怎样知道自己的电脑是否已经中病毒

lcd2001 · 发表于 2008-6-24 16:16


怎样知道自己的电脑是否已经中病毒

系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

病毒的分类及各自的特征

要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

如按传染对象来分，病毒可以划分为以下几类：

a、引导型病毒

这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV300、KILL系列等。

b、文件型病毒

早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。

c、网络型病毒

这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。

d、复合型病毒

把它归为"复合型病毒"，是因为它们同时具备了"引导型"和"文件型"病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。

以上是按照病毒感染的对象来分，如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：

a、良性病毒

这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。

b、恶性病毒

我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒"，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。

c、极恶性病毒

这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。

d、灾难性病毒

这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这"万一"。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。

按其入侵的方式来分为以下几种：

a、源代码嵌入攻击型

从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

b、代码取代攻击型

这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

c、系统修改型

这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

d、外壳附加型

这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。

1、反病毒软件的扫描法

这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。

2、观察法

这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

a、内存观察

这一方法一般用在DOS下发现的病毒，我们可用DOS下的"mem/c/p"命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用"mem/c/p"发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。

b、注册表观察法

这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion 等等，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

c、系统配置文件观察法

这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell="项，而在wini.ini文件中有"load= "、"run= "项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。

d、特征字符串观察法

这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入"CIH"这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。

e、硬盘空间观察法

有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件，相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

[此贴子已经被作者于2008-6-24 16:18:43编辑过]

lcd2001 · 发表于 2008-6-24 16:18


网络安全只需要对症下药给自己系统设道安全防线

黑客如此猖獗，应该采取什么样的有效手段来防止黑客的入侵呢?俗话说：亡羊补牢，为时未晚。人类社会总是在邪恶势力的不断斗争中向前发展的，魔高一尺，道高一丈，总有办法有效地阻止黑客的入侵，保护好自己的计算机系统的。

企业要建立自己的计算机安全系统，也应根据自己单位的实际情况来选择安全级别，选择相应的软硬件设施和资金投入。对于已经建立了企业内部网络的用户，根据其在Internet上开展业务量的多少，分三种情况详细说明。

一、未连接Internet

这类单位只需要建立初级的计算机网络安全系统，主要包括以下几点：

1.选好系统管理员。这是最后的防线，如果系统管理员也成了黑客，那损失就不可避免了。

2.对系统管理员应有制度上的制约，以消除安全隐患。比如限制管理员的操作权限，对管理员的行动进行监控等。

3.对计算机操作人员必须明确具体的权限，每个人的密码应进行定期或不定期的修改，口令最好由数字和字母混合组成，并尽量用足规定的字符长度。

4.防止病毒入侵系统。严格限制外来盘片的使用，应该备有经国家计算机安全产品检测中心检测合格的杀病毒软件，如瑞星杀毒软件网络版等。发现可疑情况及时查杀病毒。

5.加强机房管理，严格限制外来人员进入机房使用计算机。

二、偶尔使用Internet

这类单位的特点是：每天需要查阅几个固定站点的信息，如报刊杂志，股票行情以及本行业的相关站点。这些单位除了应该做到上述五点要求以外，还应采取下列措施：

1.建立代理服务器，每天由专人负责定时接收这些固定站点的信息，接收完毕就立即与国际互联网断开。进行接收时，代理服务器最好脱离开企业内部网。

2.在企业内部网中，尤其是服务器上，应尽量使用高版本的操作系统软件如UNIX Open Server 5.0.4，Windows NT 4.0等。对操作系统的安全级别应使用系统软件所能提供的最高级。

三、大量使用Internet

这类企业的特点是：要在国际互联网上实时地处理业务，所以会遇到各种复杂情况。这类企业除了练好上述两类企业的基本功以外，还应该做到以下几点(说明：以下的条目中，有些漏洞在高版本的操作系统中已经消除。)：

1.必须认真设置操作系统：值得注意的是，操作系统的许多缺省值都已被黑客利用来作为入侵系统的突破口，所以，尽量不要使用系统缺省值。具体地说，主要注意以下几点：

(1)改变Administrator账户的名字，为系统管理员和备份操作员创建特殊账户。使黑客猜不到系统管理员和备份操作员的账户名。禁止所有具有Administrator和备份特权的账户浏览Web，以防黑客网上即时侦听。不要设置缺省的Guest账户。

(2)确保%system%\reparir\sam.—在每次ERD更新后，对所有人不可读。因为，Windows NT把用户信息和加密口令保存于NT Registry中的SAM文件中，即安全账户管理(Security Accounts Management)数据库。

(3)限制远程管理员访问NT平台。因为任何一个用户都可以在命令行下，键入\IPaddress\C$(或者\IPad?dress\D$，\IPaddress\WINNT$)试图连接任意一个NT平台上管理系统的共享资源。

(4)在域控制器上，修改Registry中Winlogon的设置为“OFF”。以免Windows NT在注册对话框中显示最近一次注册的用户名，给潜在的黑客提供信息。

(5)严格限制NT域中Windows NT工作站上的管理员特权，决不用缺省值。因为任何人可能通过访问内存来获取加密的口令，以获得缺省管理员的访问权。

(6)对于注册表Registry，严格限制为只可进行本地注册，不可远程访问。因为，Registry的缺省权限设置是对“所有人”“安全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。

