论坛: 病毒专区 标题: 病毒知识大全----置顶贴子综合2 复制本贴地址    
作者: 流浪猫猫 [rovecat]    版主   登录
目前全球有20多万种病毒,按照基本类型划分,可归结为6种类型:

  一、引导型病毒

  引导型病毒主要是感染软盘、硬盘的引导扇区或主引导扇区。在用户对软盘、硬盘进行读写动作时进行感染活动。在我国流行的引导型病毒有Anti-CMOS、GENP/GENB、Stone、 6.4、Torch、Monkey等。

  引导型病毒感染软盘时并不理会该软盘是否为可启动的系统盘,因此一般的数据盘也会被感染。在系统重新启动时首先尝试读A:盘,当染有引导区病毒的软盘插在A:驱动器中,只要软盘的引导扇区内容被读进PC机,即使启动不成功,病毒也已经驻留在内存中,可以继续去感染硬盘和其他未染病毒的软盘了。

  二、可执行文件病毒

  可执行文件病毒主要是感染可执行文件(对于DOS或Windows来说是感染COM和EXE等可执行文件)。被感染的可执行文件在执行的同时,病毒被加载并向其他正常的可执行文件传染。像在我国流行的Die_Hard、DIR Ⅱ和感染Windows 95/98操作系统的CIH、HPS、Murburg,以及感染NT操作系统的Infis、RE等病毒都属此列。

  文件型病毒与引导型病毒工作的方式是完全不同的,在各种PC机病毒中,文件型病毒占的数目最大,传播最广,采用的技巧也多。而且,各种文件型病毒的破坏性也各不相同,如令中国用户大受损失的CIH病毒,是通过感染系统的可执行文件,同时利用Windows系统的VxD技术,破坏计算机BIOS,使计算机无法启动。

  三、宏病毒

  宏病毒是利用宏语言编制的病毒,与前两种病毒存在很大的区别。宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅向Word、Excel和Access、PowerPoint、Project等办公自动化程序编制的文档进行传染,而不会传染给可执行文件。在我国流行的宏病毒有:TaiWan1、Concept、Simple2、ethan、?月杀手”等,我们所说的蠕虫病毒也应纳入宏病毒范围。蠕虫病毒能通过网络邮件系统快速自动扩散传播,在短时间内造成大面积网络阻塞。今年的“美丽杀手”之类蠕虫病毒及其变种就曾造成轰动世界的互联网络瘫痪事件。

  四、混合型病毒

  混合型病毒是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。在我国流行的混合型病毒有One_half、Casper、Natas、Flip等。

  混合型病毒不仅传染可执行文件而且还传染硬盘引导区,被这种病毒传染的系统用Format命令格式化硬盘都不能消除病毒。

  五、特洛伊木马型病毒

  特洛伊木马型病毒也叫“黑客程序”或后门病毒,应该属于文件型病毒的一种。但是由于我国公安部门已于1998年底向全国发出通告,提醒广大计算机用户注意防范此类特洛伊木马病毒,所以在此我们将其单独列为一种。一般此种病毒分成服务器端和客户端两部分,如计算机网络中服务器端被此程序感染,别人可通过网络任意控制此计算机,并获得重要文件。在我国流行的此类病毒有BO、Netspy等。

  六、Internet语言病毒

  随着Internet的发展,Java、VB和ActiveX的网页技术逐渐被广泛使用,某些不良用心的人便利用Java、VB和ActiveX的特性来撰写病毒。这些病毒虽然从现在的发展情况来看并不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就在神不知鬼不觉的状态下,让病毒进入机器进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。


计算机病毒知识大全

  提起计算机病毒,相信绝大多数用户都不会陌生(即使那些没有接触过计算机的人大多也听说过),有些用户甚至还对计算机病毒有着切肤之痛,不过要问起计算机病毒是如何产生的、病毒到底有些什么特征,能够回答生来的用户可能并不多。为此,本人特将有关计算机病毒的定义、起源、历史、特征、传播途径、分类、最新动态、错误认识、防毒原则、解决病毒的办法等内容汇集成文,希望能对广大用户日常的反病毒操作有所帮助:


