病毒与软、硬体故障的区别和联系

　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬体故障引起的，网路上的多是由于权限设定所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬体故障引起的一些常见电脑故障症状分析。

　　症状 病毒的入侵的可能性 软、硬体故障的可能性

　　经常死机：病毒开启了许多档案或占用了大量记忆体；不稳定（如记忆体质量差，硬体超频效能差等）；执行了大容量的软体占用了大量的记忆体和磁碟空间；使用了一些测试软体（有许多BUG）；硬碟空间不够等等；执行网路上的软体时经常死机也许是由于网路速度太慢，所执行的程式太大，或是自己的工作站硬体组态太低。

　　系统无法启动：病毒修改了硬碟的引导讯息 ，或移除了某些启动档案。如引导型病毒 引导档案损坏；硬碟损坏或参数设定不正确；系统档案人为地误移除等。

　　档案打不开：病毒修改了档案格式；病毒修改了档案连结位置。档案损坏；硬碟损坏；档案捷径对应的连结位置发生了变化；原来编辑档案的软体移除了；若果是在局域网中多表现为伺服器中档案存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间开启了资源管理器）。

　　经常报告记忆体不够： 病毒非法占用了大量记忆体；开启了大量的软体；执行了需记忆体资源的软体；系统组态不正确；记忆体本就不够（目前基本记忆体要求为128M）等。

　　提示硬碟空间不够：病毒复制了大量的病毒档案（这个遇到过好几例，有时好端端的近10G硬碟安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软体就提示硬碟空间不够。硬碟每个分区容量太小；安装了大量的大容量软体；所有软体都集中安装在一个分区之中；硬碟本身就小；若果是在局域网中系统管理员为每个使用者设定了工作站使用者的「私人盘」使用空间限制，因检视的是整个网路盘的大小，其实「私人盘」上容量已用完了。

　　软碟等装置未访问时出读写信号：病毒感染；软碟取走了还在开启曾经在软碟中开启过的档案。

　　出现大量来历不明的档案：病毒复制档案；可能是一些软体安装中产生的暂存档；也或许是一些软体的组态讯息及执行记录。

　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

　　资料丢失：病毒移除了档案；硬碟扇区损坏；因恢复档案而覆盖原档案；若果是在网路上的档案，也可能是由于其它使用者误移除了。

　　键盘或滑鼠无端地锁死：病毒作怪，特别要留意「木马」；键盘或滑鼠损坏；主板上键盘或滑鼠接口损坏；执行了某个键盘或滑鼠锁定程式，所执行的程式太大，长时间系统很忙，表现出按键盘或滑鼠不起作用。

　　系统执行速度慢：病毒占用了记忆体和CPU资源，在后台执行了大量非法动作；硬体组态低；开启的程式太多或太大；系统组态不正确；若果是执行网路上的程式时多数是由于你的机器组态太低造成，也有可能是此时网路上忙线中，有许多使用者同时开启一个程式；还有一种可能就是你的硬碟空间不够用来执行程式时作临时交换资料用。

　　系统自动执行动作：病毒在后台执行非法动作；使用者在注册表或启动群组中设定了有关程式的自动执行；某些软体安装或升级后需自动重启系统。

　　通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬体故障造成的，当我们发现异常后不要急于下断言，在扫毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬体及人为的可能性。

　　病毒的分类及各自的特征

　　要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

　　病毒因为由众多分散的个人或群组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

　　如按传染对像来分，病毒可以划分为以下几类：

　　a、引导型病毒

　　这类病毒攻击的对象就是磁碟的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法标准启动，但查杀这类病毒也较容易，多数扫毒软体都能查杀这类病毒，如KV300、KILL系列等。

　　b、档案型病毒

　　早期的这类病毒一般是感染以exe、com等为副档名的可执行档案，这样的话当你执行某个可执行档案时病毒程式就跟着启用。近期也有一些病毒感染以dll、ovl、sys等为副档名的档案，因为这些档案通常是某程式的组态、连结档案，所以执行某程式时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些档案的空白位元组中，如CIH病毒就是把自己分割成9段内嵌到PE结构的可执行档案中，感染后通常档案的位元组数并不见增加，这就是它的隐蔽性的一面。

　　c、网路型病毒

　　这种病毒是近几来网路的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行档案，而是更加综合、更加隐蔽。现在一些网路型病毒几乎可以对所有的OFFICE档案进行感染，如WORD、EXCEL、电子信件等。其攻击模式也有转变，从原始的移除、修改档案到现在进行档案加密、窃取使用者有用讯息（如黑客程式）等，传播的途经也发生了质的飞跃，不再局限磁碟，而是通过更加隐蔽的网路进行，如电子信件、电子广告等。

　　d、复合型病毒

　　把它归为「复合型病毒」，是因为它们同时具备了「引导型」和「档案型」病毒的某些特点，它们即可以感染磁碟的引导扇区档案，也可以感染某此可执行档案，若果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区档案和可执行档案的感染，所以这类病毒查杀难度极大，所用的扫毒软体要同时具备查杀两类病毒的功能。

