壹、如何判斷自己的電腦是否感染了病毒?電腦故障不僅僅是因為病毒感染,還有電腦本身的軟硬件故障,網絡故障大多是因為權限設置。只有充分了解兩者的區別和聯系,才能做出正確的判斷,及時發現真正的病毒。下面我簡單列舉壹些常見的由病毒和軟硬件故障分別引起的計算機故障癥狀分析。以下癥狀是由於入侵或軟硬件故障導致1,經常死機:病毒打開很多文件或占用大量內存;不穩定(比如內存質量差,硬件超頻性能差);運行大容量軟件,占用大量內存和磁盤空間;使用了壹些測試軟件(有很多BUG););硬盤空間不足等。;在網絡上運行軟件時經常死機,可能是因為網速太慢,運行的程序太大,或者是妳的工作站硬件配置太低。2.系統無法啟動:病毒修改了硬盤的引導信息或刪除了壹些引導文件。比如開機病毒的開機文件損壞;硬盤損壞或參數設置不正確;系統文件被人為誤刪等。3.無法打開文件:病毒已經修改了文件格式;病毒修改了文件鏈接位置。文件已損壞;硬盤損壞;對應於文件快捷方式的鏈接位置已更改;用於編輯文件的原始軟件已被刪除;如果是在局域網中,服務器中的文件存儲位置發生了變化,工作站沒有及時更新新服務器的內容(資源管理器已經打開很久了)。4、經常報告內存不夠用:病毒非法占用大量內存;打開很多軟件;運行需要內存資源的軟件;系統配置不正確;內存本身不夠(目前基本內存要求是128M)等等。5、提示硬盤空間不夠:病毒復制了大量的病毒文件(這個遇到了好幾個情況,有時候好端端的近10G硬盤裝了個WIN98或者WINNT4.0系統說沒有空間了,軟件壹安裝就提示硬盤空間不夠)。硬盤每個分區的容量太小;安裝了大量大容量軟件;所有軟件都安裝在壹個分區中;硬盤本身就小;如果是在局域網內,系統管理員為每個用戶設置壹個工作站用戶“私有磁盤”的空間限制,因為檢查整個網盤的大小,實際上“私有磁盤”上的容量已經用完了。6.軟盤等設備不訪問時,讀寫信號:病毒感染;軟盤帶走了軟盤中仍然打開的和已經打開的文件。7.出現大量來歷不明的文件:病毒副本文件;它可能是某個軟件安裝過程中生成的臨時文件;也可能是壹些軟件的配置信息和運行記錄。8.開始黑屏:病毒感染(記憶最深的是1998年的4.26,我為CIH付出了幾千元。那天我第壹次啟動Windows屏幕就死機了,再啟動就什麽事都沒有了);監視器故障;顯卡故障;主板故障;過頻;CPU損壞等。9.數據丟失:病毒刪除了文件;硬盤扇區損壞;由於文件恢復,覆蓋原始文件;如果是網絡上的文件,也有可能被其他用戶誤刪。二、蠕蟲病毒的類型1、蠕蟲病毒的類型:1988 165438+10月2日,世界上第壹個計算機蠕蟲正式誕生。美國康奈爾大學研究生壹年級學生莫裏斯(Morris)寫了壹個試驗程序,用來驗證壹個計算機程序是否可以在不同的計算機之間復制和傳播自己。為了讓程序順利進入另壹臺電腦,他編寫了壹段代碼來破解用戶的密碼。165438+10月2日早上5點,這個名為“蠕蟲”的程序開始了它的旅程,它果然不負莫裏斯的期望:它爬進了數千臺電腦,導致它們崩潰,造成了創紀錄的9600萬美元的經濟損失。從此,“蠕蟲”壹詞流傳開來,而莫裏斯可能並不知道:他證明了這個結論,同時也打開了潘多拉魔盒。壹、郵件蠕蟲:IFrame是壹種用來把壹個小頁面放到網頁中的HTML語言,用來實現“框架”結構。當時有好事者測試了壹個可怕的現象:當壹個頁面中放入多個IFrame時,框架中請求運行程序的代碼就會被執行。如果有人故意制作了破壞程序的頁面,後果可想而知。