計算機病毒基礎知識大全科普

1

計算機病毒基礎知識大全科普

計算機病毒

計算機病毒是指編制或者在計算機程序中插入的，破壞計算機功能

或數(shù)據(jù)、影響計算機使用，并能自我復制的一組計算機指令或者程序

代碼。

1.計算機病毒的特點

電腦病毒的主要特點如下。

⑴隱藏性

電腦病毒的隱藏性使得人們不簡單發(fā)覺它，例如有的病毒要等到某

個月13日且是星期五才發(fā)作，平常的日子不發(fā)作。一臺電腦或者一

張軟盤被感染上病毒一般是無法事先知道的，病毒程序是一個沒有文

件名的程序。

⑵埋伏性

從被感染上電腦病毒到電腦病毒開頭運行，一般是需要經過一段時

間的。當滿意病毒發(fā)作的指定環(huán)境條件時：病毒程序才開頭發(fā)作。

⑶傳染性

電腦病毒程序的一個主要特點是能夠將自身的程序復制給其他程

序（文件型病毒），或者放入指定的位置，如引導扇區(qū)（引導型病毒）。

⑷哄騙性

每個電腦病毒都具有特洛伊木馬的特點，用哄騙手段寄生在其他文

1

2

件上，一旦該文件被加載，就會讓病毒發(fā)作并破壞電腦的軟、硬件資

源，迫使電腦無法正常工作。

⑸危害性

病毒的危害性是明顯的，幾乎沒有一個無害的病毒。它的危害性不

僅體現(xiàn)在破壞系統(tǒng)，刪除或者修改數(shù)據(jù)方面，而且還要占用系統(tǒng)資源,

干擾機器的正常運行等。

2.計算機病毒的分類

2.1按傳染方式分類

病毒按傳染方式可分為：

1).引導區(qū)電腦病毒

2).文件型電腦病毒

3).復合型電腦病毒

4).宏病毒

5).木馬

6).蠕蟲

1).引導區(qū)電腦病毒：

隱蔽在磁盤內，在系統(tǒng)文件啟動以前電腦病毒已駐留在內存內。這

樣一來，電腦病毒就可完全掌握DOS中斷功能，以便進行病毒傳播

和破壞活動。那些設計在DOS或Windows3.1上執(zhí)行的引導區(qū)病毒是

不能夠在新的電腦(操作系統(tǒng))上傳播°

2).文件型電腦病毒

又稱寄生病毒，通常感染執(zhí)行文件(.E_E),但是也有些會感染(其

2

3

它)可執(zhí)行文件，如DLL,SCR等。每次執(zhí)行受感染的文件時，電腦病

毒便會發(fā)作(電腦病毒會將自己復制到其他可執(zhí)行文件，并且連續(xù)執(zhí)

行原有的程序，以免被用戶所察覺)。

典型例子：CIH會感染Windows95/98的,E_E文件，并在每月的26

號發(fā)作日進行嚴峻破壞。于每月的26號當bl,此電腦病毒會試圖把

一些隨機資料覆寫在系統(tǒng)的硬盤，令該硬盤無法讀取原有資料。此外,

這病毒又會試圖破壞Flash(BIOS)內的資料。

3).復合型電腦病毒：

具有引導區(qū)病毒和文件型病毒的雙重特點。

4).宏病毒：

宏病毒特地針對特定的應用軟件，可感染依附于某些應用軟件內的

宏指令，它可以很簡單透過電子郵件附件、軟盤、文件下載和群組軟

件等多種方式進行傳播如MicrosoftWord和E_celo

與其他電腦病毒類型的區(qū)分是宏病毒是攻擊數(shù)據(jù)文件而不是程序

文件。

5).特洛伊或特洛伊木馬

是一個看似正值的程序，但事實上當執(zhí)行時會進行一些惡性及不正

值的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤

內的程序或數(shù)據(jù)。

特洛伊木馬與電腦病毒的重大區(qū)分是特洛伊木馬不具傳染性，它并

不能像病毒那樣復制自身，也并不刻意地去感染其他文件，它主要通

過將自身偽裝起來，吸引用戶下載執(zhí)行。

3

4

6）.蠕蟲:

