【正文】 網(wǎng)絡(luò)鏈接出現(xiàn)。 　　14)自動(dòng)鏈接到一些陌生的網(wǎng)站 　　沒有在上網(wǎng)，計(jì)算機(jī)會(huì)自動(dòng)撥號(hào)并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn)，或者在上網(wǎng)的時(shí)候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計(jì)算機(jī)病毒的附件大多是腳本程序，通常不會(huì)超過100Kb字節(jié)。一般來說廣告電子函件有很明確的推銷目的，會(huì)有它推銷的產(chǎn)品介紹；垃圾電子函件的內(nèi)容要么自成章回，要么根本沒有價(jià)值。 　13)陌生人發(fā)來的電子函件 　　收到陌生人發(fā)來的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。 　　12)基本內(nèi)存發(fā)生變化 　　在DOS下用mem /c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時(shí)候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。 　　11)網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無法調(diào)用 　　對(duì)于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無法打開、瀏覽，或者對(duì)有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無法創(chuàng)建、修改文件。需要注意的是經(jīng)常瀏覽網(wǎng)頁(yè)、回收站中的文件過多、臨時(shí)文件夾下的文件數(shù)量過多過大、計(jì)算機(jī)系統(tǒng)有過意外斷電等情況也可能會(huì)造成可用的磁盤空間迅速減少。 　　10)磁盤空間迅速減少 　　沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。 　　9)運(yùn)行Word，打開Word文檔后，該文件另存時(shí)只能以模板方式保存無法另存為一個(gè)DOC文檔，只能?！　〈娉赡０逦臋n（DOT）。尤其是對(duì)那些系統(tǒng)文件，絕大多數(shù)情況下是不會(huì)修改它們的，除非是進(jìn)行系統(tǒng)升級(jí)或打補(bǔ)丁。 　8)系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化 　　這是最明顯的計(jì)算機(jī)病毒感染跡象。 　　7)以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤 　　在硬件和操作系統(tǒng)沒有進(jìn)行改動(dòng)的情況下，以前能夠正常運(yùn)行的應(yīng)用程序產(chǎn)生非法錯(cuò)誤和死機(jī)的情況明顯增加。這很可能是計(jì)算機(jī)病毒自動(dòng)查找軟盤是否在軟驅(qū)中的時(shí)候引起的系統(tǒng)異常。這很可能是計(jì)算機(jī)病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使之不能正常工作。 　5)打印和通訊發(fā)生異常 　　硬件沒有更改或損壞的情況下，以前工作正常的打印機(jī)，近期發(fā)現(xiàn)無法進(jìn)行打印操作，或打印出來的是亂碼。這可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源，并且自身的運(yùn)行占用了大量的處理器時(shí)間，造成系統(tǒng)資源不足，運(yùn)行變慢。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導(dǎo)。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時(shí)，又自我復(fù)制，以各種手段進(jìn)行傳播。有了識(shí)別計(jì)算機(jī)病毒的方法，那計(jì)算機(jī)具體中毒都有哪些表現(xiàn)了？根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段，可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類，即：計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象： 　 首先，計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象 　　計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，直到激發(fā)條件滿足，計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。比如，電腦動(dòng)作比平常遲鈍，正常使用計(jì)算機(jī)的時(shí)候突然出現(xiàn)黑屏、運(yùn)行一個(gè)小程序的時(shí)候出現(xiàn)硬盤連續(xù)長(zhǎng)時(shí)間讀取、內(nèi)存或者磁盤的空間突然減小、運(yùn)行程序時(shí)候死機(jī)等異常癥狀，這時(shí)我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對(duì)整個(gè)硬盤進(jìn)行徹底的檢查。經(jīng)常對(duì)Windows進(jìn)行更新可以有效地防止病毒的侵入　　道高一尺，魔高一丈。到時(shí)刪除它即可，這方面的例子在我進(jìn)行電腦網(wǎng)絡(luò)維護(hù)和個(gè)人電腦維修過程中見到幾例，明明只安裝了幾個(gè)常用程序，為什么在C盤之中幾個(gè)G的硬盤空間顯示就沒有了，經(jīng)過上述方法一般能很快地讓病毒顯形的。 d、特征字符串觀察法 這種方法主要是針對(duì)一些較特別的病毒，這些病毒入侵時(shí)會(huì)寫相應(yīng)的特征代碼，如CIH病毒就會(huì)在入侵的文件中寫入“CIH”這樣的字符串，當(dāng)然我們不可能輕易地發(fā)現(xiàn)，我們可以對(duì)主要的系統(tǒng)文件（)運(yùn)用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現(xiàn)，當(dāng)然編輯之前最好還要要備份，畢竟是主要系統(tǒng)文件。我們可以運(yùn)行Win9x/。 b、注冊(cè)表觀察法 這類方法一般適用于近來出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊(cè)表中的啟動(dòng)、加載配置來達(dá)到自動(dòng)啟動(dòng)或加載的，一般是在如下幾個(gè)地方實(shí)現(xiàn)： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion 　　\RunOnce] 等等，在其中對(duì)注冊(cè)表中可能出現(xiàn)的地方會(huì)有一個(gè)比較詳盡的分析。至于這些反病毒軟件的使用在此就不必說敘了，我相信大家都有這個(gè)水平！ 這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準(zhǔn)確地觀察到。但隨著計(jì)算機(jī)程序開發(fā)語(yǔ)言的技術(shù)性提高、計(jì)算機(jī)網(wǎng)絡(luò)越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件開發(fā)公司也是越來越多了。