由於IFrame的大小可以自由設置,破壞者可以在壹個頁面中放置多個“看不見的”框架,並附加多個“看不見的”有害程序,所以瀏覽那個頁面的人自然會成為受害者!與IFrame漏洞相比,MIME漏洞更著名,它實際上只是用來描述信息類型的壹小塊數據。瀏覽器通過讀取數據知道如何處理接收到的數據。如果是文字和圖片,就會顯示出來。如果是程序,會彈出下載確認。如果是音樂,就直接播放。請註意最後壹種類型:音樂,瀏覽器采取的動作是:播放。b、網頁中的爬蟲C、社會學蠕蟲D、系統漏洞蠕蟲2、幾種典型的病毒例子A、油畫網上正在流傳壹幅奇怪的油畫。據說很多人看了會產生幻覺。有人解讀為油畫構圖色彩引起的視覺刺激,也有人認為是心理作用。眾說紛紜,卻沒有令人信服的答案。面對屏幕上兩個看似正常的孩子會讓人著迷,沒有註意到IE瀏覽器左下角的狀態欄壹直沒有停止打開頁面的進度條。電腦光驅自動彈出,剛按回去又彈出來了。鼠標到處跑,鍵盤沒有反應。過了壹會兒,計算機重新啟動,並停留在錯誤信息“NTLDR丟失…”永遠。顯然,這又是壹起典型的特洛伊馬蓄意破壞事件。妳打開的根本不是圖片。IE瀏覽器很強大。它可以自動識別並打開特定格式的文件,而不關心文件後綴是什麽,因為IE判斷文件內容不是基於後綴,而是基於文件頭和MIME。當用戶打開壹個文件時,IE讀取文件的頭信息,並在本地註冊表數據庫中查找其對應的MIME格式描述。比如打開壹個MIDI文件,IE先讀取文件前面的壹段數據。根據MIDI文件的標準定義,它必須包含以“RIFF”開頭的描述信息。根據這個標記,IE在註冊表中找到“x-audio/midi”的MIME格式。然後IE確認自己沒有打開這個數據的能力,就找了壹個打開後綴為”的文件。MID”根據註冊表中的文件後綴信息,然後提交給這個程序執行,我們就會看到最終的結果。就是因為這個原理,IE很容易受傷。這裏也是壹樣。入侵者通過偽造MIME標簽描述信息使網頁隱藏蠕蟲。小王打開的其實是壹個後綴改成圖片格式的HTML頁面,裏面有上述兩個漏洞的病毒文件和壹個高度和寬度設置為100%的IMG標簽,所以人們以為只是壹個圖片文件。然而,在這幅畫的背後是壹匹邪惡的特洛伊馬。特洛伊馬程序比較大,下載需要壹些時間,這也是IE進度條壹直沒有停過的原因。為了確保受害者能夠在打開頁面的時間內下載完整的特洛伊文件,入侵者采用了社會工程,使受害者在短時間內不會關閉頁面。b、位圖特征(BMP)他是壹家公司的網絡管理員,在服務器維護和安全設置方面有足夠的經驗,不需要害怕利用瀏覽器漏洞的病毒。這壹天,在壹個技術論壇上,他看到壹個網友發的帖子,是關於壹些AMD處理器存在操作缺陷的,並給出了壹個測試頁面的鏈接。根據官方的描述,如果妳使用的CPU有瑕疵,那麽妳會看到頁面上的測試圖片有破損和紊亂。他很驚訝:他用的CPU就是這個型號。他立即點擊了頁面鏈接。看著頁面上壹片狼藉的圖片,他松了口氣:這臺機器的CPU有問題,他要用這臺機器處理公司的重要數據!他馬上去管理部找負責人商量,把顯示冬青哨子圖片的機器放在壹邊。管理部門答應盡快給他更換壹臺機器,讓他轉移硬盤,因為裏面有重要的業務信息。當他回來的時候,他看到那張照片還在炫耀。他厭惡地合上頁面,像往常壹樣打開存放信息的文件夾。他的腦袋頓時壹片空白:信息沒了!誰刪的?他瘋狂地搜索硬盤的每個角落,但那些文件似乎蒸發了。過了很久,他終於反應過來:機器被入侵了!他取下硬盤,直接去了數據恢復公司。