一、病毒定义
  计算机病毒使指那些具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。


二、病毒起源
  计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚,因为他们发现病毒比加密对付非法拷贝更有效且更有威胁,这种情况助长了病毒的传播。还有一种情况就是蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为,而政府行为则是有组织的战略战术手段(据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪)。另外有的病毒还是用于研究或实验而设计的"有用"程序,由于某种原因失去控制扩散出实验室或研究所,从而成为危害四方的计算机病毒。


三、病毒历史
  病毒是如何一步步的从无到有、从小到大的发展到今天的地步的呢?下面的介绍可以解除你的这一疑问:

  概念的提出 "计算机病毒"这一概念是1977年由美国著名科普作家"雷恩"在一部科幻小说《P1的青春》中提出
  1983年 美国计算机安全专家"考因"首次通过实验证明了病毒的可实现性。
  1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等,面对计算机病毒的 突然袭击,众多计算机用户甚至专业人员都惊慌失措。
  1989年 全世界的计算机病毒攻击十分猖獗,我国也为幸免。其中"米开朗基罗"病毒给许多计算机用户造成极大损失。
  1991年 在"海湾战争"中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利。
  1992年 出现针对杀毒软件的"幽灵"病毒,如One-half。
  1996年 首次出现针对微软公司Office的"宏病毒"。
  1997年 1997年被公认为计算机反病毒界的"宏病毒"年。"宏病毒"主要感染WORD、EXCEL等文件。如Word宏病毒,早期是用一种专门的Basic语言即WordBasic所编写的程序,后来使用Visual Basic。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如:Tw no.1(台湾一号)、Setmd、Consept、Mdma等。
  1998年 出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。1998年8月份从台湾传入国内,共有三个版本:1.2版/1.3版/1.4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。它主要感染Windows95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。病毒发作时,硬盘驱动器不停旋转转,硬盘上所有数据(包括分区表)被破坏,必须重新FDISK方才有可能挽救硬盘;同时,对于部分厂牌的主板(如技嘉和微星等),会将Flash BIOS中的系统程序破坏,造成开机后系统无反应。
1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。

四、病毒的特征
  提起病毒,大家都很熟悉,可说到病毒到底有哪些特征,能有说出个所以然的用户却不多,许多用户甚至根本搞不清到底什么是病毒,这就严重影响了对病毒的防治工作。有鉴于此,特将常见病毒的特征简要介绍如下,希望广大用户能藉以对病毒有一个较完善的灵性认识。
1. 传染性
  传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
  正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
2. 未经授权而执行
  一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
3. 隐蔽性
  病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
4. 潜伏性
  大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如"PETER-2"在每年2月27日会提三个问题,答错后会将硬盘加密。著名的"黑色星期五"在逢13号的星期五发作。国内的"上海一号"会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
5. 破坏性
  任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心(最著名的恐怕就是CIH病毒了)。
6. 不可预见性
  从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。
看了上面的介绍,你是不是对计算机病毒有了一个初步的了解?
五、病毒的传播途径
1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段对付。
2. 通过移动存储设备来传播(包括软盘、磁带等)。其中软盘是使用最广泛移动最频繁的存储介质,因此也成了计算机病毒寄生的"温床"。
3. 通过计算机网络进行传播。随着Internet的高速发展,计算机病毒也走上了高速传播之路,现在通过网络传播已经成为计算机病毒的第一传播途径。
4. 通过点对点通信系统和无线通道传播。


