如何在不使用防病毒软件的情况下真正判断计算机是否包含病毒

如何在不使用防病毒软件的情况下真正判断计算机是否包含病毒. 今天，各种病毒都可以被视为开花. 这使人们感到恐慌. 一旦发现计算机有些异常，就认为该病毒正在起作用. 在各处寻找防病毒软件. 一个不起作用，另一个. 简而言之，似乎如果您找不到“罪魁祸首”，您将永远不会放弃. 结果，该病毒软件一个接一个地使用. 也许由于这个原因，被陆续使用了. 仍然没有发现“罪魁祸首”的踪迹. 实际上，这不一定是起作用的病毒. 这样的例子并不罕见，特别是对于初级计算机用户而言. 下面我将结合使用个人计算机和公司网络维护的防病毒经验，从以下几个方面向您介绍如何判断是否存在病毒. 希望对识别“真正的病毒”有所帮助！病毒，软件和硬件故障区分并联系计算机. 故障不仅是由病毒感染引起的. 个人计算机使用中的各种故障主要是由计算机自身的软件和硬件故障引起的. 网络上的大多数问题是由权限设置引起的. 只有充分了解两者之间的区别和联系，我们才能做出正确的判断并及时发现真正的病毒何时来临. 下面我简要列出一些由病毒以及软件和硬件故障引起的常见计算机故障症状. 症状病毒入侵的可能性软件和硬件故障的可能性经常崩溃: 病毒打开许多文件或占用大量内存；不稳定（例如不良的内存质量，不良的硬件超频性能等）；运行占用大量内存和磁盘空间的大容量软件；使用了一些测试软件（有很多错误）；硬盘空间不足等；在网络上运行软件时频繁崩溃，可能是由于网络速度太慢，正在运行的程序太大或您自己造成的. 工作站的硬件配置太低.

无法启动系统: 病毒已修改硬盘的启动信息或删除了一些启动文件. 如启动型病毒启动文件损坏；硬盘损坏或参数设置不正确；系统文件被错误删除，等等. 无法打开文件: 病毒已修改文件格式；无法打开文件. 该病毒已修改文件链接位置. 文件已损坏；硬盘损坏；与文件快捷方式相对应的链接的位置已更改；用于编辑文件的原始软件已被删除；如果位于局域网中，则通常表明服务器中的文件存储位置已更改，但工作站尚未及时更新新服务器的内容（长时间打开资源管理器）. 经常报告内存不足: 病毒非法占用了大量内存；打开很多软件；运行需要内存资源的软件；系统配置不正确；内存不足（当前的基本内存要求为128M），等等. 提示硬盘空间不足: 该病毒复制了大量病毒文件（这种情况遇到过几次，有时高端硬盘将近10G）磁盘安装了WIN98或WINNT4.0系统，表示没有空间，安装软件后提示硬盘空间不足，硬盘每个分区的容量过小；安装了大量大容量软件；所有软件都安装在一个分区中；硬盘本身很小；如果系统管理员为局域网中的每个用户设置工作站用户，则“专用磁盘”使用空间限制. 因为您正在查看整个网络磁盘的大小，所以“私有磁盘”上的容量已用完，在不访问软盘时读写信号: 病毒感染；软盘被删除并仍处于打开状态在软盘中.

有大量来源不明的文件: 病毒复制的文件；它可能是在安装某些软件期间生成的临时文件；也可能是某些软件的配置信息和运行记录. 启动黑屏: 病毒感染（我记得最深的是1998年的4.26. 我花了数千美元购买了CIH. 第一次启动Windows时，屏幕崩溃了. 第二次启动时，什么也没留下. ）；显示失败；显示卡故障；主板故障；超频CPU损坏等. 数据丢失: 病毒删除文件；硬盘扇区损坏；通过还原文件覆盖原始文件；如果文件在网络上，则其他用户也可能误删除了该文件. 键盘或鼠标无缘无故被锁定: 病毒会导致奇怪的事情. 特别注意“木马”；键盘或鼠标损坏；主板上的键盘或鼠标接口损坏；键盘或鼠标锁定程序正在运行. 正在运行的程序太长. 系统正忙，表明按键盘或鼠标不起作用. 系统运行缓慢: 病毒占用了内存和CPU资源，许多非法操作在后台运行；硬件配置低；打开的程序太多或太大；系统配置不正确；如果它正在网络上运行程序，则主要是由于计算机的配置太低. 此时网络也可能很忙. 许多用户同时打开一个程序. 另一种可能性是您的硬盘空间不足以在运行程序时临时交换数据. 系统自动执行操作: 病毒在后台执行非法操作；用户在注册表或启动组中设置相关程序的自动操作；一些软件需要在安装或升级后自动重新启动系统.

