你必须掌握计算机病毒知识的收集

你必须掌握计算机病毒知识的收集

1。经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如质量差，内存硬件超频性能等）；大容量软件操作占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；没有足够的磁盘空间，网络上的操作等对；软件经常死机也许是由于网络速度太慢，运行的程序太大，或者自己的工作站硬件配置太low.bois设置

2。系统无法启动：病毒修改硬盘的启动信息，或删除一些启动文件。如启动病毒引导文件损坏、硬盘损坏或参数设置不正确、系统文件人工删除等。内存安装设置

3。文件打不开：病毒修改了文件格式；病毒修改了文件链接的位置。硬盘文件损坏；损坏；在相应的快捷方式文件链接位置的变化；原文件编辑软件删除了；如果是在局域网性能的服务器文件存储位置变了，和新的服务器工作站不及时冲洗的内容（长时间打开资源管理器），音频驱动

4、经常报告内存不够：病毒非法占用大量内存；打开很多软件；运行软件需要的内存资源；系统配置不正确；内存不够（基本内存128M）。

5。提示：没有足够的磁盘空间，大量的病毒文件，病毒复制（这个遇到好几例，有时好近10G的硬盘安装WIN98或winnt4.0系统，没有空间，软件安装提示磁盘空间不足。每个分区的硬盘容量太小；安装大容量的一个数软件；所有软件安装在一个集中的分区；硬盘本身就小；如果是私人磁盘在局域网管理员为每个用户设置一个工作站用户空间的局限性，因为视图是整个网络磁盘大小私人磁盘容量已经用完了。

6。当读写信号：病毒感染时，软盘和其他设备无法访问；软盘已取走软盘中打开的文件。

7。文档：出现大量来历不明的源文件可能是临时文件复制；在某些软件安装中产生的文件，可能是一些软件的配置信息和操作记录。

8。黑启动：病毒感染（记得最多的是4.26，我98年的CIH支付几千元的价格，第一天当我开机就死机，重新启动Windows的屏幕二什么不是）；显示故障；故障显示卡；过度超频主板CPU损坏等故障；

9、数据丢失：病毒删除文件；硬盘扇区损坏；恢复文件覆盖原始文件；如果在网络文件上，则可能是因为其他用户错误删除。

10。键盘或鼠标用于锁：病毒故障时，应特别注意键盘或鼠标木马；损坏；主板键盘或鼠标接口损坏；运行键盘或鼠标锁定程序，运行程序过大，长时间系统忙，按键盘或鼠标显示没有效果。

11。系统运行速度慢：病毒占用了内存和CPU资源，大量的背景非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行在网络上的程序时，大多是由于你的机器配置太低在这个时候，有可能是网络忙，有许多用户同时打开一个程序；有一个临时数据交换的可能性，你没有足够的硬盘空间来运行程序。

12、系统自动执行：病毒在后台执行非法操作；用户在注册表或启动组中自动设置相关程序；在安装或升级某些软件后，有必要自动重启系统。

通过以上的对比分析，我们知道，实际上大多数故障可能是由于人或软件和硬件的故障，不要急于断言，当我们发现异常时，解决在防病毒的情况下，应该仔细分析故障的特点，排除软硬件和人的可能性。

要真正识别病毒并及时杀死病毒，我们需要对病毒有更详细的了解，并且越详细越好！

因为病毒是由许多分散的个人或组织单独书写的，所以没有标准来衡量或划分，所以病毒的分类大致可以分成几个角度。

例如，根据接触对象可以将病毒分为以下几类。

a、引导病毒

这类病毒攻击的对象是硬盘的引导扇区，这将使系统在启动时获得优先执行权，从而达到对整个系统的控制，因为这种病毒感染的是引导扇区，所以损失比较大，一般会导致系统无法启动，但查杀这类病毒很容易，大多数杀毒软件可以查杀病毒，如KV300、杀等。