一般認為：蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一

些共性，如傳播性、隱藏性、破壞性等等，同時具有自己的一些特征，

如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以

及和黑客技術相結合，等等。

依據(jù)使用者狀況將蠕蟲病毒分為兩類：一種是面對企業(yè)用戶和局域

網而言;這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網

可造成癱瘓性的后果。另外一種是針對個人用戶的，通過網絡（主要

是電子郵件、惡意網頁形式）快速傳播的蠕蟲病毒，以愛蟲病毒、求

職信病毒為代表。

蠕蟲病毒的傳染目標是互聯(lián)網內的全部計算機，局域網條件下的共

享文件夾、電子郵件Email、網絡中的惡意網頁、大量存在著漏洞的

服務器等。

它跟電腦病毒有些不同，電腦病毒通常會專注感染其它程序，但蠕

蟲是專注于利用網絡去集中。

2.2按連接方式分類

病毒按連接方式分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、

外殼型病毒等四種。

（1）源碼型病毒

該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序

編譯前插入到原程序中，經編譯成為合法程序的一部分。

⑵嵌入型病毒

4

5

這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與

其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一

旦侵入程序體后也較難消退。假如同時采納多態(tài)性病毒技術，超級病

毒技術和隱藏性病毒技術，將給當前的反病毒技術帶來嚴峻的挑戰(zhàn)。

(3)外殼型病毒

外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。

這種病毒最為常見，易于編寫，也易于發(fā)覺，一般測試文件的大小即

可知。

(4)操作系統(tǒng)型病毒

這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進行工作，

具有很強的破壞力，可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒

就是典型的操作系統(tǒng)型病毒。

這種病毒在運行時，用自己的規(guī)律部分取代操作系統(tǒng)的合法程序模

塊，依據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作

系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等，對操

作系統(tǒng)進行破壞。

2.3根據(jù)計算機病毒激活的時間分類

根據(jù)計算機病毒激活時間可分為定時的和隨機的。定時病毒僅在某

一特定時間才發(fā)作，而隨機病毒一般不是由時鐘來激活的。

2.4根據(jù)傳播媒介分類

根據(jù)計算機病毒的傳播媒介來分類，可分為單機病毒和網絡病毒。

(1)單機病毒

5

6

單機病毒的載體是磁盤，常見的是病毒從軟盤傳入硬盤，感染系統(tǒng),

然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。

(2)網絡病毒

網絡病毒的傳播媒介不再是移動式載體：而是網絡通道，這種病毒

的傳染力量更強，破壞力更大。

2.5根據(jù)寄生方式和傳染途徑分類

計算機病毒按其寄生方式大致可分為兩類，一是引導型病毒，二是

文件型病毒;它們再按其傳染途徑又可分為駐留內存型和不駐留內存

型，駐留內存型按其駐留內存方式又可細分?；旌闲筒《炯龑秃?/p>

文件型病毒特性于一體。

2.6按病毒的特性分類

Trojan-特洛伊木馬，有這個前綴的就是木馬了，在此類病毒名中有

PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能。

比如Trojuan.pass.ao

Win32PEWin95W32W95--系統(tǒng)病毒，特性是可以感染windows操

作系統(tǒng)的_.e_e和_.dll文件。

Worm--蠕蟲病毒，通過網絡或者系統(tǒng)漏洞進行傳播。比較聞名的有

沖擊波。

Script--腳本病毒一般來說，腳本病毒還會有如下前綴：VBSJS(表明

是何種腳本編寫的)比如歡快時間。

Backdoor-后門病毒，特性是通過網絡傳播，給系統(tǒng)開后門，最聞

名的就是灰鴿子為代表。

6

7

Dropper-（種植）程序病毒，特性是運行時會從體內釋放出一個或

幾個新的病毒到系統(tǒng)名目下，代表就是落雪了。

