九乡新闻网跑台数码印花机:计算机病毒及预防
来源:百度文库 编辑:九乡新闻网 时间:2024/05/01 13:35:49
一、什么是计算机病毒?有哪些类型?
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码 。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。
二、常见病毒了解
常见病毒名称
类型
危害
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。。
这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。
病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。
本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。
该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。
该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是也称恶作剧病毒:Joke。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
l病毒发作后会对计算机系统有损害吗?
l计算机感染病毒后,病毒一旦发作的话,我们能感觉得到吗?
l一旦感染病毒,会马上发作吗?
三、计算机病毒的特点?
1) 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它 是不易被人发觉的。 (2) 传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人 难以预防。 (3) 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点 都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。 (4) 隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、 变化无常,这类病毒处理起来通常很困难。
四、计算机病毒发作有什么表现?
1. 屏幕显示异常,显示出不是由正常程序产生的特殊画面或字符串,或屏幕显示混乱等现象。 2. 电源正常的情况下,系统突然自行重新引导。 3. 内存空间不应有的减少。 4. 程序的运行时间显著加长。 5. 系统无故死锁。 6. 扬声器发出不是由正常程序产生的异常声响或乐曲。 7. 文件发生不应有的变化(主要是可执行文件),如文件长度突然增加,日期 .时间被改变等,有时是文件莫名其妙地丢失或被破坏。 8. 磁盘坏区突然增多,卷标自行变化。 9. 本来可以工作的软件突然不能工作或工作不正常,字库或数据库无故不能使用。 10. 在没有安排向磁盘读写数据时,磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。 11. 打印机突然工作不正常,如打印机接而不通 12. 硬盘C不能启动系统。 13. 用软盘引导系统时,结果却变成C盘启动。 14. 系统经常出现“写保护错”的提示信息
五、探讨:遇到病毒我们怎么办?我们应该如何预防病毒?
一、检测网络连接 如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。 具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。 二、禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过 “net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。 方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。 三、轻松检查账户 很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。 为了避免这种情况,可以用很简单的方法对账户进行检测。 首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧! 联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
在安全模式下杀毒,按F8经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为“安全模式”的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的。然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。 初识安全模式 要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个: 1.安全模式 只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。 如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。 2.带网络连接的安全模式 在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。 3.带命令行提示符的安全模式 只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。 说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。 4.启用启动日志 以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。 5.启用VGA模式 利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。 6.最后一次正确的配置 使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。 7.目录服务恢复模式 这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。 8.调试模式 启动时通过串行电缆将调试信息发送到另一台计算机。 如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 现实应用 1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。 现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。 还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。 2.揪出恶意的自启动程序或服务 如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接。 可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList >d:Anquan.txt将当时的进程记录到D:盘根目录下的文本文件 Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明就是刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报“找不到某文件”的错误,还得将其与自启动有关的设置全部清除,包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。 