B，文件类型病毒

早期的病毒感染，通常是由EXE、COM等扩展的可执行文件，这样当你执行一个可执行文件时，病毒程序也会跟进。近年来，也有一些病毒感染了DLL，OVL，SYS和其他扩展的文件，因为这些文件通常配置和链接一个程序文件，所以，当一个程序执行时，病毒会自动加载。他们通过安装病毒代码安装到全款或分散这些文件的空白字节加载，如CIH病毒是分成9段嵌入到PE可执行文件的结构，感染后的文件字节数通常不见增加，这是隐藏的一面。

网络病毒

这种病毒是近几年网络的高速发展的产物，其感染对象不再局限于单一的模式和单一的可执行文件，但更全面、更微妙的。现在一些网络病毒几乎可以感染所有的办公文件，如Word，Excel，电子邮件，等等。攻击也已经从原来的，删除、修改文件到现在的文件加密，窃取用户有用信息（如黑客程序），通过通信发生了质的飞跃，不仅磁盘，而是通过更加隐蔽的网络，如电子邮件、电子广告等。

d复合病毒

它是一种复合型病毒，因为它们也具有引导类型和文件类型病毒的某些特性，它们可以感染磁盘的引导扇区，它可以感染一些可执行文件，如果没有全面去除这种病毒，那么残留的病毒也会导致自我恢复。启动文件和可执行文件受感染，所以这种病毒查杀非常困难，杀毒软件也应该有两种病毒查杀功能。

如果病毒被破坏，我们可以把病毒分成以下几类：

良性病毒：

这些病毒称它们为良性病毒，因为它们入侵的目的不是破坏您的系统，而是与它们一起玩。他们中的大多数是一些初级病毒爱好者谁想要测试自己的病毒程序的水平。他们不想破坏你的系统，他们只产生某种声音或某种暗示，除了一定的硬盘空间和CPU处理时间。如一些木马病毒程序，只是想偷一些通信信息在您的计算机，如密码、IP地址等，以便在必要的时候使用。

b、恶性病毒

我们只有造成干扰，窃取信息，修改系统的软件信息系统，不会造成硬件损坏、数据丢失等严重后果的恶性病毒，除了不能正常使用的病毒入侵系统，没有其他的损失，恢复文件系统的一个部分损坏，只需要重装系统，当然是重装系统后，病毒查杀。

丙型肝炎病毒

这类病毒比B病毒的危害程度一般更大，如果感染了病毒，你的系统就会彻底崩溃，无法正常启动，你在硬盘中保存有用数据的分支也可能变得更轻，只需删除系统文件和应用程序等。

d、灾难性病毒

这种病毒从它的名字我们可以知道它将给我们带来的破坏程度，这类病毒是一个引导扇区文件，磁盘故障修改文件分配表和硬盘分区表，导致系统无法启动，有时甚至格式化或锁定您的硬盘驱动器，所以你不能使用硬盘。如果感染了病毒，你的系统就很难恢复了，保留在硬盘上的数据是很难获得的，损失是非常巨大的，所以我们应该发展什么时间做最坏的准备，特别是对于企业用户，应充分做好灾难备份现在，大多数大型企业实现了备份的意义，花费巨资在系统和数据备份的每一天，虽然GH我们都知道也许几年不能遇到这样灾难性的后果，但这应该放松，这是我的雀巢的方式，而且它也是非常重要的。如98年的4.26攻击CIH病毒可以分为本，因为它不仅会导致损坏的软件，而且直接破坏硬盘的硬件和BIOS的主板。

根据病毒入侵的方式，分为以下几种：

a，嵌入式攻击类型源代码

从它的名字，我们知道这种病毒入侵主要是高级语言的源语言。病毒是在源代码编译之前安装的，最后用源程序编译成可执行文件，所以新生成的文件是有毒文件，当然，这样的文件很少，因为这些病毒开发人员无法得到这些软件开发公司以前编译的源程序。此外，入侵的方式非常困难，需要非常专业的编程级别。