　　以上是按照病毒感染的对象来分，若果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：

　　a、良性病毒：

　　这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程式的水平。它们并不想破坏你的系统，只是发出某种音效，或出现一些提示，除了占用一定的硬碟空间和CPU处理时间外别无其它坏处。如一些木马病毒程式也是这样，只是想窃取你电脑中的一些通信讯息，如密码、IP位址等，以备有需要时用。

　　b、恶性病毒

　　我们把只对软体系统造成干扰、窃取讯息、修改系统讯息，不会造成硬体损坏、资料丢失等严重后果的病毒归之为「恶性病毒」，这类病毒入侵后系统除了不能标准使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分档案后即可恢复，当然还是要杀掉这些病毒之后重装系统。

　　c、极恶性病毒

　　这类病毒比上述b类病毒损坏的程度又要大些，一般若果是感染上这类病毒你的系统就要彻底崩溃，根本无法标准启动，你保分留在硬碟中的有用资料也可能随之不能取得，轻一点的还只是移除系统档案和套用程式等。

　　d、灾难性病毒

　　这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁碟的引导扇区档案、修改档案分配表和硬碟分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬碟，使你无法使用硬碟。若果一旦染上这类病毒，你的系统就很难恢复了，保留在硬碟中的资料也就很难取得了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业使用者，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和资料备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这「万一」。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软体造成破坏，更直接对硬碟、主板的BIOS等硬体造成破坏。

　　如按其入侵的模式来分为以下几种：

　　a、源代码内嵌攻击型

　　从它的名字我们就知道这类病毒入侵的主要是进阶语系的源程式，病毒是在源程式编译之前插入病毒代码，最后随源程式一起被编译成可执行档案，这样刚生成的档案就是带毒档案。当然这类档案是极少数，因为这些病毒开发者不可能轻易得到那些软体开发公司编译前的源程式，况且这种入侵的模式难度较大，需要非常专业的写程式水平。

　　b、代码取代攻击型

　　这类病毒主要是用它自身的病毒代码取代某个入侵程式的整个或部分模组，这类病毒也少见，它主要是攻击特定的程式，针对性较强，但是不易被发现，清除起来也较困难。

　　c、系统修改型

　　这类病毒主要是用自身程式覆盖或修改系统中的某些档案来达到呼叫或替代动作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为档案型病毒。

　　d、外壳附加型

　　这类病毒通常是将其病毒附加在标准程式的头部或尾部，相当于给程式加入了一个外壳，在被感染的程式执行时，病毒代码先被执行，然后才将标准程式调入记忆体。目前大多数档案型的病毒属于这一类。

　　有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。

　　1、反病毒软体的扫瞄法

　　这恐怕是我们绝大数朋友偏好，也恐怕是唯一的选取，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软体开发商带来挑战。但随着电脑程式开发语系的技术性提高、电脑网路越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软体开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软体，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软体的使用在此就不必说叙了，我相信大家都有这个水平！

　　2、观察法

　　这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬碟引导时经常出现死机、系统引导时间较长、执行速度很慢、不能访问硬碟、出现特殊的音效或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬体出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

　　a、记忆体观察

　　这一方法一般用在DOS下发现的病毒，我们可用DOS下的「mem/c/p」指令来检视各程式占用记忆体的情况，从中发现病毒占用记忆体的情况（一般不单独占用，而是依附在其它程式之中），有的病毒占用记忆体也比较隐蔽，用「mem/c/p」发现不了它，但可以看到总的基本记忆体640K之中少了那么区区1k或几K。

　　b、注册表观察法

　　这类方法一般适用于近来出现的所谓黑客程式，如木马程式，这些病毒一般是通过修改注册表中的启动、加载组态来达到自动启动或加载的，一般是在如下几个地方实现：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　\RunOnce]

　　等等，具体可参考我的另一篇文章——《通通透透看木马》，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

　　c、系统组态档观察法

　　这类方法一般也是适用于黑客类程式，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动群组中，在system.ini档案中有一个"shell=」项，而在wini.ini档案中有「load= 」、「run= 」项，这些病毒一般就是在这些项目中加载它们自身的程式的，注意有时是修改原有的某个程式。我们可以执行Win9x/WinME中的msconfig.exe程式来一项一项检视。具体也可参考我的《通通透透看木马》一文。

　　d、特征字串观察法

　　这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的档案中写入「CIH」这样的字串，当然我们不可能轻易地发现，我们可以对主要的系统档案（如Explorer.exe)运用16进位代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统档案。

　　e、硬碟空间观察法

　　有些病毒不会破坏你的系统档案，而仅是生成一个隐藏的档案，这个档案一般内容很少，但所占硬碟空间很大，有时大得让你的硬碟无法执行一般的程式，但是你查又看不到它，这时我们就要开启资源管理器，然后把所检视的内容属性设定成可检视所有属性的档案（这方法应不需要我来说吧？），相信这个庞然大物一定会到时显形的，因为病毒一般把它设定成隐藏属性的。到时移除它即可，这方面的例子在我进行电脑网路维护和个人电脑维修过程中见到几例，明明只安装了几个常用程式，为什么在C盘之中几个G的硬碟空间显示就没有了，经由上述方法一般能很快地让病毒显形的