3.调整分区 有一次,笔者带着本本儿出差,途中想处理一下下车即用的报表文件,可本本儿偏不争气,启动时报分区错误。天啊,出门在外的,又没带任何工具软件,好在天无绝人之路,还能启动到安全模式下——有法了,命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大,它工作于一个集成的环境,输入Diskpart后,显示图1所示的专用提示符即Diskpart>(注意:这不是一个路径),在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。 说明在先:以下的操作是在台式机上记录下来的。 ①启动到带命令提示符的安全模式下,输入命令Diskpart。再输入list partition 显示一下分区,显然,其中有两个主分区、两个扩展分区。 ②输入“Select Parttition 3”使第3分区(5004MB的那个),使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较,不难看出,原分区3确实已被删除了。 ③输入“Select partition 1”使其具有焦点属性,再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。 为分区扩容,这可是分区魔术师的专利,“diskpart”也能实现,看来,Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。 说明:将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区,未分配的空间必须在同一磁盘上,并且必须接着带有焦点的分区。 如果要被扩容的分区是NTFS格式,扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式,此命令就会失败,但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区,也不能对包含页面文件的分区进行扩容。从图中可看出,我的电脑中有两个主分区,分区5才是活动分区。不然,不能对分区1进行扩容操作。 语法:extend [size=n] 参数说明: size=n :添加到当前分区的空间大小 (MB)。如果不指定大小,磁盘就扩展为占用所有最邻近的未分配空间。 ④不管对硬盘分区做了什么样的改动,包括创建、删除、扩容等,都用不着重新启动电脑即可生效(这是分区魔术师不能做到的),但在“我的电脑”却看不到这些分区,这是为什么呢,原来,还没为其指定驱动器号(也就是盘符),怎样指定盘符呢?下面以为第一个分区指定盘符为例进行说明。 使第1个分区具有焦点属性,再输入命令“Assign”,Diskpart就会自动为其分配一个。当然也可用命令“Assign Letter=X”来手动指定,手动指定时,不能与已存在的盘符如C等相同。经过这样的处理后,就能在“我的电脑”下查看到这些分区了。 ⑤将分区5设为活动分区,先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit,退出Diskpart集成环境,让电脑自动重启。 说明:如果用惯了DiskPart,你就会觉得它的设计很符合人们的思维习惯,一般是先指定焦点,再进行操作,操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令,输入有错时,它还会自动列出子命令列表及简要说明,将你引导到正路上来。另外,安装Windows 2003后,大家最熟悉的分区魔术师(非服务器版)不能正常运行,使用Diskpart确实是一个不错的选择。 如前所述,在Diskpart下进行任何操作前都必须指定焦点,即指明对哪一对象进行操作,这一方面使的我的操作逻辑清楚,但另一方面,如果对误指定了焦点又执行了破坏性的命令,如删除分区等,会造成无可挽回的损失。所以,请随时用List命令查看各分区状态,焦点分区前有一个星号(*)标志。 此外,你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除,遇到这种情况,可启动到安全模式下尝试删除这些病毒文件。当然,这里我们也只是介绍了一些比较常见的安全模式用途,算是抛砖引玉吧,希望各位能够在实际的电脑使用中,逐步体验其更多的便捷之处。
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码 。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。
二、常见病毒了解
常见病毒名称
类型
危害
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。。
这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。
病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。
本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。
该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。
该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是也称恶作剧病毒:Joke。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
l病毒发作后会对计算机系统有损害吗?
l计算机感染病毒后,病毒一旦发作的话,我们能感觉得到吗?
l一旦感染病毒,会马上发作吗?
三、计算机病毒的特点?
1) 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它 是不易被人发觉的。 (2) 传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人 难以预防。 (3) 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点 都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。 (4) 隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、 变化无常,这类病毒处理起来通常很困难。
四、计算机病毒发作有什么表现?
1. 屏幕显示异常,显示出不是由正常程序产生的特殊画面或字符串,或屏幕显示混乱等现象。 2. 电源正常的情况下,系统突然自行重新引导。 3. 内存空间不应有的减少。 4. 程序的运行时间显著加长。 5. 系统无故死锁。 6. 扬声器发出不是由正常程序产生的异常声响或乐曲。 7. 文件发生不应有的变化(主要是可执行文件),如文件长度突然增加,日期 .时间被改变等,有时是文件莫名其妙地丢失或被破坏。 8. 磁盘坏区突然增多,卷标自行变化。 9. 本来可以工作的软件突然不能工作或工作不正常,字库或数据库无故不能使用。 10. 在没有安排向磁盘读写数据时,磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。 11. 打印机突然工作不正常,如打印机接而不通 12. 硬盘C不能启动系统。 13. 用软盘引导系统时,结果却变成C盘启动。 14. 系统经常出现“写保护错”的提示信息
五、探讨:遇到病毒我们怎么办?我们应该如何预防病毒?