通过以上分析和比较，我们知道大多数故障可能是由人为或软件和硬件故障引起的. 当我们发现异常时，不要急于断言. 如果杀毒软件无法解决，我们应该仔细分析. 消除了故障的特征，软件，硬件和人为因素的可能性. 病毒的分类及其各自的特征必须真正识别病毒，及时杀死病毒，我们还需要对病毒有更详细的了解，并且越详细越好！该病毒由许多分散的个人或组织分别编写. 没有测量和划分的标准，因此可以根据多个角度对病毒的分类进行大致划分. 例如，根据感染目标，病毒可以分为以下几类: 引导病毒的病毒攻击目标是磁盘的引导扇区，以便系统在启动时可以获得优先执行权，从而达到控制整个系统的目的，因为这种类型的病毒感染了引导部门造成的损失比较大. 一般来说，它将导致系统无法正常启动. 但是，更容易检测和杀死此类病毒. 大多数防病毒软件都可以检查并杀死此类病毒，例如KV300，KILL系列等. b. 文件型病毒. 这种类型的早期病毒通常会感染带有exe和com等扩展名的可执行文件. 这样，当您执行可执行文件时，病毒程序便被激活. 最近，一些病毒感染了扩展名为dll，ovl，sys等的文件. 由于这些文件通常是程序的配置文件和链接文件，因此在执行程序时会自动加载该病毒.

加载它们的方法是通过插入病毒代码的整个段落或将它们插入这些文件的空白字节中. 例如，CIH病毒将自身分为9个部分，并将其嵌入PE结构的可执行文件中. 通常在感染后文件的字节数并没有增加，这是它的隐藏面. C. 网络型病毒该病毒是近年来网络快速发展的产物. 感染的目标不再局限于单个模式和单个可执行文件，而是更全面，更隐蔽. 现在，某些网络病毒可以感染几乎所有OFFICE文件，例如WORD，EXCEL，电子邮件等. 其攻击方法也已发生变化，从最初的文件删除和修改到当前的文件加密，有用的用户信息（例如（例如黑客程序）等. 传输路径也经历了质的飞跃. 它不再局限于磁盘，而是通过更多的隐藏. 进行网络，如电子邮件，电子广告等. d. 复合病毒将其归类为“复杂病毒”，因为它们具有“启动型”和“文件型”病毒的某些特征. 它们可以感染磁盘的引导扇区文件，也可以感染某些可执行文件. 如果未完全清除此类型的病毒，则残留的病毒可以自行恢复，也将导致引导扇区文件和可执行文件被感染. 因此，这种病毒极难检测和杀死. 防病毒软件必须具有检查和杀死两种病毒的功能. 以上是根据病毒感染的对象划分的. 如果根据病毒的破坏程度进行划分，我们可以将病毒分为以下几种类型: 良性病毒: 由于它们，这些病毒称它们为良性病毒. 入侵的目的不是为了破坏您的系统，仅是为了获得乐趣. 他们中的大多数是初级病毒爱好者，他们想测试他们开发病毒程序的水平.

他们不想破坏您的系统. 他们只是发出某种声音或发出一些提示. 除了占用一定数量的硬盘空间和CPU处理时间外，它们没有其他危害. 例如，某些木马病毒程序也是如此. 他们只想窃取您计算机中的一些通信信息，例如密码，IP地址等，以在需要时使用. b. 恶性病毒我们将仅对软件系统造成干扰，窃取信息，修改系统信息且不会引起硬件损坏，数据丢失和其他严重后果的病毒分类为“恶性病毒”. 此类病毒入侵后，系统不正常. 除使用外，没有其他损失. 系统损坏后，通常仅需要重新安装系统文件的特定部分. 当然，有必要杀死这些病毒并重新安装系统. C. 与上述b型病毒相比，诸如极恶性病毒之类的病毒受到的破坏更大. 通常，如果您感染了这种类型的病毒，则系统将完全崩溃，并且将无法正常启动. 您必须将这些点保留在硬盘中. 有用的数据可能不可用. 唯一容易的是删除系统文件和应用程序. d. 灾难性病毒我们可以从它的名字知道它会给我们带来的破坏程度. 这种病毒通常会破坏磁盘的启动扇区文件，修改文件分配表和硬盘分区表，从而导致系统根本无法启动，有时甚至无法格式化或锁定硬盘驱动器，从而使您无法使用硬盘驱动器. 如果您感染了这种类型的病毒，您的系统将很难恢复，硬盘中保留的数据也将难以获取. 造成的损失非常巨大. 那么我们的进化论什么时候应该是最糟糕的呢？已计划（尤其是对于企业用户）灾难性备份应适当进行. 幸运的是，大多数大型企业现在已经意识到备份的重要性. 在日常系统和数据备份上花费很多钱. 尽管每个人都知道在2017年可能不会遇到这样的灾难性后果，但仍然有可能放宽这种“以防万一”.

