發(fā)言人
chrre
發(fā)信
發(fā)帖:69 回復(fù):421
注冊時間:2004-12-07 11:05:25
|
必掌握的病毒知識(三)
如果按病毒的破壞程度來分���,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒����,是因為它們?nèi)肭值哪康牟皇瞧茐哪愕南到y(tǒng)��,只是想玩一玩而已���,多數(shù)是一些初級病毒發(fā)燒友想測試一下自己的開發(fā)病毒程序的水平��。它們并不想破壞你的系統(tǒng)�,只是發(fā)出某種聲音�,或出現(xiàn)一些提示,除了占用一定的硬盤空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣�����,只是想竊取你電腦中的一些通訊信息����,如密碼、IP地址等�,以備有需要時用。
b�、惡性病毒
我們把只對軟件系統(tǒng)造成干擾、竊取信息�����、修改系統(tǒng)信息����,不會造成硬件損壞、數(shù)據(jù)丟失等嚴(yán)重后果的病毒歸之為“惡性病毒”�����,這類病毒入侵后系統(tǒng)除了不能正常使用之外����,別無其它損失�����,系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復(fù)�,當(dāng)然還是要?dú)⒌暨@些病毒之后重裝系統(tǒng)��。
c����、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統(tǒng)就要徹底崩潰����,根本無法正常啟動,你保分留在硬盤中的有用數(shù)據(jù)也可能隨之不能獲取����,輕一點(diǎn)的還只是刪除系統(tǒng)文件和應(yīng)用程序等�。
d、災(zāi)難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度��,這類病毒一般是破壞磁盤的引導(dǎo)扇區(qū)文件���、修改文件分配表和硬盤分區(qū)表�,造成系統(tǒng)根本無法啟動,有時甚至?xí)袷交蜴i死你的硬盤��,使你無法使用硬盤�����。如果一旦染上這類病毒��,你的系統(tǒng)就很難恢復(fù)了���,保留在硬盤中的數(shù)據(jù)也就很難獲取了����,所造成的損失是非常巨大的����,所以我們進(jìn)化論什么時候應(yīng)作好最壞的打算,特別是針對企業(yè)用戶��,應(yīng)充分作好災(zāi)難性備份���,還好現(xiàn)在大多數(shù)大型企業(yè)都已認(rèn)識到備份的意義所在����,花巨資在每天的系統(tǒng)和數(shù)據(jù)備份上,雖然大家都知道或許幾年也不可能遇到過這樣災(zāi)難性的后果��,但是還是放松這“萬一”���。我所在的雀巢就是這樣��,而且還非常重視這個問題����。如98年4.26發(fā)作的CIH病毒就可劃歸此類����,因為它不僅對軟件造成破壞,更直接對硬盤����、主板的BIOS等硬件造成破壞。
必掌握的病毒知識(四)
如按病毒的入侵的方式來分為以下幾種:
a�����、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序���,病毒是在源程序編譯之前插入病毒代碼���,最后隨源程序一起被編譯成可執(zhí)行文件,這樣剛生成的文件就是帶毒文件����。當(dāng)然這類文件是極少數(shù),因為這些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序���,況且這種入侵的方式難度較大���,需要非常專業(yè)的編程水平。
b��、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊�,這類病毒也少見,它主要是攻擊特定的程序���,針對性較強(qiáng)�,但是不易被發(fā)現(xiàn)����,清除起來也較困難��。
c���、系統(tǒng)修改型
這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能,由于是直接感染系統(tǒng)�,危害較大,也是最為多見的一種病毒類型�,多為文件型病毒。
d����、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當(dāng)于給程序添加了一個外殼����,在被感染的程序執(zhí)行時,病毒代碼先被執(zhí)行�����,然后才將正常程序調(diào)入內(nèi)存����。目前大多數(shù)文件型的病毒屬于這一類。
有了病毒的一些基本知識后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷���。
1、反病毒軟件的掃描法
這恐怕是我們絕大數(shù)朋友首選���,也恐怕是唯一的選擇���,現(xiàn)在病毒種類是越來越多,隱蔽的手段也越來越高明��,所以給查殺病毒帶來了新的難度�����,也給反病毒軟件開發(fā)商帶來挑戰(zhàn)�����。但隨著計算機(jī)程序開發(fā)語言的技術(shù)性提高����、計算機(jī)網(wǎng)絡(luò)越來越普及,病毒的開發(fā)和傳播是越來越容易了�����,因而反病毒軟件開發(fā)公司也是越來越多了。但目前比較有名的還是那么幾個系統(tǒng)的反病毒軟件�����,如金山毒霸�����、KV300�、KILL、PC-cillin�����、VRV�、瑞星、諾頓等��。至于這些反病毒軟件的使用在此就不必說敘了��,我相信大家都有這個水平�!