六、病毒的分类
各种不同种类的病毒有着各自不同的特征,它们有的以感染文件为主、有的以感染系统引导区为主、大多数病毒只是开个小小的玩笑、但少数病毒则危害极大(如臭名昭著CIH病毒),这就要求我们采用适当的方法对病毒进行分类,以进一步满足日常操作的需要:
1. 按传染方式分类
病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒三种。其中引导型病毒主要是感染磁盘的引导区,我们在使用受感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区,它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径。
2. 按连接方式分类
病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。其中源码病毒主要攻击高级语言编写的源程序,它会将自己插入到系统的源程序中,并随源程序一起编译、连接成可执行文件,从而导致刚刚生成的可执行文件直接带毒,不过该病毒较为少见,亦难以编写;入侵型病毒则是那些用自身代替正常程序中的部分模块或堆栈区的病毒,它只攻击某些特定程序,针对性强,一般情况下也难以被发现,清除起来也较困难;操作系统病毒则是用其自身部分加入或替代操作系统的部分功能,危害性较大;外壳病毒主要是将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳,大部份的文件型病毒都属于这一类。
3. 按破坏性分类
病毒按破坏性可分为良性病毒和恶性病毒。顾名思义,良性病毒当然是指对系统的危害不太大的病毒,它一般只是作个小小的恶作剧罢了,如破坏屏幕显示、播放音乐等(需要注意的是,即使某些病毒不对系统造成任何直接损害,但它总会影响系统性能,从而造成了一定的间接危害);恶性病毒则是指那些对系统进行恶意攻击的病毒,它往往会给用户造成较大危害,如最近十分流行的CIH病毒就就属此类,它不仅删除用户的硬盘数据,而且还破坏硬件(主板),实可谓"十恶不赦"!
4. 按程序运行平台分类
病毒按程序运行平台分类可分为DOS病毒、Windows病毒、Windows NT病毒、OS/2病毒等,它们分别发作于DOS、Windows 9X、Windows NT、OS/2等操作系统平台上的病毒。
5. 新型病毒
部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类,如宏病毒、黑客软件、电子邮件病毒等。
宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒,如感染WORD系统的WORD宏病毒、感染EXCEL系统的EXCEL宏病毒和感染Lotus Ami Pro的宏病毒等。宏病毒与以往的病毒有着截然不同的特点,如它感染数据文件,彻底改变了人们的"数据文件不会传播病毒"的错误认识;宏病毒冲破了以往病毒在单一平台上传播的局限,当WORD、EXCEL这类软件在不同平台(如WINDOWS、WINDOWS NT、OS/2和MACINTOSH等)上运行时,就可能会被宏病毒交叉感染;以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码形式出现,所以编写和修改宏病毒比以往病毒更容易;另外宏病毒还具有容易传播、隐蔽性强、危害巨大等特点。最终来说,宏病毒应该算是一种特殊的文件型病毒,同时它应该也可以算是"按程序运行平台分类"中的一种特例。
黑客软件本身并不是一种病毒,它实质是一种通讯软件,而不少别有用心的人却利用它的独特特点来通过网络非法进入他人计算机系统,获取或篡改各种数据,危害信息安全。正是由于黑客软件直接威胁各个广大网民的数据安全,况且用户手工很难对其进行防范的独特特点,因此各大反病毒厂商纷纷将黑客软件纳入病毒范围,利用杀毒软件将黑客从用户的计算机中驱逐出境,从而保护了用户的网络安全。
电子邮件病毒实际上并不是一类单独的病毒,它严格来说应该划入到文件型病毒及宏病毒中去,只不过由于这些病毒采用了独特的电子邮件传播方式(其中不少种类还专门针对电子邮件的传播方式进行了优化),因此我们习惯于将它们定义为电子邮件病毒。


七、最新动态
  近一段时间以来,计算机病毒不但没有象人们想象的那样随着Internet的流行而趋于消亡,而是进一步的爆发流行,如CIH、Happy99等,它们与以往的病毒相比具有一些新的特点,如传染性、隐蔽性、破坏性等,给广大计算机用户带来了极大的经济损失。为方便用户的使用,现将计算机病毒的最新动态向大家做一个简要介绍:

