【文章內容簡介】 越容易了，因而反病毒軟件開發(fā)公司也是越來越多了。但目前比較有名的還是那么幾個系統(tǒng)的反病毒軟件，如金山毒霸、KV300、KILL、PCcillin、VRV、瑞星、諾頓等。至于這些反病毒軟件的使用在此就不必說敘了，我相信大家都有這個水平！ 這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準確地觀察到。如硬盤引導時經常出現(xiàn)死機、系統(tǒng)引導時間較長、運行速度很慢、不能訪問硬盤、出現(xiàn)特殊的聲音或提示等上述在第一大點中出現(xiàn)的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬件出現(xiàn)故障同樣也可能出現(xiàn)那些癥狀嘛！對于如屬病毒引起的我們可以從以下幾個方面來觀察： a、內存觀察 這一方法一般用在DOS下發(fā)現(xiàn)的病毒，我們可用DOS下的“mem/c/p”命令來查看各程序占用內存的情況，從中發(fā)現(xiàn)病毒占用內存的情況（一般不單獨占用，而是依附在其它程序之中），有的病毒占用內存也比較隱蔽，用“mem/c/p”發(fā)現(xiàn)不了它，但可以看到總的基本內存640K之中少了那么區(qū)區(qū)1k或幾K。 b、注冊表觀察法 這類方法一般適用于近來出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的，一般是在如下幾個地方實現(xiàn)： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion 　　\RunOnce] 等等，在其中對注冊表中可能出現(xiàn)的地方會有一個比較詳盡的分析。 c、系統(tǒng)配置文件觀察法 這類方法一般也是適用于黑客類程序， 、（Win9x/WinME）和啟動組中，shell=”項，“l(fā)oad= ”、“run= ”項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/。具體也可參考我的《通通透透看木馬》一文。 d、特征字符串觀察法 這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特征代碼，如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串，當然我們不可能輕易地發(fā)現(xiàn)，我們可以對主要的系統(tǒng)文件（)運用16進制代碼編輯器進行編輯就可發(fā)現(xiàn)，當然編輯之前最好還要要備份，畢竟是主要系統(tǒng)文件。 e、硬盤空間觀察法 有些病毒不會破壞你的系統(tǒng)文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網絡維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什么在C盤之中幾個G的硬盤空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。 連續(xù)長時間讀取、內存或者磁盤的空間突然減小、運行程序時候死機等異常癥狀，這時我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個硬盤進行徹底的檢查。經常對Windows進行更新可以有效地防止病毒的侵入　　道高一尺，魔高一丈。即使我們做的夠多夠好，仍然無法應付最新的病毒爆發(fā)，這就需要我們在使用計算機的時候時刻保持清醒的頭腦，要密切注意計算機的異常癥狀。比如，電腦動作比平常遲鈍，正常使用計算機的時候突然出現(xiàn)黑屏、運行一個小程序的時候出現(xiàn)硬盤連續(xù)長時間讀取、內存或者磁盤的空間突然減小、運行程序時候死機等異常癥狀，這時我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個硬盤進行徹底的檢查。經常對Windows進行更新可以有效地防止病毒的侵入。有了識別計算機病毒的方法，那計算機具體中毒都有哪些表現(xiàn)了？根據計算機病毒感染和發(fā)作的階段，可以將計算機病毒的表現(xiàn)現(xiàn)象分為三大類，即：計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象： 　 首先，計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象 　　計算機病毒發(fā)作前，是指從計算機病毒感染計算機系統(tǒng)，潛伏在系統(tǒng)內開始，直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時，又自我復制，以各種手段進行傳播。 　　以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象： 　1)平時運行正常的計算機突然經常性無緣無故地死機 　　病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生 　　2)操作系統(tǒng)無法正常啟動 　　關機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結構發(fā)生變化，無法被操作系統(tǒng)加載、引導。 　　3)運行速度明顯變慢 　　在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。 　4)以前能正常運行的軟件經常發(fā)生內存不足的錯誤 　　某個以前能夠正常運行的程序，程序啟動的時候報系統(tǒng)內存不足，或者使用應用程序中的某個功能時報說內存不足。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內存空間，使得可用內存空間減小。需要注意的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用“復制／粘貼”操作粘貼一段很大的文字到記事本程序時，也會報“內存不足，不能完成操作”的錯誤，但這不是計算機病毒在作怪。 　