有了病毒的一些基本知識(shí)后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我可以按以下幾個(gè)方法來判斷。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的作為特征的穩(wěn)定代碼。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。通過對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。③將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)，自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。②在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和。在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)己知病毒又可發(fā)現(xiàn)未知病毒。通常，大多數(shù)的病毒都不是單獨(dú)存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會(huì)有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。打開被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)，根據(jù)數(shù)據(jù)庫(kù)中的病毒特征代碼。③將特征代碼納入病毒數(shù)據(jù)庫(kù)。②在病毒樣本中，抽取病毒特征代碼。特征代碼法的實(shí)現(xiàn)步驟如下:①采集已知病毒樣本。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下：特征代碼法被早期應(yīng)用于SCAN,CPAV等著名病毒檢測(cè)工具中，目前被認(rèn)為是用來檢測(cè)己知病毒的最簡(jiǎn)單、開銷最小的方法。原則以防御計(jì)算機(jī)病毒為主動(dòng)，主要表現(xiàn)在檢測(cè)行為的動(dòng)態(tài)性和防范方法的廣泛性。并且需要用戶掌握一些查殺病毒的知識(shí)，在發(fā)現(xiàn)病毒時(shí)，及時(shí)保護(hù)好資料，并清除病毒。目前大多數(shù)文件型的病毒屬于這一類。 c、系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。人們使用Internet的頻率是如此之高，使得Internet已是計(jì)算機(jī)病毒的第一傳播途徑。計(jì)算機(jī)病毒可以附著在正常文件中，當(dāng)你從網(wǎng)上下載一個(gè)被感染的程序或文件，并在你的計(jì)算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它，病毒就傳染過來了。U盤作為當(dāng)前人們最方便、最常用的存儲(chǔ)介質(zhì)和文件拷貝、攜帶工具，同時(shí)病毒的傳播中發(fā)揮了重要的作用。為了使軟件及相關(guān)的數(shù)字資源的傳播而得到廣泛應(yīng)用。安裝具有注冊(cè)表實(shí)時(shí)監(jiān)控功能的防護(hù)軟件，做好注冊(cè)表的備份工作，禁用Remote Registry Service服務(wù)。但是這個(gè)并不能真正防止網(wǎng)頁(yè)惡意代碼的攻擊，因?yàn)檫@些惡意代碼有可能在任何地方出現(xiàn)。要避免被網(wǎng)頁(yè)惡意代碼感染，首先關(guān)鍵是不要輕易去訪問一些并不信任的站點(diǎn)，尤其是一些帶有美女圖片等的網(wǎng)址。我們要時(shí)刻關(guān)注微軟官方站點(diǎn)，及時(shí)安裝iis的漏洞補(bǔ)丁。主要通過端口80來完成操作，因?yàn)樽鳛閃eb服務(wù)器，80端口總要打開，具有很大的威脅性。個(gè)人用戶應(yīng)禁止自動(dòng)打開默認(rèn)共享，給自己的帳戶設(shè)置復(fù)雜密碼，最好是數(shù)字、字母以及特殊符號(hào)相結(jié)合，安裝防火墻。安裝木馬查殺軟件并及時(shí)更新。也可能是我們不小心，運(yùn)行了包含有木馬的程序，最多的情況還是我們防范意識(shí)不強(qiáng)，隨便運(yùn)行了別人發(fā)來的“好玩”的程序。病毒在取得主機(jī)的控制權(quán)后，就隨時(shí)可以尋找合適的目標(biāo)文件進(jìn)行感染，把病毒副本嵌入到目標(biāo)文件中。計(jì)算機(jī)病毒是寄生在受感染文件上的，只有計(jì)算機(jī)操作者執(zhí)行或者打開受感染的文件，計(jì)算機(jī)病毒才有執(zhí)行的機(jī)會(huì)，才能取得主機(jī)的控制權(quán)。即感染病毒的文件從一臺(tái)計(jì)算機(jī)復(fù)制、遷移到另一臺(tái)計(jì)算機(jī)。如FunLove、“中國(guó)黑客”等病毒都屬于這個(gè)范疇。PE病毒是目前影響力極大的一類病毒。腳本病毒依賴于一些特殊的腳本語(yǔ)言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。 ⑦ 腳本病毒工作方式腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。它們會(huì)在使用者訪問網(wǎng)頁(yè)時(shí)被執(zhí)行。具有Java功能的瀏覽器可以運(yùn)行這個(gè)小程序。因此用Java編寫的應(yīng)用程序的移植性非常強(qiáng)，包括現(xiàn)在的手機(jī)中的一些程序也是用Java編寫的。 ⑤Java病毒工作方式 Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語(yǔ)言。它們通常利用宏的自動(dòng)化功能進(jìn)行感染，當(dāng)一個(gè)感染的宏被運(yùn)行時(shí)，它會(huì)將自己安裝在應(yīng)用的模板中，并感染應(yīng)用創(chuàng)建和打開的所有文檔。主要感染COM、EXE和MBR。當(dāng)被感染文件執(zhí)行時(shí)，會(huì)感染硬盤的主引導(dǎo)記錄。 （a）引導(dǎo)型病毒 （b）文件型病毒③混和型病毒工作方式 混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。①引導(dǎo)型病毒的工作方式 ②文件型病毒的工作方式 在目前已知的病毒中，大多數(shù)屬于文件型病毒。 變型病毒（又稱幽靈病毒） 這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。 詭秘型病毒 它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作，不會(huì)造成任何破壞，但是在后來的高密度軟盤上能引發(fā)大量的數(shù)據(jù)丟失。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。 　 非常危險(xiǎn)型： 這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。 無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。（四）計(jì)算機(jī)病毒的分類按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分