我們需要掌握的病毒知識有哪些
我們需要掌握的病毒知識有哪些
現(xiàn)在伴隨著網(wǎng)絡(luò)的普遍,網(wǎng)絡(luò)病毒的破壞事件越來越多。我們每天都和網(wǎng)絡(luò)接觸。耳濡目染,自然大家的網(wǎng)絡(luò)安全意識也越來越強,那們作為普通網(wǎng)絡(luò)用戶。我們需要掌握的病毒知識有哪些呢?下面就讓學(xué)習(xí)啦小編給大家說說我們需要掌握的病毒知識吧。
需要掌握的病毒知識
1.經(jīng)常死機:病毒打開了許多文件或占用了大量內(nèi)存;不穩(wěn)定(如內(nèi)存質(zhì)量差,硬件超頻性能差等);運行了大容量的軟件占用了大量的內(nèi)存和磁盤空間;使用了一些測試軟件(有許多BUG);硬盤空間不夠等等;運行網(wǎng)絡(luò)上的軟件時經(jīng)常死機也許是由于網(wǎng)絡(luò)速度太慢,所運行的程序太大,或者自己的工作站硬件配置太低。
2.系統(tǒng)無法啟動:病毒修改了硬盤的引導(dǎo)信息,或刪除了某些啟動文件。如引導(dǎo)型病毒引導(dǎo)文件損壞;硬盤損壞或參數(shù)設(shè)置不正確;系統(tǒng)文件人為地誤刪除等。
3.文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬盤損壞;文件快捷方式對應(yīng)的鏈接位置發(fā)生了變化;原來編輯文件的軟件刪除了;如果是在局域網(wǎng)中多表現(xiàn)為服務(wù)器中文件存放位置發(fā)生了變化,而工作站沒有及時涮新服器的內(nèi)容(長時間打開了資源管理器)。
4.經(jīng)常報告內(nèi)存不夠:病毒非法占用了大量內(nèi)存;打開了大量的軟件;運行了需內(nèi)存資源的軟件;系統(tǒng)配置不正確;內(nèi)存本就不夠(目前基本內(nèi)存要求為128M)等。
5.提示硬盤空間不夠:病毒復(fù)制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬盤安裝了一個WIN98或WINNT4.0系統(tǒng)就說沒空間了,一安裝軟件就提示硬盤空間不夠。硬盤每個分區(qū)容量太小;安裝了大量的大容量軟件;所有軟件都集中安裝在一個分區(qū)之中;硬盤本身就小;如果是在局域網(wǎng)中系統(tǒng)管理員為每個用戶設(shè)置了工作站用戶的“私人盤”使用空間限制,因查看的是整個網(wǎng)絡(luò)盤的大小,其實“私人盤”上容量已用完了。
6.軟盤等設(shè)備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經(jīng)在軟盤中打開過的文件。
7.出現(xiàn)大量來歷不明的文件:病毒復(fù)制文件;可能是一些軟件安裝中產(chǎn)生的臨時文件;也或許是一些軟件的配置信息及運行記錄。
8.啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什么也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
9.數(shù)據(jù)丟失:病毒刪除了文件;硬盤扇區(qū)損壞;因恢復(fù)文件而覆蓋原文件;如果是在網(wǎng)絡(luò)上的文件,也可能是由于其它用戶誤刪除了。
10.鍵盤或鼠標無端地鎖死:病毒作怪,特別要留意“木馬”;鍵盤或鼠標損壞;主板上鍵盤或鼠標接口損壞;運行了某個鍵盤或鼠標鎖定程序,所運行的程序太大,長時間系統(tǒng)很忙,表現(xiàn)出按鍵盤或鼠標不起作用。
11.系統(tǒng)運行速度慢:病毒占用了內(nèi)存和CPU資源,在后臺運行了大量非法操作;硬件配置低;打開的程序太多或太大;系統(tǒng)配置不正確;如果是運行網(wǎng)絡(luò)上的程序時多數(shù)是由于你的機器配置太低造成,也有可能是此時網(wǎng)路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬盤空間不夠用來運行程序時作臨時交換數(shù)據(jù)用。
12.系統(tǒng)自動執(zhí)行操作:病毒在后臺執(zhí)行非法操作;用戶在注冊表或啟動組中設(shè)置了有關(guān)程序的自動運行;某些軟件安裝或升級后需自動重啟系統(tǒng)。
通過以上的分析對比,我們知道其實大多數(shù)故障都可能是由于人為或軟、硬件故障造成的,當我們發(fā)現(xiàn)異常后不要急于下斷言,在殺毒還不能解決的情況下,應(yīng)仔細分析故障的特征,排除軟、硬件及人為的可能性。
要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的了解,而且越詳細越好!