  多形性病毒 多形性病毒又名"幽灵"病毒,是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密,因而完全多形性病毒的主要不同样本中甚至不存在连续两个相同的字节。这种病毒主要是针对查毒软件而设计的,所以使得查毒软件的编写更困难,并且还会带来许多误报。
  轻微破坏病毒 文件备份是人们用于对抗病毒的一种常用的方法,轻微破坏病毒就是针对备份而设计的。它每次只破坏一点点数据,用户难以察觉,这就导致用户每次备份的数据均是已被破坏的内容。当用户发觉到数据被彻底破坏时,可能所有备份中的数据均是被破坏的,这时的损失是难以估计的。
宏病毒 宏病毒是使用某种应用程序自带的宏编程语言编写的病毒,目前国际上已发现五类:Word宏病毒、Excel宏病毒、Access宏病毒、Ami Pro宏病毒、Word Perfect宏病毒。其中Word宏病毒最多,流行最范围最广,96年下半年开始在我国出现,97年在全国各地广泛流行,成为目前最主要的病毒,如Tw No.1(台湾一号)、Concept(概念)、SetMd、Cap、MdMa(无政府一号)等。
  病毒生成工具 病毒生成工具通常是以菜单形式驱动,只要是具备一点计算机知识的人,利用病毒生成工具就可以象点菜一样轻易地制造出计算机病毒,而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。如:G2、VCL、MTE、TPE等。
  黑客软件 黑客软件本身并不是一种病毒,它实际上是一种通讯软件,而不少别有用心的人却利用它的独特特点来通过网络非法进入他人计算机系统,获取或篡改各种数据,危害信息安全。正是由于黑客软件直接威胁各个广大网民的数据安全,况且用户手工很难对其进行防范,因此各大反病毒厂商纷纷将黑客软件纳入病毒范围,利用杀毒软件将黑客从用户的计算机中驱逐出境(黑客软件对既没有上Internet、又没有连局域网纯粹的单机没有危害)。
  电子邮件病毒 电子邮件病毒实际上并不是一类单独的病毒,它严格来说应该划入到文件型病毒及宏病毒中去,只不过由于这些病毒采用了独特的电子邮件传播方式(其中不少种类还专门针对电子邮件的传播方式进行了优化,如前一段时间曾爆发流行的Happy99),因此我们习惯于将它们定义为电子邮件病毒。



八、病毒的破坏行为
  不同病毒有不同的破坏行为,其中有代表性的行为如下:

  攻击系统数据区 即攻击计算机硬盘的主引寻扇区、Boot扇区、FAT表、文件目录等内容(一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复)。
  攻击文件 是删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。
  攻击内存 内存是计算机的重要资源,也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。
  干扰系统运行 不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。
  速度下降 不少病毒在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
  攻击键盘 响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。
  攻击喇叭 发出各种不同的声音,如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
  攻击CMOS 对CMOS区进行写入动作,破坏系统CMOS中的数据。
  干扰打印机 间断性打印、更换字符等。

九、防毒原则
1. 不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
2. 写保护所有系统盘,绝不把用户数据写到系统盘上。
3. 安装真正有效的防毒软件,并经常进行升级。
4. 新购买的电脑要在使用之前首先要进行病毒检查,以免机器带毒。
5. 准备一张干净的系统引导盘,并将常用的工具软件拷贝到该软盘上,然后加以保存。此后一旦系统受"病毒"侵犯,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。
6. 对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。
7. 尽量不要使用软盘启动计算机。
8. 一定要将硬盘引导区和主引导扇区备份下来,并经常对重要数据进行备份,防患于未然。
9. 随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。