(7)对关键目录，应改变其缺省权限为“读”。缺省权限设置允许“所有人”对关键目录具有“变更”级的访问权。其中，“关键目录”包括：每个NTFS卷的根目录，System32目录，以及Win32App目录。

(8)在赋予打印操作员权限时，要限制人数。因为打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权，这会被黑客利用来在打印驱动程序中插入恶意病毒。

(9)合理配置FTP，确保服务器必须验证所有FTP申请。因为FTP有一个设置选项，允许客户直接进入一个账户，使无需授权而访问用户的文件和文件夹成为可能。

2.加强计算机系统的保安工作：

(1)关闭系统管理员的远程能力，只允许他直接访问控制台。

(2)未经许可，不得重新安装WindowsNT软件。因为重新安装整个的操作系统，覆盖原来的系统，就可以获得Administrator特权。

3.对金融等安全性特别重要的系统应建立信息系统防火墙：

在防火墙上，应截止从端口135到142的所有TCP和UDP连接，这样有利于控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块(ServerMessageBlock)。SMB有很多尚未公开的“后门”，能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录，Registry数据库，以及其他一些系统服务。

[此贴子已经被作者于2008-6-24 16:18:16编辑过]

lcd2001 · 发表于 2008-6-24 16:25


认清网页恶意代码，教你应对之法

网页中我们经常会遇到各种恶意代码，我们应该怎样有针对性的做好预防措施呢？

1.禁止使用电脑

现象描述：尽管网络流氓们用这一招的不多，但是一旦你中招了，后果真是不堪设想！浏览了含有这种恶意代码的网页其后果是："关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止，系统无法进入"实模式"、驱动器被隐藏。

解决办法：一般来说上述八大现象你都遇上了的话，基本上系统就给"废"了，建议重装。

2.格式化硬盘

现象描述：这类恶意代码的特征就是利用IE执行ActiveX的功能，让你无意中格式化自己的硬盘。只要你浏览了含有它的网页，浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX，可能会对你造成危害"，问你是否执行。如果你选择"是"的话，硬盘就会被快速格式化，因为格式化时窗口是最小化的，你可能根本就没注意，等发现时已悔之晚矣。

解决办法：除非你知道自己是在做什么，否则不要随便回答"是"。该提示信息还可以被修改，如改成"Windows正在删除本机的临时文件，是否继续"，所以千万要注意！此外，将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。特别提示，不要随意执行来历不明的程序。

3.下载运行木马程序

现象描述：在网页上浏览也会中木马？当然，由于IE5.0本身的漏洞，使这样的新式入侵手法成为可能，方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞，将木马放在eml文件里，然后用一段恶意代码指向它。上网者浏览到该恶意网页，就会在不知不觉中下载了木马并执行，其间居然没有任何提示和警告！

解决办法：第一个办法是升级您的IE5.0，IE5.0以上版本没这毛病；此外，安装金山毒霸、Norton等病毒防火墙，它会把网页木马当作病毒迅速查截杀。

4.注册表的锁定

现象描述：有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。

解决办法：能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如：Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值"DisableRegistryTools"键值恢复为"0"，即可恢复注册表。

5.默认主页修改

现象描述：一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。

解决办法：

1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main，在右半部分窗口中将"StartPage"的键值改为"about:blank"即可。同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main，在右半部分窗口中将"StartPage"的键值改为"about:blank"即可。

注意：有时进行了以上步骤后仍然没有生效，估计是有程序加载到了启动项的缘故，就算修改了，下次启动时也会自动运行程序，将上述设置改回来，解决方法如下：

运行注册表编辑器Regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，然后将下面的"registry.exe"子键（名字不固定）删除，最后删除硬盘里的同名可执行程序。退出注册编辑器，重新启动计算机，问题就解决了。

2.默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\，将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE的默认值。

3.IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0"，将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD值"homepage"的键值改为"0"。

6.篡改IE标题栏

现象描述：在系统默认状态下，由应用程序本身来提供标题栏的信息。但是，有些网络流氓为了达到广告宣传的目的，将串值"WindowsTitle"下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的。非要别人看他的东西，而且是通过非法的修改手段，除了"无耻"两个字，再没有其它形容词了。

解决办法：展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\下，在右半部分窗口找到串值"WindowsTitle"，将该串值删除。重新启动计算机。

7.篡改默认搜索引擎

现象描述：在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。

解决办法：运行注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。

8.IE右键修改

现象描述：有的网络流氓为了宣传的目的，将你的右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

解决办法：

1.右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt，删除相关的广告条文。

2.右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。

9.篡改地址栏文字

现象描述：中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是你以前访问过的。

解决办法：

1.地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ToolBar下找到键值LinksFolderName，将其中的内容删去即可。

2.地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypeURLs中删除无用的键值即可。

10.启动时弹出对话框

现象描述：1.系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。2.开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的，可以重复弹出窗口直到死机。

解决办法：

1.弹出对话框。打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键，然后在右边窗口中找到"LegalNoticeCaption"和"LegalNoticeText"这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了。

2.弹出网页。点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为url、html、htm的网址文件都勾掉。

11.IE窗口定时弹出

现象描述：中招者的机器每隔一段时间就弹出IE窗口，地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾？

解决办法：点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为html的都勾掉，重启

[此贴子已经被作者于2008-6-24 16:27:37编辑过]

		自动登录	找回密码
密码			立即注册