事後他仔細分析了原因,因為機器已經通過了嚴格的安全測試,所有補丁都做好了,不可能通過網頁漏洞和溢出攻擊。唯壹值得懷疑的是所謂的漏洞測試網頁。他迅速下載並分析了整頁代碼,查看了帶有後綴“的IMG標簽。BMP”和頁面源代碼中壹堆復雜的腳本代碼,他知道自己是栽在了BMP特洛伊馬的手裏。“測試瑕疵”的圖片在任何機器上都有同樣的“瑕疵”,因為它根本不是圖片文件,而是以BMP文件頭開始的木馬程序。為什麽看似溫順的圖檔會變成害人的兇器?這應該從位圖格式開始。很多朋友應該都知道流傳已久的“密文”傳輸方式,叫做“圖中藏字”,即在位圖文件的末尾增加壹定的數據量,又不會對原始位圖文件造成太大的破壞,這是位圖格式的寬松限制造成的。系統判斷壹個位圖文件的方法不是嚴格的詢問,只是從文件頭的54個字節中讀取其長度、寬度、位數、文件大小和數據區長度來完成圖像識別。寬松的審訊機制使得BMP特洛伊得以誕生。但是,首先要明確概念。BMP特洛伊並不是壹個附加在BMP位圖文件底部的EXE文件,而是壹個獨立的EXE可執行文件,只是它的文件PE頭被位圖文件頭取代了。由於系統的詢問機制,該EXE文件被瀏覽器識別為位圖文件。由於是位圖,所以在瀏覽器的程序邏輯中,它是壹個需要下載到互聯網緩存文件夾中,然後在頁面上顯示的文件。但由於這個文件不是位圖,強行顯示後自然會變成壹堆毫無意義的垃圾數據,在用戶眼裏也就成了壹個雜亂無章的圖像。但這不是特洛伊馬匹危機的原因。我們要註意的是這幾個字:“需要下載到上網緩存文件夾”!這說明瀏覽器已經把狼請進了房間——特洛伊馬已經在硬盤上安家了,但是目前還在沈睡,因為它的文件頭已經改成了位圖格式,導致它自己無法運行。既然不能運行,當然不能對系統造成危害。那麽狼留在硬盤上的拓也就是壹個廢物,入侵者不能讓它浪費。因此,當他們制作頁面將特洛伊馬下載到瀏覽器時,他們也會為瀏覽器設置頁面代碼,以幫助脫下狼的外衣。經過這些步驟,壹只壞狼進入了系統。這種不可挽回的脆弱太可怕了。用戶很難知道自己正在瀏覽的頁面是否在偷偷下載特洛伊數據,因為即使他們打好了所有的補丁,也無濟於事。特洛伊是IE“合法”下載的,它不是壹個代碼漏洞。而且,很難通過程序本身來判斷這個圖像是不是特洛伊程序。機器通過二進制完成處理工作,而不是把視網膜成像交給大腦進行判斷。但由於這也是壹種需要下載文件的入侵方式,所以能否下載,用戶是否願意看頁面,取決於入侵者的社會工程。除非使用壹些“隱私聲明”或能引起人們興趣的招數,否則在任何頁面發布壹張雜亂的圖片或隱藏的圖片框都不是最明智的選擇。那家公司的網管之所以這麽沒防備,是因為攻擊者竊取了人的“心理盲區”,因為人對安全、漏洞、病毒、休閑避難所等內容特別敏感,所以入侵者發了壹個專業的休閑避難所案例,騙了很多人。這壹次他拿的是真實事件:AMD CPU的某些型號會導致圖像出現問題,那他下次拿什麽做誘餌呢?c、惡魔的詛咒(JPEG、GIF)對於某娛樂論壇的大部分用戶來說,今天是壹個黑色的日子,因為他們看了壹篇《被詛咒的眼睛》的油畫帖子後,系統因為不明原因被破壞了。論壇管理的技術人員立即對這個帖子進行了多次分析,但整個頁面只有壹個JPEG圖片鏈接,其他惡意代碼和程序根本不存在。入侵者做了什麽破壞了用戶的機器?實際上是這張JPEG圖片嗎?恐怕答案很難接受。確實是這個JPEG圖片讓用戶感染了病毒。雖然病毒研究從來沒有停止過,但是發展到現在這個地步真的讓人無法忍受:繼續打開文本文件會不會感染病毒?