十、碰到病毒之后的解决办法
1. 在解毒之前,要先备份重要的数据文件。
2. 启动反病毒软件,并对整个硬盘进行扫描。
3. 发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。同时,我们还应将病毒样本送交反病毒软件厂商的研究中心,以供详细分析。
4. 某些病毒在Windows 98状态下无法完全清除(如CIH病毒就是如此),此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。
十一、对计算机病毒的错误认识
  随着计算机反病毒技术的不断发展,广大用户对计算机病毒的了解也是越来越深,以前那种"谈毒色变"的情况再也不会出现了!不过本人在日常错作过程中发现,许多用户对病毒的认识还存在着一定的误区,如"认为自己已经购买了正版的杀毒软件,因而再也不会受到病毒的困扰了"、"病毒不感染数据文件"等,这些错误认识在一定程度上影响了用户对病毒的正确处理(如前段时间不少被CIH病毒感染的计算机中都安装有反病毒软件,只不过由于用户没有及时升级杀毒软件的病毒代码才导致了这一悲剧)!为此,特将用户的这些错误认识列举如下,希望对大家今后的操作有所帮助。
  错误认识一"对感染病毒的软盘进行浏览就会导致硬盘被感染"。我们在使用资源管理器或DIR命令浏览软盘时,系统不会执行任何额外的程序,我们只要保证操作系统本身干净无毒,那么无论是使用Windows 98的资源管理器还是使用DOS的DIR命令浏览软盘都不会引起任何病毒感染的问题。
  错误认识二"将文件改为只读方式可免受病毒的感染"。某些人认为通过将文件的属性设置为只读会十分有效的抵御病毒,其实修改一个文件的属性只需要调用几个DOS中断就可以了,这对病毒来说绝对是"小菜一碟"。我们甚至可以说,通过将文件设置为只读属性对于阻止病毒的感染及传播几乎是无能为力。
错误认识三"病毒能感染处于写保护状态的磁盘"。前面我们谈到,病毒可感染只读文件,不少人由此认为病毒也能修改那些提供了写保护功能的磁盘上的文件,而事实却并非如此。一般来说,磁盘驱动器可以判断磁盘是否写保护、是否应该对其进行写操作等,这一切都是由硬件来控制的,用户虽然能物理地解除磁盘驱动器的写保护传感器,却不能通过软件来达到这一目的。
  错误认识四"反病毒软件能够清除所有已知病毒"。由于病毒的感染方式很多,其中有些病毒会强行利用自身代码覆盖源程序中的部分内容(以达到不改变被感染文件长度的目的)。当应用程序被这样的病毒感染之后,程序中被覆盖的代码是无法复原的,因此这种病毒是无法安全杀除的(病毒虽然可以杀除,但用户原有的应用程序却不能恢复)。
  用户应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、跟踪对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。
  错误认识六"磁盘文件损坏多为病毒所为"。磁盘文件的损坏有多种原因,如电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其它软件中的错误、灰尘、烟灰、茶水、甚至一个喷嚏都可能导致数据丢失(对保存在软盘上的数据而言)。这些所作所为对文件造成的损坏会比病毒造成的损失更常见、更严重,这点务必引起广大用户的注意。
  错误认识七"如果做备份的时候系统就已经感染了病毒,那么这些含有病毒的备份将是无用的"。尽管用户所作的备份也感染了病毒的确会带来很多麻烦,但这绝对不至于导致备份失效,我们可根据备份感染病毒的情况分别加以处理--若备份的软盘中含有引导型病毒,那么只要不用这张盘启动计算机就不会传染病读;如果备份的可执行文件中传染了病毒,那么可执行文件就算白备份了,但是备份的数据文件一般都是可用的(除Word之类的文件外,其它数据文件一般不会感染病毒)。
  错误认识八"反病毒软件可以随时随地防护任何病毒"。很显然,这种反病毒软件是不存在的!随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的。具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。
错误认识九"病毒不能从一种类型计算机向另一种类型计算机蔓延"。目前的宏病毒能够传染运行Word或Excel的多种平台,如Windows 9X、Windows NT、Macintosh等。
  错误认识十"病毒不感染数据文件"。尽管多数病毒都不感染数据文件,但宏病毒却可感染包含可执行代码的MS-Office数据文件(如Word、Excel等),这点务必引起广大用户的注意。
  错误认识十一"病毒能隐藏在电脑的CMOS存储器里"。不能!因为CMOS中的数据不是可执行的,尽管某些病毒可以改变CMOS数据的数值(结果就是致使系统不能引导),但病毒本身并不能在CMOS中蔓延或藏身于其中。
  错误认识十二"Cache中能隐藏病毒"。不能!Cache种的数据在关机后会消失,病毒无法长期置身其中。
  怎么样?还不对照看看自己是不是陷入了某个认识上的误区中?若真要是这样,那可一定要小心哦!