病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
如按傳染對象來分,病毒可以劃分為以下幾類:
a、引導(dǎo)型病毒
這類病毒攻擊的對象就是磁盤的引導(dǎo)扇區(qū),這樣就能使系統(tǒng)在啟動時獲得優(yōu)先的執(zhí)行權(quán),從而達到控制整個系統(tǒng)的目的,這類病毒因為感染的是引導(dǎo)扇區(qū),所以造成的損失也就比較大,一般來說會造成系統(tǒng)無法正常啟動,但查殺這類病毒也較容易,多數(shù)殺毒軟件都能查殺這類病毒,如KV300、KILL系列等。
b、文件型病毒
早期的這類病毒一般是感染以exe、com等為擴展名的可執(zhí)行文件,這樣的話當你執(zhí)行某個可執(zhí)行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件,因為這些文件通常是某程序的配置、鏈接文件,所以執(zhí)行某程序時病毒也就自動被子加載了。它們加載的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白字節(jié)中,如CIH病毒就是把自己拆分成9段嵌入到PE結(jié)構(gòu)的可執(zhí)行文件中,感染后通常文件的字節(jié)數(shù)并不見增加,這就是它的隱蔽性的一面。
c、網(wǎng)絡(luò)型病毒
這種病毒是近幾來網(wǎng)絡(luò)的高速發(fā)展的產(chǎn)物,感染的對象不再局限于單一的模式和單一的可執(zhí)行文件,而是更加綜合、更加隱蔽。現(xiàn)在一些網(wǎng)絡(luò)型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉(zhuǎn)變,從原始的刪除、修改文件到現(xiàn)在進行文件加密、竊取用戶有用信息(如黑客程序)等,傳播的途經(jīng)也發(fā)生了質(zhì)的飛躍,不再局限磁盤,而是通過更加隱蔽的網(wǎng)絡(luò)進行,如電子郵件、電子廣告等。
d、復(fù)合型病毒
把它歸為“復(fù)合型病毒”,是因為它們同時具備了“引導(dǎo)型”和“文件型”病毒的某些特點,它們即可以感染磁盤的引導(dǎo)扇區(qū)文件,也可以感染某此可執(zhí)行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復(fù),還會造成引導(dǎo)扇區(qū)文件和可執(zhí)行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟件要同時具備查殺兩類病毒的功能。
如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們?nèi)肭值哪康牟皇瞧茐哪愕南到y(tǒng),只是想玩一玩而已,多數(shù)是一些初級病毒發(fā)燒友想測試一下自己的開發(fā)病毒程序的水平。它們并不想破壞你的系統(tǒng),只是發(fā)出某種聲音,或出現(xiàn)一些提示,除了占用一定的硬盤空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊信息,如密碼、IP地址等,以備有需要時用。
b、惡性病毒
我們把只對軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息,不會造成硬件損壞、數(shù)據(jù)丟失等嚴重后果的病毒歸之為“惡性病毒”,這類病毒入侵后系統(tǒng)除了不能正常使用之外,別無其它損失,系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復(fù),當然還是要殺掉這些病毒之后重裝系統(tǒng)。
c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統(tǒng)就要徹底崩潰,根本無法正常啟動,你保分留在硬盤中的有用數(shù)據(jù)也可能隨之不能獲取,輕一點的還只是刪除系統(tǒng)文件和應(yīng)用程序等。
d、災(zāi)難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁盤的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤分區(qū)表,造成系統(tǒng)根本無法啟動,有時甚至?xí)袷交蜴i死你的硬盤,使你無法使用硬盤。如果一旦染上這類病毒,你的系統(tǒng)就很難恢復(fù)了,保留在硬盤中的數(shù)據(jù)也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什么時候應(yīng)作好最壞的打算,特別是針對企業(yè)用戶,應(yīng)充分作好災(zāi)難性備份,還好現(xiàn)在大多數(shù)大型企業(yè)都已認識到備份的意義所在,花巨資在每天的系統(tǒng)和數(shù)據(jù)備份上,雖然大家都知道或許幾年也不可能遇到過這樣災(zāi)難性的后果,但是還是放松這“萬一”。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發(fā)作的CIH病毒就可劃歸此類,因為它不僅對軟件造成破壞,更直接對硬盤、主板的BIOS等硬件造成破壞。
如按病毒的入侵的方式來分為以下幾種:
a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序,病毒是在源程序編譯之前插入病毒代碼,最后隨源程序一起被編譯成可執(zhí)行文件,這樣剛生成的文件就是帶毒文件。當然這類文件是極少數(shù),因為這些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專業(yè)的編程水平。
b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊,這類病毒也少見,它主要是攻擊特定的程序,針對性較強,但是不易被發(fā)現(xiàn),清除起來也較困難。
c、系統(tǒng)修改型
這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調(diào)用或替代操作系統(tǒng)中的部分功能,由于是直接感染系統(tǒng),危害較大,也是最為多見的一種病毒類型,多為文件型病毒。
d、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當于給程序添加了一個外殼,在被感染的程序執(zhí)行時,病毒代碼先被執(zhí)行,然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。
我們需要掌握的病毒知識有哪些相關(guān)文章:
2.史上最強十大病毒
5.病毒有什么特點