Joke?一玩笑病毒，只是嚇嚇人而已，沒什么危害。

HackTool-黑客工具。

Downloader-木馬下我者，以體積小的下載者下載體積大的木馬，

便利隱蔽。

AdWare-（廣告）病毒，監(jiān)視你在上網忖的一舉一動，然后把信息

反饋到用它的公司。

3.計算機病毒程序結構

病毒引導模塊的主要作用是將靜態(tài)病毒激活，使之成為動態(tài)病毒

（加載）。

病毒程序的加載分為兩個步驟：一是系統(tǒng)加載過程;二是病毒附加

的加載過程。病毒程序選擇的加載點、目標多是計算機的固有弱點或

軟件系統(tǒng)的輸入節(jié)點。

病毒程序的加載受到操作系統(tǒng)的制約。DOS系統(tǒng)下，病毒程序的加

載有3種方式：①參加系統(tǒng)啟動過程②依附正常文件加載③直接運

行病毒程序

DOS系統(tǒng)下，病毒的加載過程，主要由3個步驟組成：

（1）開拓內存空間；

（2）病毒體定位和駐留；

其中駐留內存的（方法）有以下幾種：

①削減DOS系統(tǒng)可安排空間

7

8

②利用系統(tǒng)模塊間的空隙和DOS間隙

③利用功能調用駐留內存

④占用系統(tǒng)程序使用空間（又稱程序掩蓋方法）

一般Windows環(huán)境下的病毒有3種方法駐留內存：一是將病毒作

為一個Windows環(huán)境下的應用程序，擁有自己的窗口（隱蔽的）和消息

處理函數(shù);二是使用DPMI申請一塊系統(tǒng)內存，將病毒代碼放入其中;

三是將病毒作為一個V_D（WIN9_下的設備驅動程序）或

VDD（WIN2000/NT下的設備驅動程序）加載到內存中運行。

（3）恢復系統(tǒng)功能

3.2感染模塊

感染模塊主要完成病毒的動態(tài)感染，是各種病毒必不行少的模塊。

病毒在取得對系統(tǒng)的掌握權后，先執(zhí)行它的感染操作中的條件推斷模

塊，推斷感染條件是否滿意，假如滿意感染條件，進行感染，將病毒

代碼放入宿主程序;然后再執(zhí)行其他的操作（如執(zhí)行病毒的表現(xiàn)（破壞）

模塊），最終再執(zhí)行系統(tǒng)正確的處理，這是病毒感染常常實行的手段

之一。

感染標記又稱病毒簽名，表明白某種病毒的存在特性，往往是病毒

的一個重要的感染條件。感染標記是一些具有唯一不變性的數(shù)字或字

符串，它們以ASCII碼方式存放在程序里的特定位置。感染標記可以

存在于病毒程序的任何一點，也有可能是組合在程序中的代碼。感染

標記是由病毒制造者有意設置的，但也可以不設置標記。不同病毒的

感染標記位置不同、內容不同。病毒程序感染宿主程序時，要把感染

8

9

標記寫入宿主程序，作為該程序已被感染的標記。

病毒在感染健康程序以前，先要對感染對象進行搜尋，查看它是否

帶有感染標記。假如有，說明它己被感染過，就不會再被感染;假如

沒有，病毒就會感染該程序。

病毒的感染目標和感染方式

就目前消失的各種計算機病毒來看，其寄生目標有兩種：

一種是寄生在磁盤（主）引導扇區(qū)（利用轉儲或直接存取扇區(qū)的方法,

此方法還可將病毒駐入磁盤的文件安排表、文件名目區(qū)和數(shù)據(jù)存儲區(qū)

等，常利用INTI3H中斷）;

另一種是寄生在可執(zhí)行文件

（如.E_E,.COM,.BAT,.SYS,QVL,.DLL,.V_D文件等）中。

而近來常被感染的一些數(shù)據(jù)文件（主要是微軟的辦公軟件系統(tǒng)，

Word文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等等）其實也是可以看作一

種特別的可執(zhí)行文件（宏）。

文件型病毒常利用INT21H中斷來感染可執(zhí)行文件，病毒的感染通

常采納替代法、鏈接法和獨立存在法

病毒的感染機制

病毒在不同的載體上感染的機制不同。網絡上或系統(tǒng)上的感染是利

用網絡間或系統(tǒng)間的通信或數(shù)據(jù)共享機制實現(xiàn)的。存儲介質（軟盤、

硬盤或磁帶等）或文件間的感染一般利用內存作為中間媒介，病毒先

由帶毒介質或文件進入內存，再由內存侵入無毒介質或文件。

病毒從內存侵入無毒介質，常常利用操伶系統(tǒng)的讀寫磁盤中斷向量

9

10

入口地址或修改加載機制(例如INT13H或INT21H),使該中斷向量指

向病毒程序感染模塊。內存中的病毒時刻監(jiān)視著操作系統(tǒng)的每一個操

作，這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調用，病毒感染模

塊就會被激活，感染模塊在推斷感染條件滿意的條件下，把病毒自身

感染給被讀寫的磁盤或被加載的程序，實施病毒的感染，病毒被根據(jù)

病毒的磁盤儲存結構存放在磁盤上，然后再轉移到原中斷服務程序執(zhí)