第一:进程是什么
  进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
  危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。


第二:什么是木马
  木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

  传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

  病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

  木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

  防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。


第三:什么是计算机病毒
  计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随
同文件一起蔓延开来。

  除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
  可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
  所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计
算机资源进行破坏作用的一组程序或指令集合。


第四:什么是蠕虫病毒
  蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。

  比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。

  蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。


第五:什么是广告软件Adware
  广告软件(Adware)是指 未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。

防治广告软件,应注意以下方面 :

第一,不要轻易安装共享软件或"免费软件",这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。

第二,有些广告软件通过恶意网站安装,所以,不要浏览不良网站。

第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞.


第六:什么是间谍软件Spyware  
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。

防治间谍软件,应注意以下方面 :

第一,不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。

第二,有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。

第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞。


第七:Dll文件是什么
  DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。

  1、如何了解某应用程序使用哪些DLL文件
  右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。

  2、如何知道DLL文件被几个程序使用
  运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。

  3、如何解决DLL文件丢失的情况
  有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。

  rundll的功能是以命令列的方式呼叫Windows的动态链结库。
  Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
  如果用的是Win98,rundll32.exe一般存在于Windows目录下;
  如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。
  若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。


第八:什么是系统进程
  进程是指在系统中正在运行的一个应用程序;线程是系统分配处理器时间资源的基本单元,或者说进程之内独立执行的一个单元。对于操 作系统而言,其调度单元是线程。一个进程至少包括一个线程,通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程,就是所谓基于多线程的多任务。
  那进程与线程的区别到底是什么?进程是执行程序的实例。例如,当你运行记事本程序(Nodepad)时,你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此,如果你同时运行记事本的两个拷贝,该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
  以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去,并且可能将沙子攘到别的孩子眼中,他们会互相踢打或撕咬。但是,这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来,无论箱中的孩子如何狠命地攘沙,他们也不会影响到其它沙箱中的其他孩子。因此,每个进程就象一个被保护起来的沙箱。未经许可,无人可以进出。
实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
  这里的进程是指一系列进程,这些进程是由它们所运行的可执行程序实例来识别的,这就是进程选项卡中的第一列给出了映射名称的原因。请注意,这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之,如果你运行5个记事本拷贝,你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢?其中一种方式是通过它们的进程ID,因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成,并可以循环使用。因此,进程ID将不会越编越大,它们能够得到循环利用。  第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号,而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间,但该系统空闲进程仍旧耗用了大约99%的CPU时间。
  第四列,CPU时间,是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意,我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和,因为,如我们一会儿将看到的,NT计时的方式是,当特定的时钟间隔激发时,无论谁恰巧处于当前的线程中,它都将计算到CPU周期之内。通常情况下,在大多数NT系统中,时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此,如果一个线程开始运行,并在持续运行8毫秒后完成,接着,第二个线程开始运行并持续了2毫秒,这时,时钟激发,请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上?答案是第二个线程。因此,NT中存在一些固有的不准确性,而NT恰是以这种方式进行计时,实际情况也如是,大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点,因为,有时当你观察线程所耗用的CPU总和时,会出现尽管该线程或许看上去已运行过数十万次,但其CPU时间占用量却可能是零或非常短暂的现象,那么,上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。


第九:什么是应用程序
  应用程序指的是程序开发人员要开发的一个数据库应用管理系统,它可以是一个单位的财务管理系统、人事管理系统等。(各种有关功能的窗口的集合构成一个完整的应用系统,分发给各个终端用户的就是一个应用程序。