帶病毒的圖片攻擊真的讓大家捏了壹把汗。但是,眾所周知,JPEG、GIF等格式的圖片並不具備自我執行和傳播病毒的條件,這是不合邏輯的。回顧2004年9月14日的事件,Microsoft發布了MS04-028安全公告:JPEG處理(GDI+)中的緩沖區溢出可能使代碼得以執行。沒錯,就是這個漏洞。它的術語是GDI+,對應的動態鏈接庫是GdiPlus.dll。這是壹種圖形設備接口,可以為應用程序和程序員提供二維媒體圖形、圖像和布局。大多數Windows程序調用這個DLL來完成對JPEG格式圖片的處理。但現在,正是這位“公眾人物”成為了眾矢之的。至此,基礎讀者應該明白,能夠傳播病毒的並不是圖片本身,而是系統負責圖形處理的模塊在處理圖片時會溢出,導致圖片中攜帶的惡意指令被破壞。如果壹個圖片工具不調用這個系統模塊,而是使用自己的處理模塊,那麽同樣包含惡意指令的圖片就無法達到破壞的目的。但由於這個系統模塊是默認的處理模塊,大部分程序都在“JPEG病毒”面前倒下了。這種溢出是怎麽來的?這要從系統如何讀取JPEG格式圖形的原理說起。當系統處理壹幅JPEG圖像時,需要在內存中加載JPEG處理模塊,然後JPEG處理模塊將圖像數據讀入它所占用的內存空間,也就是所謂的緩沖區。最後,我們看到了圖像的顯示。但是,當圖像數據進入緩沖區時出現錯誤- Windows指定了緩沖區的大小。但是,並沒有嚴格檢查實際的數據量。這種有缺陷的邊界檢查模式導致了壹個噩夢:入侵者將壹幅JPEG圖像的數據處理得極其龐大,並添加了惡意指令,那麽當系統將圖像加載到內存中時會發生什麽?圖像數據會填滿整個JPEG處理模塊提供的緩沖區,剛好把惡意指令溢出到程序本身的內存區域,用來執行指令,也就是核心區域,這樣惡意指令就被程序錯誤執行了,入侵者破壞系統或者入侵機器的行為就可以正常實施了。可能有人會疑惑,入侵者都是神算子嗎?為什麽他們能準確知道哪些數據會溢出並執行?答案很簡單,因為Windows在分配JPEG處理模塊的空間時,分配給它的內存起始地址是固定的,入侵者只要計算壹下空間大小就能知道會執行哪些數據,所以JPEG病毒傳播很快。所謂JPEG病毒,並不是說JPEG圖片可以釋放病毒,而是系統處理JPEG圖片的模塊執行了JPEG圖片攜帶的病毒,我們不必恐慌。只要把GDIPLUS.DLL的漏洞補上,就算妳機器上所有的JPEG圖片都含有病毒數據,也逃不掉,造成損害。正如美國馬薩諸塞州立大學助理教授奧斯汀所說,“病毒不僅僅是自我復制的代碼,它們需要通過可執行代碼進行傳播。JPEG文件不能執行代碼,它們是應用軟件打開的數據文件。應用軟件不會在數據文件中尋找可執行代碼,所以不會運行這些病毒代碼。”蠕蟲病毒對個人用戶的威脅最大,也最難根除,造成的損失更大。對於個人用戶,威脅性蠕蟲病毒通常通過電子郵件和惡意網頁傳播。對於通過電子郵件傳播的蠕蟲,通常使用社會工程。也就是說,壹個惡意網頁是通過各種欺騙手段,誘使用戶點擊傳播的。具體來說就是黑客的毀碼程序,嵌入在網頁中。當用戶在不知情的情況下打開含有病毒的網頁,病毒就會爆發。這種病毒代碼嵌入技術原理並不復雜,所以會被很多居心不良的人利用。在許多黑客網站中,出現了關於利用網頁進行破壞的技術的論壇,並下載了破壞性的程序代碼,造成了惡意網頁的大規模泛濫,使越來越多的用戶遭受損失。對於惡意網頁,往往采用vb腳本和java腳本編程!