B，代码代替攻击类型

这种病毒主要使用自己的病毒代码来代替入侵程序的全部或部分模块。这种病毒也很罕见。它们主要攻击特定的程序，目标很高，但不容易被发现和清理。

c、系统修改

这些病毒主要是利用它们的程序来覆盖或修改系统中的某些文件，以实现操作系统的调用或替换功能，因为它们直接感染系统，而且是最危险的。它们也是最常见的病毒类型，其中大部分是文件病毒。

外壳附加类型

这种病毒通常将病毒附加到正常程序的头部或尾部，这相当于在程序中添加一个shell。当感染程序被执行时，病毒代码首先被执行，然后正常程序被转移到内存中，目前，大多数已记录的病毒属于这一类。

在掌握了病毒的基本知识之后，我们可以检查你的计算机是否含有病毒。如果我们想知道这些，我们可以判断以下方法。

1。杀毒软件扫描方法

恐怕这是我们大多数朋友的首选。恐怕这是唯一的选择。现在病毒越来越多，隐蔽手段越来越复杂。但是，随着计算机编程语言的发展和计算机网络的普及，病毒的开发和传播变得越来越容易。因此，越来越多的杀毒软件公司开发的，但现在更出名的是几个系统的杀毒软件，如金山、KV300、杀，PC-cillin，VRV，诺顿上升，等。至于这些杀毒软件的使用，这是没有必要说，我相信每个人都有这个水平！

2。观察法

这种方法可以精确地观察到只有当它是关于该病毒的症状称，它经常栖息的地方。如果硬盘启动，经常死机，系统启动时，运行的速度很慢，无法访问的硬盘故障，或在第一点的特殊语音提示出现时，我们首先应考虑病毒的麻烦，但也不是胡东走在最后，我说的不是它的软件和硬件故障也可能出现这些症状！

至于病毒，我们可以观察到以下几个方面：

记忆观察

这种方法一般都是在DOS病毒下找到的，我们可以在DOS下使用DOS命令来检查程序内存中的内存，发现病毒的情况下（一般不占用一个单独的，而是附加到另一个程序），有些病毒内存更为隐蔽，无法找到它。但你可以看到总的基本内存640k少1K或K.

b、登记处观察

这种方法一般适用于最近所谓的黑客程序，如木马程序。这些病毒通常通过在注册表中修改启动和加载配置来自动启动或加载，通常在以下位置。

{ hkey_current_user 软件微软 Windows currentversion

c、系统配置文件观察方法

这种方法一般适用于黑客程序，这种病毒在SYSTEM.INI，隐藏在wini.ini（Win9x /运行）和启动组，在SYSTEM.INI文件有一个壳=，在wini.ini文件在运行负荷=，=，病毒程序一般是在这些项目的负荷自己注意的是有时一个程序修改原始。我们可以运行一个针对Win9x /运行程序的msconfig.exe。

特征弦观测法

这种方法主要是针对一些特殊的病毒，这些病毒会写相应的代码的功能，如CIH在病毒入侵将文件放入CIH这样的字符串，当然我们不容易被发现，我们可以到主文件系统（如资源管理器.exe）使用16进制代码编辑器当然，在编辑之前，可以发现，也最好备份，毕竟是主要的文件系统。

硬盘空间观测方法

有些病毒不会破坏你的系统文件，但只能创建一个隐藏的文件，这个文件一般是小的内容，但硬盘空间的比例是非常大的，你的硬盘运行的一般程序有时太大，但你抬头看看，然后我们再打开资源管理器，然后内容属性视图的设置查看文件的所有属性（此方法不需要我吗）我相信这个巨大的怪物将是可见的，因为病毒一般设置为隐藏属性，你可以删除它，在我的个人计算机的计算机网络维护和修复过程中看到一个这样的例子，它只安装了几个常用程序，为什么在C盘空间G显示不是上述方法后可以很快的得到自己的病毒。