我工作的雀巢公司就是这种情况，对此非常重视. 例如，1998年4月26日发生的CIH病毒可以归为此类，因为它不仅破坏软件，而且直接破坏硬件，例如硬盘和主板BIOS. 例如，可以根据入侵方式将其分为以下几种类型: 嵌入式攻击类型的源代码从它的名字可以知道，这种类型的病毒主要入侵高级语言源程序. 病毒会在编译源程序之前插入病毒代码. 最后，它与源程序一起编译成可执行文件. 这样，刚生成的文件就是病毒文件. 当然，这种文件非常少见，因为这些病毒开发人员不可能在软件开发公司进行编译之前轻松获得源程序. 而且，这种入侵更加困难，并且需要非常的编程水平. b. 代码替换攻击类型这种类型的病毒主要使用自己的病毒代码来替换入侵程序的全部或部分模块. 这种病毒也很罕见. 它主要攻击特定程序. 它具有很高的针对性，但不容易受到影响. 发现清理起来也更加困难. C. 系统修改类型病毒主要使用自己的程序来覆盖或修改系统中的某些文件，以调用或替换操作系统中的某些功能. 由于它们直接感染系统，因此危害更大，是最常见的一种. 这种病毒主要是文件病毒. d. 与外壳相连的病毒通常会将其病毒附加到正常程序的开头或结尾，这相当于在程序中添加外壳. 当执行被感染程序时，病毒代码将首先执行，然后变得正常. 该程序已加载到内存中.

当前，大多数文件类型病毒都属于此类. 山毒霸，KV300，KILL，PC-cillin，VRV，Rising，Norton等. 关于这些防病毒软件的使用，我不知道. 不需要在这里谈论它. 相信每个人都有这个水平！ 2.观察方法只有在了解了病毒爆发的某些症状以及您经常居住的地方后，才能正确观察该方法. 例如，当上面提到的硬盘在启动时经常崩溃时，系统需要很长时间才能启动，运行速度非常慢，无法访问硬盘，出现特殊的声音或提示等. 在发生第一大故障时，我们首先要考虑的是病毒. 犯错了，但是您无法一路走到最后. 上面我没有提到软件和硬件故障也可能有这些症状！我们可以从以下几个方面观察它是否是由病毒引起的: 内存观察通常，一种方法用于在DOS下发现的病毒. 我们可以在DOS下使用“ mem / c / p”命令来检查每个程序的内存使用情况. 我们可以找到病毒的内存使用情况（通常不单独占用它们，而是附加到其他程序中）有些病毒占用的内存更隐蔽. 您无法通过“ mem / c / p”找到它，但是可以看到640K的总基本内存少于1k或几K.

b. 诸如注册表观察方法之类的方法通常适用于最近出现的所谓的黑客程序，例如Trojan Horse程序. 这些病毒通常通过修改注册表中的启动和加载配置来实现自动启动或加载. 它在以下位置实现: [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion等. 有关详细信息，请参阅我的另一篇文章“通过透明地查看木马”，在注册表中的可能位置进行更详细的分析. C. 系统配置文件观察方法通常适用于黑客程序. 这类病毒通常隐藏在system.ini，wini.ini（Win9x / WinME）和启动组中. system.ini文件中有一个. “ shell =”项目，并且wini.ini文件中有“ load =”和“ run =”项目. 这些病毒通常在这些项目中加载自己的程序. 请注意，有时它们会修改原始程序. 我们可以在Win9x / WinME中运行msconfig.exe程序来逐一查看. 有关详细信息，请参阅我的文章“通过透明度查看木马”. d. 字符串观察方法此方法主要针对一些特殊的病毒. 当这些病毒入侵时，它们将编写相应的特征代码. 例如，CIH病毒将在入侵的文件中写入诸如“ CIH”之类的字符串. 当然，我们不能轻易发现我们可以使用十六进制代码编辑器来编辑主系统文件（例如Explorer.exe）以进行发现. 当然，最好在编辑之前进行备份. 毕竟，它是主系统文件.

e. 硬盘空间观察方法某些病毒不会损坏您的系统文件，只会生成隐藏文件. 该文件的内容通常很少，但是它占用大量的硬盘空间，有时对您的硬盘来说太大. 无法运行常规程序，但是在检查时看不到它. 这时，我们必须打开资源管理器并将要查看的内容的属性设置为具有所有属性的文件（此方法不需要我这么说）？）我相信这个庞然大物在那时将可见时间，因为病毒通常将其设置为隐藏属性. 您可以在那时将其删除. 我在计算机网络维护和个人计算机维护过程中看到了一些示例. 显然，仅安装了一些通用程序. 为什么在C驱动器中显示几个G的硬盘空间？而已. 通过上述方法，通常可以迅速发现该病毒.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-295550-1.html