第十:如何察看正在运行的进程
  察看正在运行的进程的方法有很多,最简单就是使用Windows自带的进程管理器察看正在运行的进程:同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签,即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器
第十一:如何强制结束一个运行中的进程
   1. 打开“终端服务管理器(任务管理器)”。
   2. 在“进程”选项卡上的“用户”列下,右键单击要结束的进程,然后单击“结束进程”。
注意

   1. 必须具有完全控制权限才能结束进程。
   2. 要打开“终端服务管理器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“终端服务管理器”。
   3. 请注意:在没有警告的情况下结束进程会导致用户会话中的数据丢失。
   4. 可能需要结束进程,因为应用程序没有响应。
   5. 也可以使用 tskill 命令结束进程。

  强制结束进程的命令行

  Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入: 

  ntsd -c q -p PID  

  把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。  

  XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!

  结束进程的一些巧用小窍门:

  误删VCD文件的另类恢复

  现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢?那么怎样才能在不用恢复软件的情况下手动恢复它们呢?

  笔者找到了一个另类的恢复方法,并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹,文件名一般为Avseq0?.dat或Music0?.dat,其中“?”代表数字(1~9)。有的VCD序幕和正式内容是一个文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式内容分别为两个文件,即序幕为Avseq01.dat或Music01.dat,而正式内容为Avseq02.dat或Music02.dat。

  首先,找一个和误删文件同名的文件(暂且称为A),接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时,按下Ctrl+Alt+Del结束“正在复制...”任务,如果“正在复制...”窗口不消失,就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单,到原误删文件存储的地方看一下,是不是又失而复得了?用多媒体播放软件打开,只是开头几秒种是文件A的内容,后面的照看不误。

  保存拷了一部分的文件

  如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘,那么可能会遇到复制到只剩下一点点时,Windows提示“复制文件出错”,这时只要按回车键或点击“确定”按钮,那么辛辛苦苦复制的文件就会丢失。

  其实只要马上激活“任务管理器”,把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了,当然这还是有缺点的,当此类文件播放到断点的地方时就会停止。

  巧玩游戏

  本人用的是Windows XP家庭版,运行一些支持Windows 2000但不支持Windows XP的游戏时,鼠标、键盘失去反应。某日发现一解法:打开“任务管理器”,结束EXPLORER.EXE进程,点“新任务”,找到游戏运行文件,运行即可。另外,结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。


第十二:一些常见的进程
     进程名描述

  smss.exeSessionManager

  csrss.exe 子系统服务器进程

  winlogon.exe管理用户登录

  services.exe包含很多系统服务

  lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP  安全驱动程序。

  svchost.exe Windows 2000/XP 的文件保护系统

  SPOOLSV.EXE 将文件加载到内存中以便迟后打印。

  explorer.exe资源管理器

  internat.exe托盘区的拼音图标

  mstask.exe允许程序在指定时间运行。

  regsvc.exe允许远程注册表操作。(系统服务)→remoteregister

  tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。

  llssrv.exe证书记录服务

  ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。

  RsSub.exe 控制用来远程储存数据的媒体。

  locator.exe 管理 RPC 名称服务数据库。

  clipsrv.exe 支持"剪贴簿查看器",以便可以从远程剪贴簿查阅剪贴页面。

  msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器。

  grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。

  snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

  以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。


第十三:什么是网络钓鱼
  什么是网络钓鱼?
   网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
  如何防备网络钓鱼?
  不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
  不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播,这些途径往往可能被黑客利用来进行诈骗。
  不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
  不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
  如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
  不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。


第十四:什么是浏览器劫持
   浏览器劫持是一种恶意程序,通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改,使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止,被劫持之后应采取什么措施 ?
  浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施:   不要轻易浏览不良网站。
  不要轻易安装共享软件、盗版软件。
  建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的 安全设置进行相应调整。
  如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。


第十五:什么是恶意共享软件
  恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时,应注意以下方面: 注意仔  细阅读软件提供的“安装协议”,不要随便点“next”进行安装。
  不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来 安全风险。
  使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。