2、觀察法
這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準(zhǔn)確地觀察到���。如硬盤引導(dǎo)時經(jīng)常出現(xiàn)死機(jī)�、系統(tǒng)引導(dǎo)時間較長、運(yùn)行速度很慢��、不能訪問硬盤���、出現(xiàn)特殊的聲音或提示等上述在第一大點(diǎn)中出現(xiàn)的故障時,我們首先要考慮的是病毒在作怪�����,但也不能一條胡洞走到底�����,上面我不是講了軟��、硬件出現(xiàn)故障同樣也可能出現(xiàn)那些癥狀嘛�����!對于如屬病毒引起的我們可以從以下幾個方面來觀察:
a���、內(nèi)存觀察
這一方法一般用在DOS下發(fā)現(xiàn)的病毒���,我們可用DOS下的“mem/c/p”命令來查看各程序占用內(nèi)存的情況��,從中發(fā)現(xiàn)病毒占用內(nèi)存的情況(一般不單獨(dú)占用�����,而是依附在其它程序之中)���,有的病毒占用內(nèi)存也比較隱蔽,用“mem/c/p”發(fā)現(xiàn)不了它����,但可以看到總的基本內(nèi)存640K之中少了那么區(qū)區(qū)1k或幾K。
b���、注冊表觀察法
這類方法一般適用于近來出現(xiàn)的所謂黑客程序�����,如木馬程序�����,這些病毒一般是通過修改注冊表中的啟動���、加載配置來達(dá)到自動啟動或加載的�����,一般是在如下幾個地方實(shí)現(xiàn):
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
c����、系統(tǒng)配置文件觀察法
這類方法一般也是適用于黑客類程序�����,這類病毒一般在隱藏在system.ini ���、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell=”項�����,而在wini.ini文件中有“l(fā)oad= ”�����、“run= ”項��,這些病毒一般就是在這些項目中加載它們自身的程序的,注意有時是修改原有的某個程序��。我們可以運(yùn)行Win9x/WinME中的msconfig.exe程序來一項一項查看�����。
d��、特征字符串觀察法
這種方法主要是針對一些較特別的病毒���,這些病毒入侵時會寫相應(yīng)的特征代碼�,如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串���,當(dāng)然我們不可能輕易地發(fā)現(xiàn)���,我們可以對主要的系統(tǒng)文件(如Explorer.exe)運(yùn)用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現(xiàn),當(dāng)然編輯之前最好還要要備份�����,畢竟是主要系統(tǒng)文件���。
e�、硬盤空間觀察法
有些病毒不會破壞你的系統(tǒng)文件,而僅是生成一個隱藏的文件�����,這個文件一般內(nèi)容很少����,但所占硬盤空間很大,有時大得讓你的硬盤無法運(yùn)行一般的程序�,但是你查又看不到它,這時我們就要打開資源管理器��,然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件(這方法應(yīng)不需要我來說吧���?)�,相信這個龐然大物一定會到時顯形的�����,因為病毒一般把它設(shè)置成隱藏屬性的��。到時刪除它即可��,這方面的例子在我進(jìn)行電腦網(wǎng)絡(luò)維護(hù)和個人電腦維修過程中見到幾例�,明明只安裝了幾個常用程序,為什么在C盤之中幾個G的硬盤空間顯示就沒有了�����,經(jīng)過上述方法一般能很快地讓病毒顯形的
|