因為編程方法很簡單!所以在網上很受歡迎!Vb腳本和java腳本由微軟操作系統的WSH(Windows Scripting Host Windows Script Host)解析並執行。由於編程簡單,這類腳本病毒在互聯網上瘋狂傳播。瘋狂愛蟲病毒是壹種vbs腳本病毒,然後偽裝成郵件附件引誘用戶點擊運行。更可怕的是,這類病毒是以源代碼的形式出現的,懂壹點腳本的人可以修改自己的代碼,形成各種各樣的。我們以壹個簡單的腳本為例:set o * * fs = createo * * ect(" scripting。filesystemo * * ect ")(創建文件系統對象)o * * fs。createtextfile ("c: \ virus。txt”,1)(通過文件系統對象的方式創建TXT)。如果我們把第二句改成:o * * fs . getfile(wscript . script full name)。copy ("c: \ virus.vbs "),我們可以把自己復制到c盤上的virus.vbs文件,腳本文件在這句話前面打開,還有WScript。ScriptFullName表示它是程序本身和壹個完整的路徑文件名。GetFile函數獲取這個文件,Copy函數將這個文件復制到c盤根目錄下的virus.vbs文件中,這麽簡單的兩句話就實現了自我復制的功能,已經具備了病毒的基本特征——自我復制能力。這種病毒往往通過郵件傳播,在vb腳本中調用郵件發送函數也很簡單。該病毒經常采用向outlook中通訊錄中的郵件地址發送壹封自帶郵件的方式來達到傳播的目的。簡單的例子如下:set o * * OA = wscript。createo * * ect(“展望。Application”)(創建Outlook應用程序的對象)設置o**Mapi=o** OA。get namespace(" MAPI ")(get MAPI namespace)for I = 1 to o * * MAPI。地址。Count(遍歷通訊簿)set o * * Addlist = o * * MAPI。J = 1到o * * Addlist的地址(I)。地址。郵件計數= 0 * * OA。創建* *郵件的項目(0)。收件人。Add (o * * Addlist。Addresses (j))(獲取收件人的電子郵件地址)o**Mail。Su**ect= "妳好!"(設置郵件的主題,往往很有誘惑力)o**Mail。Body= "這次給妳的附件是我的新文檔!"(設置信的內容)o * * mail . attachments . add(" c:\ virus . VBS ")(將自己作為附件傳播)o * * Mail。Send(發送郵件)next next Set O * * Mapi =無(清除o**Mapi變量並釋放資源)set o * * OA =無。這段代碼的第壹行是創建壹個Outlook對象,這是非常重要的。下面是壹個循環,內容相同的信件被源源不斷地發送到通訊錄中的郵箱。這是蠕蟲的傳播。由此可見,利用vb腳本編寫病毒是非常容易的,使得這類病毒品種多,破壞力大,根除起來也是非常困難的!三、個人用戶對蠕蟲的防範措施通過上面的分析,我們可以知道,病毒並不是很可怕,網絡蠕蟲對個人用戶的攻擊主要是通過社會工程,而不是利用系統漏洞!所以預防這類病毒要註意以下幾點:1。必須安裝防病毒軟件。