第十六:如何更好地预防计算机病毒入侵
  有病治病,无病预防这是人们对健康生活的最基本也是最重要的要求,预防比治疗更为重要。对计算机来说,同样也是如此,了解病毒,针对病毒养成一个良好的计算机应用管理习惯,对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰,建议大家平时能做到“三打三防”。
   “三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
  “三防” 就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
第十七:如何干净地清除病毒
1 、在 安全模式或纯DOS模式下清除病毒
  当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒,这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法,针对这样的病毒绝大多数的杀毒软件都被设计为在 安全模式可安装、使用、执行杀毒处理。  
   在 安全模式(Safe Mode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在 安全模式下 在DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库)
2 、带毒文件在\Temporary Internet Files目录下
  由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在 安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的 " 工具"\"Internet 选项 ",选择 " 删除文件 " 删除即可,如果有提示" 删除所有脱机内容 ",也请选上一并删除。
3 、带毒文件在 \_Restore 目录下,*.cpy 文件中
  这是系统还原存放还原文件的目录,只有在装了Windows Me/XP 操作系统上才会有这个目录,由于系统对这个目录有保护作用。
  对于这种情况需要先取消" 系统还原 " 功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中
  对于绝大多数的反病毒软件来说,现在的查杀压缩文件中病毒的功能已经基本完善了,单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
  要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
  这种病毒一般是引导区病毒,报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀;
   如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows 、Linux 等。 如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME 系统上通过 " 添加/删除程序 " 进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
   针对 NT 构架的操作系统可首先安装“管理员控制台”,安装后使用管理员控制台,然后分别执行 fixmbr (恢复主引导记录)和 fixboot (恢复启动盘上的引导区)命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
6 、带毒文件在一些邮件文件中,如 dbx 、 eml 、 box 等
  绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒,对于邮箱中的带毒的信件,可以根据用户的设置杀毒或删除带毒邮件,但是由于此类邮箱的复合文件结构,易出现杀毒后的邮箱依旧可以检测到病毒情况,这是由于没有压缩邮箱进行空间释放的原因导致的,您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”
7 、文件中有病毒的残留代码
  这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾,而且并不常见,如 W32/FunLove.app 、W32.Funlove.int 。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8 、文件错误
  这种情况出现的并不多,通常是由于某些病毒对系统中的关键文件修改后造成的,异常的文件无法正常使用,同时易造成别的系统错误,针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9 、加密的文件或目录
  对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10 、共享目录杀毒
  这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。  
  遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
  特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11 、光盘等一些存储介质
  对于光盘上带有的病毒,不要试图直接清除,这是因为光盘上的文件都是只读的原因导致的。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状





很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?

其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ^_^),可以采用数字与字母混合表示变种标识。

综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):

1、系统病毒

系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。

3、木马病毒、黑客病毒

木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

4、脚本病毒

脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

8.破坏性程序病毒

破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

9.玩笑病毒

玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。

10.捆绑机病毒

捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:

DoS:会针对某台主机或者服务器进行DoS攻击;

Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;

HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。


地主 发表时间: 06-09-18 22:54

回复: uljeeqg [uljeeqg]   论坛用户   登录
谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢!!!!!!!!!!!!!!!!!!

B1层 发表时间: 08-01-07 12:36

回复: illunion [illunion]   论坛用户   登录
谢谢,我看了很久才看完!

B2层 发表时间: 08-02-02 19:08

回复: jimcom [jimcom]   论坛用户   登录
很全面,

B3层 发表时间: 08-03-24 23:27

回复: cc0o [cc0o]   论坛用户   登录
学到了不少病毒知识噢!谢谢版主~~

B4层 发表时间: 08-04-08 14:20

回复: msm520530 [msm520530]   论坛用户   登录


B5层 发表时间: 09-09-06 16:51

回复: xcb819 [xcb819]   论坛用户   登录
谢谢    谢谢

B6层 发表时间: 10-04-24 11:37

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号