行原有的操作。另外還有被動感染。

3.3表現(xiàn)(破壞)模塊

表現(xiàn)(破壞)模塊主要完成病毒的表現(xiàn)或破壞功能。

它的發(fā)作部分應具備兩個特征：程序要有肯定的隱藏性及埋伏性,

病毒發(fā)作的條件性和多樣性。

計算機病毒的破壞和表現(xiàn)模塊一般分為兩個部分：一個是破壞模塊

的觸發(fā)條件的推斷部分;一個是破壞功能的實施部分。

和病毒的感染模塊一樣，破壞模塊可能在病毒程序第一次加載時就

運行，也可能在第一次加載時只將引導模塊引入內存，以后再通過某

些中斷機制觸發(fā)才運行。破壞機制在設計原則上也與感染機制基本相

同。

4.DOS基木系統(tǒng)學問

(1)引導程序(BOOT)。它駐留在系統(tǒng)盤的0面。道1扇區(qū)，在啟動計

算機時，它首先被自動讀入內存，然后由它負責把DOS的其他程序

調入內存。

(2)BOM中的ROMBIOS。它供應對計算機輸入/輸出設備進行管理的

10

11

程序，被固化在主機板上的ROM中，是計算機硬件與軟件的最低層

的接口。

⑶輸入輸出管理IO.SYS模塊。其功能是初始化操作系統(tǒng)，并供應

DOS系統(tǒng)與ROMBIOS之間的接口。

(4)核心MSDOS.SYS模塊。它主要供應設備管理、內存管理、磁盤

文件及名目管理的功能，這些功能可以通過所謂的系統(tǒng)功能調用

INT21H來使用，它是用戶程序與計算機硬件之間的高層軟件接口。

⑸命令處理COMMAND.COM模塊。它是DOS調入內存的最終一個

模塊，它的任務是負責接收和解釋用戶輸入的命令，可以執(zhí)行DOS

的全部內、外部命令和批命令。它主要由3部分組成：常駐部分、初

始化部分和暫駐部分。

(1)在系統(tǒng)復位或加電時，計算機程序的指令指針自動從內存地址

OFFFF：0000H外開頭執(zhí)行，該處含有一條無條件轉移指令，使掌握

轉移到系統(tǒng)的ROM板上，執(zhí)行ROMBIOS中的系統(tǒng)自檢和最初的初始

化工作程序，以及建立INT1FH以前的中斷向量表。假如自檢正常，

則把系統(tǒng)盤上存于。面0道1扇區(qū)的系統(tǒng)引導記錄讀入內存地址

0000:7000H,并把掌握權交給引導程序中的第一條指令。

(2)引導記錄用于檢查系統(tǒng)所規(guī)定的兩個文件IO.SYS和MSDOS.SYS

是否按規(guī)定的位置存于啟動盤中，如符合要求就把它們讀入內存地址

0060:0000H,否則啟動盤被認為不合法，啟動失敗。

(3)IO.SYS與MSDOS.SYS被裝入內存以后，引導記錄的使命即完成,

掌握權交給IO.SYS,該程序完成初始化系統(tǒng)、定位MSDOS.SYS以及裝

11

12

入COMMAND.COM等工作。

其主要過程是：

①建立新的磁盤基數(shù)表并修改INTIEH向量地址指向該磁盤基數(shù)表。

②初始化異步通信口R5-232和打印機口。

③修改OIH,03H,04H和1BH中斷入口。

④調用INT11H及INTI2H確定系統(tǒng)的硬件配置和內存RAM容量。

⑤將系統(tǒng)初始化程序移到內存高端并將MSDOS.SYS程序下移占據(jù)