瑞星集成了具有強大防火功能的殺毒軟件,對蠕蟲和特洛伊木馬程序有很大的抑制作用。2、經常升級病毒庫,殺毒軟件都是基於病毒的特征碼,病毒每天層出不窮,尤其是互聯網時代,蠕蟲傳播速度快,變種多,需要隨時更新病毒庫,這樣才能查殺最新的病毒!通常壹周壹次或更多。但是因為我們安裝的殺毒軟件壹般安裝在幾臺機器上,我會升級失敗,而且壹個ID號軟件每天的升級次數是有限制的。如果出現這種情況,我們可以改天升級,可以解決這個問題。3、提高反病毒意識。不要輕易點擊陌生網站,裏面可能含有惡意代碼!4.不要隨意查看不熟悉的郵件,尤其是帶附件的郵件。因為有些病毒郵件可以利用ie和outlook的漏洞自動執行,所以電腦用戶需要升級ie和outlook程序以及其他常用的應用程序!1、消息錯誤、回復:郵件認證回復:是您的回復嗎?再次註意5。養成經常升級系統的習慣:具體方法a .將開始菜單設置為經典模式。但是,請單擊“開始”菜單中的windows update項,並按照說明完成升級。b、也可以配置自動更新(不推薦這種方式)。6.不要相信QQ裏推薦給妳的圖片和網站。有時候這些東西往往是妳的朋友(網友)發給妳的。7、養成良好的電腦應用習慣,備份重要數據。8.不要相信有人非要用系統信使發來的消息去瀏覽不知名的網站。
病毒總是會想盡辦法入侵我們的電腦並摧毀它們。雖然可以使用殺毒軟件,但是千萬不要忽視平時的防範工作。“禦敵於國門之外”是最理想的,所以建議大家采取“預防為主”的原則來應對病毒。以下殺毒殺毒觀點,希望對大家有用。
1.先做個應急盤。
制作壹個無毒的系統應急啟動盤是非常必要的。最好是拷貝壹個殺毒軟件和壹些實用的工具軟件到這個盤上,然後關閉寫保護。
當心入口
有了有用的東西,我們都喜歡和朋友分享。根據我們的經驗,建議妳在掃描病毒之前不要用軟盤啟動系統。有沒有發現90%以上的病毒都是開機病毒?Down不執行未經驗證的壓縮文件,比如從網上下載的文件(在網吧還可以考慮_)。還有,我勸妳小心郵件附件(雖然有些表面上是文字形式),即使是朋友發的也不要雙擊運行。
3.實施備份
對於我們在日常工作中辛辛苦苦創作出來的論文,以及我們費時費力從網上搜集到的各種資料,這些都是妳的勞動成果,妳每周至少要備份壹次,最好是異地備份(也就是備份到妳電腦以外的存儲設備,比如軟盤或者USB移動硬盤)。這樣,當電腦裏的文件被病毒破壞時,就大有用武之地了。當然,在此之前,您必須確保您的備份文件是“幹凈的”。
4."我的電腦"
妳的個人電腦,最好不要讓別人隨便碰:新手總會“誤操作”它什麽的,大蝦難免會想借妳喜歡的機器試試他剛“研究”過的幾把斧子。無論哪種情況,妳的信息都可能瞬間丟失,哭都來不及!所以至少妳要防止別人用妳電腦上他自己的軟盤或者光盤,不管他是有意還是無意。
警惕異常情況
壹句忠告:平時用電腦的時候,壹定要仔細關註它的性能。如果妳發現異常癥狀,比如速度蝸牛般慢,內存不足256MB,突然增加妳從未見過的文件,增加或減少妳熟悉的文件長度,妳的第壹反應應該是:中毒!!!這個時候,妳必須停下妳正在做的事情,立即殺死病毒。不要大意!否則妳的損失只能越來越嚴重。如果系統崩潰,壹切灰飛煙滅,那就悔之晚矣!
6.別忘了升級
安裝殺毒軟件不是壹勞永逸的。不要讓病毒在殺毒軟件眼皮底下潛入系統。因此,您應該經常關註反病毒報告或經常訪問相應的反病毒廠商網頁,了解最近的病毒活動趨勢,更新病毒查殺代碼,升級您的反病毒軟件。