一、检测网络连接 如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。 具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。 二、禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过 “net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。 方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。 三、轻松检查账户 很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。 为了避免这种情况,可以用很简单的方法对账户进行检测。 首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧! 联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
在安全模式下杀毒,按F8经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为“安全模式”的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的。然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。 初识安全模式 要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个: 1.安全模式 只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。 如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。 2.带网络连接的安全模式 在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。 3.带命令行提示符的安全模式 只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。 说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。 4.启用启动日志 以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。 5.启用VGA模式 利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。 6.最后一次正确的配置 使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。 7.目录服务恢复模式 这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。 8.调试模式 启动时通过串行电缆将调试信息发送到另一台计算机。 如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 现实应用 1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。 现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。 还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。 2.揪出恶意的自启动程序或服务 如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接。 可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList >d:Anquan.txt将当时的进程记录到D:盘根目录下的文本文件 Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明就是刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报“找不到某文件”的错误,还得将其与自启动有关的设置全部清除,包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。 3.调整分区 有一次,笔者带着本本儿出差,途中想处理一下下车即用的报表文件,可本本儿偏不争气,启动时报分区错误。天啊,出门在外的,又没带任何工具软件,好在天无绝人之路,还能启动到安全模式下——有法了,命令行工具Diskpart能胜任分区魔术师的一切工作(可能还少有朋友听说吧)。Diskpart功能非常强大,它工作于一个集成的环境,输入Diskpart后,显示图1所示的专用提示符即Diskpart>(注意:这不是一个路径),在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。 说明在先:以下的操作是在台式机上记录下来的。 ①启动到带命令提示符的安全模式下,输入命令Diskpart。再输入list partition 显示一下分区,显然,其中有两个主分区、两个扩展分区。 ②输入“Select Parttition 3”使第3分区(5004MB的那个),使该分区具有焦点属性。再输入“Delete Partition”即可删除该分区。请将图3第1、2两个“List partition”命令后的值进行比较,不难看出,原分区3确实已被删除了。 ③输入“Select partition 1”使其具有焦点属性,再输入“Extend”,刚才被删除分区所空出来的末分配空间就能自动添加到第1分区中去。 为分区扩容,这可是分区魔术师的专利,“diskpart”也能实现,看来,Windows server 2003不支持分区魔术师是有道理的。再输入“List partition”可观察到第1个分区的容量变化情况。 说明:将带有焦点的分区扩展为最邻近的未分配空间时。对于普通分区,未分配的空间必须在同一磁盘上,并且必须接着带有焦点的分区。 如果要被扩容的分区是NTFS格式,扩容后不会丢失任何数据。如果是非 NTFS 的文件系统格式,此命令就会失败,但不会对分区作任何更改也不会破坏数据。不能扩展当前系统分区或启动分区,也不能对包含页面文件的分区进行扩容。从图中可看出,我的电脑中有两个主分区,分区5才是活动分区。不然,不能对分区1进行扩容操作。 语法:extend [size=n] 参数说明: size=n :添加到当前分区的空间大小 (MB)。如果不指定大小,磁盘就扩展为占用所有最邻近的未分配空间。 ④不管对硬盘分区做了什么样的改动,包括创建、删除、扩容等,都用不着重新启动电脑即可生效(这是分区魔术师不能做到的),但在“我的电脑”却看不到这些分区,这是为什么呢,原来,还没为其指定驱动器号(也就是盘符),怎样指定盘符呢?下面以为第一个分区指定盘符为例进行说明。 使第1个分区具有焦点属性,再输入命令“Assign”,Diskpart就会自动为其分配一个。当然也可用命令“Assign Letter=X”来手动指定,手动指定时,不能与已存在的盘符如C等相同。经过这样的处理后,就能在“我的电脑”下查看到这些分区了。 ⑤将分区5设为活动分区,先用Select Parttition 5使其具有焦点属性再用Active激活即可。最后输入Exit,退出Diskpart集成环境,让电脑自动重启。 说明:如果用惯了DiskPart,你就会觉得它的设计很符合人们的思维习惯,一般是先指定焦点,再进行操作,操作过程中还可随显示分区状态以便掌握进度。输入Help可查看到所有的子命令,输入有错时,它还会自动列出子命令列表及简要说明,将你引导到正路上来。另外,安装Windows 2003后,大家最熟悉的分区魔术师(非服务器版)不能正常运行,使用Diskpart确实是一个不错的选择。 如前所述,在Diskpart下进行任何操作前都必须指定焦点,即指明对哪一对象进行操作,这一方面使的我的操作逻辑清楚,但另一方面,如果对误指定了焦点又执行了破坏性的命令,如删除分区等,会造成无可挽回的损失。所以,请随时用List命令查看各分区状态,焦点分区前有一个星号(*)标志。 此外,你还可以借助安全模式来完成病毒的清除工作。比如有的杀毒软件能报告病毒但却不能清除甚至隔离、删除,遇到这种情况,可启动到安全模式下尝试删除这些病毒文件。当然,这里我们也只是介绍了一些比较常见的安全模式用途,算是抛砖引玉吧,希望各位能够在实际的电脑使用中,逐步体验其更多的便捷之处。