其位置。

⑥掌握權交給MSDOS.SYSoMSDOS.SYS是DOS的核心部分，它在

接受掌握以后，也進行一系列的初始化工作，這些工作包括：初始化

DOS內部表和工作區(qū)、初始化DOS的中斷向量20H?2EH、建立磁盤

輸入/輸出參數(shù)表以及設置磁盤緩沖區(qū)和文件掌握塊等。完成這些工

作以后，連續(xù)執(zhí)行QSYS的系統(tǒng)初始化程序。

⑦初始化程序檢查系統(tǒng)盤上的系統(tǒng)配置程序CONFIG.SYS,假如存

在，則執(zhí)行該程序，按配置命令建立DOS的運行環(huán)境：設置磁盤緩

沖區(qū)大小、能同時打開的句柄文件個數(shù)、加載可安裝的設備驅動程序

等。

⑧將命令處理程序COMMAND.COM程序裝入內存，并把掌握權交

給該程序。至此IO.SYS文件的使命即告完成。

(4)命令處理程序在接受掌握以后，重新設置中斷向量22H、23H、

24H和27H入口地址，然后檢查系統(tǒng)盤上是否存在AUTOE_EC.BAT

文件。若系統(tǒng)盤上不存在該文件，則顯示日期和時間等待用戶輸入，

12

13

顯示DOS提示符。若存在該文件，則程序轉入暫駐區(qū)，由批處理程

序對其進行解釋和執(zhí)行，執(zhí)行完成后顯示DOS提示符。至此，DOS

的整個啟動過程全部結束，系統(tǒng)處于命令接受狀態(tài)。

DOS啟動后，內存的組織即安排如圖2.6所示，該圖僅說明白DOS

在基本內存(640KB)運行時的內存安排狀態(tài)。在計算機通常的工作方

式(實方式)下，總體上來說，DOS可以管理的內存空間為IMBo此

1MByte空間可分為兩大部分，一部分是RAM區(qū)，另一部分則是ROM

區(qū)。而RAM區(qū)又分為系統(tǒng)程序、數(shù)據(jù)區(qū)和用戶程序區(qū)兩部分。由于

DOS的版本不同，DOS系統(tǒng)文件的長度就不同，從而駐留在內存中的

系統(tǒng)程序占用的內存空間也就不同，這樣用戶程序區(qū)的段地址就是一

個不確定的值。

從內存肯定地址0040:0000H—0040:00FFH開頭存放一些重要的數(shù)

據(jù)，這些數(shù)據(jù)是由ROMBIOS程序在引導過程中裝入的，記錄了有關

系統(tǒng)的設備配置和存儲單元的系統(tǒng)參數(shù)，它們是供應給ROMBIOS例

行程序在進行設備操作時必備的重要數(shù)據(jù)。其中地址為40:13?40:14

的兩個字節(jié)存放了以IKB為單位的內存總容量(含存儲擴展板容量)，

例如640KBRAM為280H。有些病毒程序通過調入內皴高端并修改

40:13?40:14內存而駐留內存;地址為40:6C?40:6F的4個字節(jié)為時

鐘數(shù)據(jù)區(qū);前兩個字節(jié)(40:6C?40:6D)為0-65535之間的一個數(shù)，由

8253定時器每55ms調1NT8H使數(shù)值加1;后兩個字節(jié)(40:6E?40:6F)

