病毒與軟、硬體故障的區別和聯繫

　　電腦出故障不只是因為感染病毒才會有的，個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的，網路上的多是由於權限設定所致。我們只有充分地瞭解兩者的區別與聯繫，才能作出正確的判斷，在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。

　　症狀 病毒的入侵的可能性 軟、硬體故障的可能性

　　經常死機：病毒開啟了許多檔案或佔用了大量記憶體；不穩定（如記憶體質量差，硬體超頻效能差等）；執行了大容量的軟體佔用了大量的記憶體和磁碟空間；使用了一些測試軟體（有許多BUG）；硬碟空間不夠等等；執行網路上的軟體時經常死機也許是由於網路速度太慢，所執行的程式太大，或是自己的工作站硬體組態太低。

　　系統無法啟動：病毒修改了硬碟的引導訊息 ，或移除了某些啟動檔案。如引導型病毒 引導檔案損壞；硬碟損壞或參數設定不正確；系統檔案人為地誤移除等。

　　檔案打不開：病毒修改了檔案格式；病毒修改了檔案連結位置。檔案損壞；硬碟損壞；檔案捷徑對應的連結位置發生了變化；原來編輯檔案的軟體移除了；若果是在局域網中多表現為伺服器中檔案存放位置發生了變化，而工作站沒有及時涮新服器的內容（長時間開啟了資源管理器）。

　　經常報告記憶體不夠： 病毒非法佔用了大量記憶體；開啟了大量的軟體；執行了需記憶體資源的軟體；系統組態不正確；記憶體本就不夠（目前基本記憶體要求為128M）等。

　　提示硬碟空間不夠：病毒複製了大量的病毒檔案（這個遇到過好幾例，有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小；安裝了大量的大容量軟體；所有軟體都集中安裝在一個分區之中；硬碟本身就小；若果是在局域網中系統管理員為每個使用者設定了工作站使用者的「私人盤」使用空間限制，因檢視的是整個網路盤的大小，其實「私人盤」上容量已用完了。

　　軟碟等裝置未訪問時出讀寫信號：病毒感染；軟碟取走了還在開啟曾經在軟碟中開啟過的檔案。

　　出現大量來歷不明的檔案：病毒複製檔案；可能是一些軟體安裝中產生的暫存檔；也或許是一些軟體的組態訊息及執行記錄。

　　啟動黑屏：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什麼也沒有了）；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等

　　資料丟失：病毒移除了檔案；硬碟扇區損壞；因恢復檔案而覆蓋原檔案；若果是在網路上的檔案，也可能是由於其它使用者誤移除了。

　　鍵盤或滑鼠無端地鎖死：病毒作怪，特別要留意「木馬」；鍵盤或滑鼠損壞；主板上鍵盤或滑鼠接口損壞；執行了某個鍵盤或滑鼠鎖定程式，所執行的程式太大，長時間系統很忙，表現出按鍵盤或滑鼠不起作用。

　　系統執行速度慢：病毒佔用了記憶體和CPU資源，在後台執行了大量非法動作；硬體組態低；開啟的程式太多或太大；系統組態不正確；若果是執行網路上的程式時多數是由於你的機器組態太低造成，也有可能是此時網路上忙線中，有許多使用者同時開啟一個程式；還有一種可能就是你的硬碟空間不夠用來執行程式時作臨時交換資料用。

　　系統自動執行動作：病毒在後台執行非法動作；使用者在註冊表或啟動群組中設定了有關程式的自動執行；某些軟體安裝或升級後需自動重啟系統。

　　通過以上的分析對比，我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的，當我們發現異常後不要急於下斷言，在掃毒還不能解決的情況下，應仔細分析故障的特徵，排除軟、硬體及人為的可能性。

　　病毒的分類及各自的特徵

　　要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的瞭解，而且越詳細越好！

　　病毒因為由眾多分散的個人或群組織單獨編寫，也沒有一個標準去衡量、去劃分，所以病毒的分類可按多個角度大體去分。

　　如按傳染對像來分，病毒可以劃分為以下幾類：

　　a、引導型病毒

　　這類病毒攻擊的對象就是磁碟的引導扇區，這樣就能使系統在啟動時獲得優先的執行權，從而達到控制整個系統的目的，這類病毒因為感染的是引導扇區，所以造成的損失也就比較大，一般來說會造成系統無法標準啟動，但查殺這類病毒也較容易，多數掃毒軟體都能查殺這類病毒，如KV300、KILL系列等。

　　b、檔案型病毒

　　早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔案，這樣的話當你執行某個可執行檔案時病毒程式就跟著啟用。近期也有一些病毒感染以dll、ovl、sys等為副檔名的檔案，因為這些檔案通常是某程式的組態、連結檔案，所以執行某程式時病毒也就自動被子加載了。它們加載的方法是通過插入病毒代碼整段落或分散插入到這些檔案的空白位元組中，如CIH病毒就是把自己分割成9段內嵌到PE結構的可執行檔案中，感染後通常檔案的位元組數並不見增加，這就是它的隱蔽性的一面。

　　c、網路型病毒

　　這種病毒是近幾來網路的高速發展的產物，感染的對象不再局限於單一的模式和單一的可執行檔案，而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔案進行感染，如WORD、EXCEL、電子信件等。其攻擊模式也有轉變，從原始的移除、修改檔案到現在進行檔案加密、竊取使用者有用訊息（如黑客程式）等，傳播的途經也發生了質的飛躍，不再局限磁碟，而是通過更加隱蔽的網路進行，如電子信件、電子廣告等。

　　d、復合型病毒

　　把它歸為「復合型病毒」，是因為它們同時具備了「引導型」和「檔案型」病毒的某些特點，它們即可以感染磁碟的引導扇區檔案，也可以感染某此可執行檔案，若果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復，還會造成引導扇區檔案和可執行檔案的感染，所以這類病毒查殺難度極大，所用的掃毒軟體要同時具備查殺兩類病毒的功能。

