(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在局域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網路盤的大小,其實"私人盤"上容量已用完了。 軟碟等設備未訪問時出讀寫信號:病毒感染;軟碟取走了還在打開曾經在軟碟中打開過的檔。 出現大量來歷不明的檔:病毒複製檔;可能是一些軟體安裝中產生的暫存檔案;也或許是一些軟體的配置資訊及運行記錄。 啟動黑屏:病毒感染;顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等 資料丟失:病毒刪除了檔;硬碟磁區損壞;因恢復檔而覆蓋原文件;如果是在網路上的檔,也可能是由於其他用戶誤刪除了。 鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程式,所運行的程式太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。 系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啟動組中設置了有關程式的自動運行;某些軟體安裝或升級後需自動重啟系統。 其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。 病毒的分類及各自的特徵 要真正地識別病毒,及時的查殺病毒,必要對病毒有一番較詳細的瞭解,而且越詳細越好! 如按傳染對象來分,病毒可以劃分為以下幾類: a、引導型病毒 b、文件型病毒 c、網路型病毒 d、複合型病毒 以上是按照病毒感染的物件來分,如果按病毒的破壞程度來分,又可以將病毒劃分為以下幾種: a、良性病毒: b、惡性病毒 c、極惡性病毒 d、災難性病毒 如按其入侵的方式來分為以下幾種: a、源代碼嵌入攻擊型 b、代碼取代攻擊型 c、系統修改型 d、外殼附加型 要檢查電腦中是否含有病毒,可以按以下幾個方法來判斷: 1、防毒軟體的掃描法 2、觀察法 a、記憶體觀察 b、註冊表觀察法 c、系統配置檔觀察法 d、特徵字串觀察法 e、硬碟空間觀察法
系統運行速度慢:病毒佔用了記憶體和CPU資源,在後臺運行了大量非法操作;硬體配置低;打開的程式太多或太大;系統配置不正確;如果是運行網路上的程式時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程式;還有一種可能就是你的硬碟空間不夠用來運行程式時作臨時交換資料用。
病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
這類病毒攻擊的物件就是磁片的引導磁區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導磁區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。
早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔,這樣的話當你執行某個可執行檔時病毒程式就跟著啟動。近期也有一些病毒感染以dll、ovl、sys等為副檔名的檔,因為這些檔通常是某程式的配置、鏈結檔,所以執行某程式時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些檔的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行檔中,感染後通常檔的位元組數並不見增加,這就是它的隱蔽性的一面。
這種病毒是近幾來網路的高速發展的產物,感染的物件不再局限于單一的模式和單一的可執行檔,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改檔到現在進行檔加密、竊取用戶有用資訊(如駭客程式)等,傳播的途經也發生了質的飛躍,不再局限磁片,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。
把它歸為"複合型病毒",是因為它們同時具備了"引導型"和"檔型"病毒的某些特點,它們即可以感染磁片的引導磁區檔,也可以感染某此可執行檔,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導磁區檔和可執行檔的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程式的水準。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其他壞處。如一些木馬病毒程式也是這樣,只是想竊取你電腦中的一些通訊資訊,如密碼、IP位址等,以備有需要時用。
我們把只對軟體系統造成干擾、竊取資訊、修改系統資訊,不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為"惡性病毒",這類病毒入侵後系統除了不能正常使用之外,別無其他損失,系統損壞後一般只需要重裝系統的某個部分檔後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用資料也可能隨之不能獲取,輕一點的還只是刪除系統檔和應用程式等。
這類病毒從它的名字我們就可以知道它會帶來的破壞程度,這類病毒一般是破壞磁片的引導磁區檔、修改檔分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,系統就很難恢復了,保留在硬碟中的資料也就很難獲取,所造成的損失非常巨大,如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。
從名字就知道這類病毒入侵的主要是高階語言的根源程式,病毒是在根源程式編譯之前插入病毒代碼,最後隨根源程式一起被編譯成可執行檔,這樣剛生成的檔就是帶毒檔。當然這類檔是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的根源程式,況且這種入侵的方式難度較大,需要非常專業的編程水準。
這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組,這類病毒也少見,它主要是攻擊特定的程式,針對性較強,但是不易被發現,清除起來也較困難。
這類病毒主要是用自身程式覆蓋\或修改系統中的某些檔來達到調用或替代作業系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為文件型病毒。
這類病毒通常是將其病毒附加在正常程式的頭部或尾部,相當於給程式添加了一個外殼,在被感染的程式執行時,病毒代碼先被執行,然後才將正常程式調入記憶體。目前大多數檔型的病毒屬於這一類。
這恐怕是絕大數人首選,也是唯一的選擇了。現在病毒種類越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著電腦程式開發語言的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的防毒軟體,如金山毒霸、卡巴斯基、KILL、PC-cillin、VRV、瑞星、諾頓等。
這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等。對於如屬病毒引起的可以從以下幾個方面來觀察:
這一方法一般用在DOS下發現的病毒,我們可用DOS下的"mem/c/p"命令來查看各程式佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不單獨佔用,而是依附在其他程式之中),有的病毒佔用記憶體也比較隱蔽,用"mem/c/p"發現不了它,但可以看到基本記憶體640K之中少了那麼區區1k或幾K。
這類方法一般適用於近來出現的所謂駭客程式,如木馬程式,這些病毒一般是通過修改註冊表中的啟動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion]等等。
這類方法一般也是適用於駭客類程式,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini檔中有一個"sh#ll="項,而在wini.ini檔中有"load= "、"run= "項,這些病毒一般就是在這些專案中載入它們自身的程式的,注意有時是修改原有的某個程式。我們可以運行Win9x/WinME中的msconfig.exe程式來一項一項查看。
這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的檔中寫入"CIH"這樣的字串,當對主要的系統檔(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,編輯之前最好還要要備份,畢竟是主要系統檔。
有些病毒不會破壞你的系統檔,而僅是生成一個隱藏的檔,這個檔一般內容很少,但所占硬碟空間很大,有時大得讓你的硬碟無法運行一般的程式,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的檔,相信這個龐然大物一定會現形的,因為病毒一般把它設置成隱藏屬性的,發現了再刪除它即可。