為小時數(shù)，當計數(shù)值滿65535時(恰好1小時)，小時數(shù)加lo病毒常

通過調用這一時鐘數(shù)據(jù)來檢測激活的時機是否成熟。

13

14

電腦感染病毒的10種癥狀及簡潔處理方法電腦中病毒的癥狀介

紹

電腦中病毒的癥狀（一）文件或文件夾無故消逝：

當發(fā)覺電腦中的部分文件或文件夾無緣無故消逝，就可以確定電腦

已經中廣病毒。部分電腦病毒通過將文件或文件夾隱蔽，然后偽造已

隱蔽的文件或文件夾并生成可執(zhí)行文件，當用戶點擊這類帶有病毒程

序的偽裝文件時，將直接造成病毒的運行，從而造成用戶信息的泄露。

電腦中病毒的癥狀（二）運行應用程序無反應：

部分電腦病毒采納映像劫持技術，將常用的應用程序運行路徑進行

更改為病毒運行名目，從而當我們試圖運行正常的程序時，其實是運

行了病毒程序，導致電腦病毒的啟動。

電腦中病毒的癥狀（三）電腦啟動項含有可疑的啟動項：

檢查〃系統(tǒng)配置實現(xiàn)程序〃窗口，假如發(fā)覺有不明的可執(zhí)行名目，則

可以確定自己的電腦已經中病毒啦。當然更多時候病毒程序是利用修

改注冊表項來添加自啟動項。

電腦中病毒的癥狀（四）電腦運行極度緩慢：

當電腦運行速度明顯變得緩慢時，就及有可能是電腦中病毒所致。

中病毒的電腦，通過病毒程序會在后臺持續(xù)運行，并且絕大多數(shù)病毒

會占有過多的CPU及內存，而且木馬病毒大都會借助網絡來傳播用

戶隱私信息。

電腦中病毒的癥狀（五）殺毒軟件失效：

通過殺毒軟件用于對系統(tǒng)進行防護，因此當殺毒軟件無法正常運行

14

15

進行殺毒操作時，就可以確信電腦已中病毒，此時我們需要借助網絡

來實行在線殺毒操作。大部分平安防護軟件如360,金山衛(wèi)士，管家

這三款比較主流的國產平安防護軟件都有芻主防備的防備模塊，而病

毒或木馬最先攻擊的就是平安防護軟件的自主防備模塊。假如您發(fā)覺

主動防備模塊被關閉或平安防護軟件直接無法啟動或內存錯誤，很有

可能是平安防護軟件也招架不住這種強悍的病毒而癱瘓了

電腦中病毒的癥狀（六）電腦運行特別：

病毒會占用過多的系統(tǒng)性能，以及造成文件的破壞，甚至嚴峻影響

系統(tǒng)的穩(wěn)定性。當電腦消失無故（藍屏）、運行程序特別、運行速度

太慢以及消失大量可疑后臺運行程序時，就要引起留意，可能電腦已

經中病毒啦。

電腦中病毒的癥狀卜匕）系統(tǒng)語言更改為其他語言

大家的計算機系統(tǒng)語言默認是簡體中文，假如開機后發(fā)覺急速阿吉

系統(tǒng)語言被修改為其他語言，很有可能是中了惡意病毒了，可以試用

平安防護軟件掃描清除病毒

電腦中病毒的癥狀（八）藍屏黑屏

黑屏比較少見，藍屏卻比較多見了。中了莫名的惡意病毒可能在運

行某個嬉戲或某個軟件時突然計算機藍屏：藍屏代碼可能是某條常見

代碼，可能是說計算機為了愛護系統(tǒng)自動強行重啟。

電腦中病毒的癥狀（九）主頁篡改，強行刷新或跳轉網頁，頻繁彈廣

告

主頁被篡改是早期病毒的主要攻擊對象，計算機操作系統(tǒng)中毒后一

15

16

般都會發(fā)生掃瞄器主頁被篡改的現(xiàn)象，所以當年IE伴侶這款修復主

頁篡改的小軟件挺受歡迎。假如同時伴有掃瞄器頁面不停反復載入/

刷新或無緣無故彈出廣告，那么很有可能是中毒了

電腦中病毒的癥狀（十）應用程序圖標被篡改或空白

計算機桌面的程序快捷方式圖標或程序名目的主e_e文件的圖標

被篡改或為空白，那么很有可能這個軟件的e_e程序被病毒或木馬

感染。我印象中蠕蟲病毒會進行此類感染修改

電腦中病毒后簡潔的處理方式

一、正在上網的用戶，發(fā)覺特別應首先立刻斷開連接

假如你發(fā)覺IE常常詢問你是否運行某些ACTIVE_控件，或是生成

莫明其妙的文件、詢問調試腳本什么的，肯定要警惕了，你可能已經

中招了。典型的上網被入侵有兩種狀況：

1、是掃瞄某些帶惡意代碼的網頁時候被修改了掃瞄器的默認主頁

或是標題，這算是輕的;還有就是遇到可以格式化硬盤或是令你的

windows不斷打開窗口，直到耗盡資源（死機）？?這種狀況惡劣得多，

你未保存和已經放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。

2、是黑客的潛在的木馬發(fā)作，或是蠕蟲類病毒發(fā)作，讓你的機器

不斷地向外界發(fā)送你的隱.私、或是利用你的名義和郵件地址發(fā)送垃圾,

進一步傳播病毒;還有就是黑客的手工入侵，窺探你的隱私或是刪除

破壞你的文件。

處理方法：立刻斷開連接，這樣能將自己的損失降低的同時，也避

開了病毒向更多的在線電腦傳播。請先不要立刻重新啟動系統(tǒng)或是關

16

17

機，進一步的處理（措施）請參看后文。