5)打印和通訊發(fā)生異常 　　硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，比如調制解調器不撥號。這很可能是計算機病毒駐留內存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。 　　6)無意中要求對軟盤進行寫操作 　　沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅中沒有插入軟盤，或者要求在讀取、復制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序（如Office 97）對軟盤有寫的操作。 　　7)以前能正常運行的應用程序經常發(fā)生死機或者非法錯誤 　　在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應用程序產生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。 　8)系統(tǒng)文件的時間、日期、大小發(fā)生變化 　　這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補丁。對應用程序使用到的數據文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。 　　9)運行Word，打開Word文檔后，該文件另存時只能以模板方式保存無法另存為一個DOC文檔，只能?！　〈娉赡０逦臋n（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。 　　10)磁盤空間迅速減少 　　沒有安裝新的應用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經常瀏覽網頁、回收站中的文件過多、臨時文件夾下的文件數量過多過大、計算機系統(tǒng)有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內存交換文件的增長，在Windows 95/98下內存交換文件會隨著應用程序運行的時間和進程的數量增加而增長，一般不會減少，而且同時運行的應用程序數量越多，內存交換文件就越大。 　　11)網絡驅動器卷或共享目錄無法調用 　　對于有讀權限的網絡驅動器卷、共享目錄等無法打開、瀏覽，或者對有寫權限的網絡驅動器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網絡驅動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網絡驅動器卷和共享目錄的正常訪問。 　　12)基本內存發(fā)生變化 　　在DOS下用mem /c/p命令查看系統(tǒng)中內存使用狀況的時候可以發(fā)現(xiàn)基本內存總字節(jié)數比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統(tǒng)感染了引導型計算機病毒所造成的。 　13)陌生人發(fā)來的電子函件 　　收到陌生人發(fā)來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產品介紹；垃圾電子函件的內容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。 　　14)自動鏈接到一些陌生的網站 　　沒有在上網，計算機會自動撥號并連接到因特網上一個陌生的站點，或者在上網的時候發(fā)現(xiàn)網絡特別慢，存在陌生的網絡鏈接。這種聯(lián)接大多是黑客程序將收集到的計算機系統(tǒng)的信息“悄悄地”發(fā)回某個特定的網址，可以通過netstat命令查看當前建立的網絡鏈接，再比照訪問的網站來發(fā)現(xiàn)。需要注意的是有些網頁中有一些腳本程序會自動鏈接到一些網頁評比站點，或者是廣告站點，這時候也會有陌生的網絡鏈接出現(xiàn)。當然，這種情況也可以認為是非法的。 　　一般的系統(tǒng)故障是有別于計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據上述幾點，就可以初步判斷計算機和網絡是否感染上了計算機病毒。 　　其次，計算機病毒發(fā)作時的表征現(xiàn)象 　　計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件，計算機病毒程序開始破壞行為的階段。計算機病毒發(fā)作時的表現(xiàn)大都各不相同，可以說一百個計算機病毒發(fā)作有一百種花樣。這與編寫計算機病毒者的心態(tài)、所采用的技術手段等都有密切的關系。 以下列舉了一些計算機病毒發(fā)作時常見的表現(xiàn)現(xiàn)象： 　　1)提示一些不相干的話 　　最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。 　2)發(fā)出一段的音樂 　　惡作劇式的計算機病毒，最著名的是外國的“楊基”計算機病毒（Yangkee）和中國的“瀏陽河”計算機病毒?！皸罨庇嬎銠C病毒發(fā)作是利用計算機內置的揚聲器演奏《楊基》音樂，而“瀏陽河”計算機病毒更絕，當系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》，而當系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于“良性”計算機病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。 　3)產生特定的圖象 　　另一類惡作劇式的計算機病毒，比如小球計算機病毒，發(fā)作時會從屏幕上方不斷掉落下來小球圖形。單純地產生圖象的計算機病毒大多也是“良性”計算機病毒，只是在發(fā)作時破壞用戶的顯示界面，干擾用戶的正常工作。 　　4)硬盤燈不斷閃爍 　　硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續(xù)大量的操作時，硬盤的燈就會不斷閃爍，比如