二、中毒后，應立刻備份轉移文檔和郵件等

中毒后運行殺毒軟件清除是不在話下的了，但為了防止殺毒軟件誤

殺或是刪掉你還處理完的文檔和重要的郵件，你應當首先將它們轉移

備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在

windows下備份，所以第一點這里筆者建議您先不要退出windows,

由于病毒一旦發(fā)作，可能就不能進入windows了。

不管這些文件是否帶毒了，你都應當備份，用標簽紙標記為待查即

可。由于有些病毒是特地針對某個殺毒軟件設計的，一運行就會破壞

其他的文件，所以先備份是以防萬一的措施。等你清除完硬盤內的病

毒后，再來漸漸分析處理這些額外備份的文件較為妥當。

三、需要在windows下先運行一下殺CIH的軟件（即使是帶毒環(huán)境）

假如是發(fā)覺了CIH病毒的，要留意不能完全按平常報刊和手冊建議

的措施，先關機、冷啟動用系統(tǒng)盤來引導再殺毒，應在帶毒的環(huán)境下

也運行一次專殺QH的軟件。這樣做，殺毒軟件可能會（報告）某些

文件在受讀寫愛護無法清理，但帶毒運行的實際R的不在于完全清除

病毒，而是在于把CIH下次開機時候的破壞減到最低，以防它再次開

機破壞主板的BIOS硬件，那么就會黑屏，讓你的下一步殺毒無法進

行。

四、需要潔凈的DOS啟動盤和DOS下面進行殺毒

到現(xiàn)在，就應當按許多殺毒軟件的標準手冊去按步就班地做，即關

機后冷啟動，用一張潔凈的DOS啟動盤引導是不能少的了;另外由于

17

18

中毒后可能windows已經被破壞了部分關鍵文件，會頻繁地非法操作,

所以windows下的殺毒軟件可能會無法運行。所以請你也預備一個

DOS下面的殺毒軟件來以防萬一。

即使能在windows下運行殺毒軟件的，也請用兩種以上工具交叉清

理。在多數(shù)狀況下windows可能要重裝，由十病毒會破壞掉一部分文

件讓（系統(tǒng)變慢）或消失頻繁的非法操作。比如即使殺了QH,微軟

的outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏

見，由于開發(fā)時候側重點不同、使用的殺毒引擎不同，各種殺毒軟件

都是有自己的特長和短處的，交叉使用效果較抱負。

五、假如有Ghost和分區(qū)表、引導區(qū)的備份，用之來恢復一次最（保

險）

假如你在平常作了windows的Ghost備份，用之來鏡像一次，得到

的操作系統(tǒng)是最保險的。這樣連潛在的未殺光的木馬程序也順便清理

了，當然，這要求你的GHOST備份是肯定牢靠的，呵呵，要是作Ghost

的時候把木馬也〃備份〃了就……

六、再次恢復系統(tǒng)后，更改你的網絡相關密碼

包括登錄網絡的用戶名、密碼，郵箱的密碼和的等等，防止黑客已

經在上次入侵過程中知道了你的密碼。另外由于許多蠕蟲病毒發(fā)作會

向外隨機發(fā)送你的信息，所以適當?shù)母氖潜匾摹?/p>

以上所述是Caesar給大家介紹的電腦感染病毒的10種癥狀及簡潔

處理方法的相關學問，盼望對大家有所關心，假如大家有任何疑問請

給我留言，Caesar會準時回復大家的。

18

19

電腦病毒還能這么玩？

2021年，一種新型蠕蟲病毒〃想哭〃(WannaCry)肆虐互聯(lián)網，其通過

微軟的MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計算機，該

病毒感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件

被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于

300-600美元的比特幣(bitcoin)才可解鎖。

這場勒索軟件攻擊規(guī)?？涨?，歐洲刑警組織(Europol)估量在150個

國家中，約有20萬分電腦受到感染。而依據(jù)網絡風險建模公司Cyence

的數(shù)據(jù)，其造成的經濟損失可能高達40億美元。

LazarusGroup,WannaCry,2021

電腦病毒(computervirus)自誕生之日起，好像就是邪惡和犯罪的代

名詞，電腦病毒始終伴隨著互聯(lián)網的進展，威逼著我們的數(shù)據(jù)財產平

安。甚至成為一種國防軍事武器，像〃想哭〃病毒就被認為是黑客組織

盜取并利用了美國國家平安局開發(fā)的，漏洞利用(e_ploit)網絡武器

〃永恒之藍〃(EternalBlue)而造成的。

且有意制作并傳播電腦病毒也是一種嚴峻的違法行為。《中華人民

共和國刑法》第286條規(guī)定：有意制作、傳播計算機病毒等破壞性程

序，影響計算機系統(tǒng)正常運行，最高可處五年以上有期徒刑。

但實際上，電腦病毒也并非都是惡意的，世界上第一款試驗室外傳

播的電腦病毒日kCloner就源于一次惡作劇。1982年，美國一個15

歲高中生里奇?斯克倫塔(RichSkrenta)出于戲弄伴侶的目的制作了基

于蘋果II電腦系統(tǒng)的日kCloner病毒，并植入到嬉戲軟盤中，帶有病

19

20

毒的軟盤在伴侶間不斷傳播，引起了史上第一次大規(guī)模電腦病毒傳播

大事。

但這款病毒并不會對系統(tǒng)和數(shù)據(jù)造成損害，感染計算機后，它只會

在屏幕上顯示一首關于ElkCloner的詩。

RichardSkrenta,ElkCloner,1982

I惡意軟件博物館

在ElkCloner開啟的數(shù)十年的電腦病毒歷史中，也誕生了不少惡作

劇性質的病毒，有些甚至還頗具藝術性。

芬蘭計算機平安專家米科?海普寧(MikkoHypp?nen)建立了一個線

上的惡意軟件博物館(MalwareMuseum),(保藏)了不少上世紀80、

90年月各種有意思的電腦病毒。

有展現(xiàn)各種花里胡哨視覺效果的，像LSD病毒在干掉電腦系統(tǒng)后會

播放一個跟磕了藥似的迷幻動畫;Crash病毒則以五顏六色的格子和亂

碼不停洗刷畫面，讓人眼花繚亂。

DeathDealer,LSD；1994

也有可以互動的病毒一一Casino病毒要你跟它玩幾局老虎機嬉戲,

賭輸了，你硬盤里的文件也就沒了。

Casino,1990

也有像Skynet這樣特別可愛的電腦病毒。它來自臺灣，入侵電腦

后會降低系統(tǒng)的運行速度，然后在紅色背景下緩緩地打出以下的黃色

文字：別可怕，我是一種很友善的病毒。你今日做了許多工作，所以，

我會讓你的電腦慢下來。祝你擁有美妙的一天，再見。

20

21

Skynet,1994

電腦病毒好像也已然成為一種獨特的(文化)，甚至上升到了藝術

的高度。黑客們制作病毒不單只是為犯罪牟利，還帶有一種戲謔、嘲

弄，或者是展現(xiàn)力量的目的，客觀上制造出了一批富有制造力和生動

趣味的電腦病毒作品。

|電腦病毒可視化

電腦病毒甚至吸引了不少視覺藝術家，成為他們的靈感來源，甚至

創(chuàng)作媒介。美國藝術家亞歷克斯?德拉古列斯庫(Ale_Dragulescu)就曾

通過算法將計算機病毒可視化，創(chuàng)作了《惡意軟件》(Malwarez)系列。

原本抽象的電腦病毒一一它們只是屏幕上的一堆代碼一一被德拉古

列斯庫用三維圖像直觀形象地展現(xiàn)出來。這些計算機程序被賦以生物

病毒的形狀，更直觀地呈現(xiàn)了電腦病毒的邪惡和可怕。

Ale_Dragulescu,Malwarezseries,2021

丹麥討論與設計試驗室SPACE10的創(chuàng)意總監(jiān)巴斯?范?德坡(Basvan

dePoel)也對電腦病毒，以及賽博世界的陰暗面深感愛好。他與20多

位藝術家合作完成了名為〃電腦病毒圖錄〃(ComputerVirusCatalog)的

項目，通過一種與德拉古列斯庫不同的方式對電腦病毒進行可視化。

范?德坡邀請他喜愛的藝術家，將最臭名昭著的數(shù)十種電腦病毒以

插畫的形式呈現(xiàn)出來。插畫依據(jù)病毒的背景(故事)或其感染電腦后

產生的視覺效果進行創(chuàng)作。這些風格迥異的插畫也充分體現(xiàn)了電腦病

毒種類的多樣性。

CayHickson,ComputerVirusCatalog(LSD),2021

21

22

MichaelWillis,ComputerVirusCatalog(MeltingWormVirus),2021

MikePerry,ComputerVirusCatalog(Selectronic),2021

|電腦病毒展覽

喜愛電腦病毒的范?德坡甚至在荷蘭鹿特丹籌辦了一場以計算機病

毒為主題的展覽。這場名為“惡意軟件：病毒感染癥狀展〃(Malware:

SymptomsofViralInfectionE_hibition)的展覽集中展現(xiàn)了從20世紀80

年月至今的數(shù)十種聞名電腦病毒。

Malware:SymptomsofViralInfectionE_hibition展覽現(xiàn)場

實際上，這并不是第一場以電腦病毒為主題的展覽。

早在2021年，弗朗茲卡?諾莉(FranziskaNori)就在德國法蘭克福應用

藝術博物館(MuseumAngewandteKunst)策劃了一次名為Iloveyou

[rev.eng]的展覽。其旨在討論計算機平安和計算機病毒現(xiàn)象，是一次

挑戰(zhàn)當代文化的試驗。

展覽分為四個討論領域一一文化、政治、技術和歷史，關注平安專

家和黑客、網絡藝術家和程序員、文學專家和代碼詩人(codepoet)的

不同立場