　　以上是按照病毒感染的對象來分，若果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：

　　a、良性病毒：

　　這些病毒之所以把它們稱之為良性病毒，是因為它們入侵的目的不是破壞你的系統，只是想玩一玩而已，多數是一些初級病毒發燒友想測試一下自己的開發病毒程式的水平。它們並不想破壞你的系統，只是發出某種音效，或出現一些提示，除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程式也是這樣，只是想竊取你電腦中的一些通信訊息，如密碼、IP位址等，以備有需要時用。

　　b、惡性病毒

　　我們把只對軟體系統造成干擾、竊取訊息、修改系統訊息，不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為「惡性病毒」，這類病毒入侵後系統除了不能標準使用之外，別無其它損失，系統損壞後一般只需要重裝系統的某個部分檔案後即可恢復，當然還是要殺掉這些病毒之後重裝系統。

　　c、極惡性病毒

　　這類病毒比上述b類病毒損壞的程度又要大些，一般若果是感染上這類病毒你的系統就要徹底崩潰，根本無法標準啟動，你保分留在硬碟中的有用資料也可能隨之不能取得，輕一點的還只是移除系統檔案和套用程式等。

　　d、災難性病毒

　　這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁碟的引導扇區檔案、修改檔案分配表和硬碟分區表，造成系統根本無法啟動，有時甚至會格式化或鎖死你的硬碟，使你無法使用硬碟。若果一旦染上這類病毒，你的系統就很難恢復了，保留在硬碟中的資料也就很難取得了，所造成的損失是非常巨大的，所以我們進化論什麼時候應作好最壞的打算，特別是針對企業使用者，應充分作好災難性備份，還好現在大多數大型企業都已認識到備份的意義所在，花巨資在每天的系統和資料備份上，雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果，但是還是放鬆這「萬一」。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類，因為它不僅對軟體造成破壞，更直接對硬碟、主板的BIOS等硬體造成破壞。

　　如按其入侵的模式來分為以下幾種：

　　a、源代碼內嵌攻擊型

　　從它的名字我們就知道這類病毒入侵的主要是進階語系的源程式，病毒是在源程式編譯之前插入病毒代碼，最後隨源程式一起被編譯成可執行檔案，這樣剛生成的檔案就是帶毒檔案。當然這類檔案是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程式，況且這種入侵的模式難度較大，需要非常專業的寫程式水平。

　　b、代碼取代攻擊型

　　這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組，這類病毒也少見，它主要是攻擊特定的程式，針對性較強，但是不易被發現，清除起來也較困難。

　　c、系統修改型

　　這類病毒主要是用自身程式覆蓋或修改系統中的某些檔案來達到呼叫或替代動作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為檔案型病毒。

　　d、外殼附加型

　　這類病毒通常是將其病毒附加在標準程式的頭部或尾部，相當於給程式加入了一個外殼，在被感染的程式執行時，病毒代碼先被執行，然後才將標準程式調入記憶體。目前大多數檔案型的病毒屬於這一類。

　　有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。

　　1、反病毒軟體的掃瞄法

　　這恐怕是我們絕大數朋友偏好，也恐怕是唯一的選取，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟體開發商帶來挑戰。但隨著電腦程式開發語系的技術性提高、電腦網路越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了，我相信大家都有這個水平！

　　2、觀察法

　　這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、執行速度很慢、不能訪問硬碟、出現特殊的音效或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛！對於如屬病毒引起的我們可以從以下幾個方面來觀察：

　　a、記憶體觀察

　　這一方法一般用在DOS下發現的病毒，我們可用DOS下的「mem/c/p」指令來檢視各程式佔用記憶體的情況，從中發現病毒佔用記憶體的情況（一般不單獨佔用，而是依附在其它程式之中），有的病毒佔用記憶體也比較隱蔽，用「mem/c/p」發現不了它，但可以看到總的基本記憶體640K之中少了那麼區區1k或幾K。

　　b、註冊表觀察法

　　這類方法一般適用於近來出現的所謂黑客程式，如木馬程式，這些病毒一般是通過修改註冊表中的啟動、加載組態來達到自動啟動或加載的，一般是在如下幾個地方實現：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　\RunOnce]

　　等等，具體可參考我的另一篇文章——《通通透透看木馬》，在其中對註冊表中可能出現的地方會有一個比較詳盡的分析。

　　c、系統組態檔觀察法

　　這類方法一般也是適用於黑客類程式，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動群組中，在system.ini檔案中有一個"shell=」項，而在wini.ini檔案中有「load= 」、「run= 」項，這些病毒一般就是在這些項目中加載它們自身的程式的，注意有時是修改原有的某個程式。我們可以執行Win9x/WinME中的msconfig.exe程式來一項一項檢視。具體也可參考我的《通通透透看木馬》一文。

　　d、特徵字串觀察法

　　這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特徵代碼，如CIH病毒就會在入侵的檔案中寫入「CIH」這樣的字串，當然我們不可能輕易地發現，我們可以對主要的系統檔案（如Explorer.exe)運用16進位代碼編輯器進行編輯就可發現，當然編輯之前最好還要要備份，畢竟是主要系統檔案。

　　e、硬碟空間觀察法

　　有些病毒不會破壞你的系統檔案，而僅是生成一個隱藏的檔案，這個檔案一般內容很少，但所佔硬碟空間很大，有時大得讓你的硬碟無法執行一般的程式，但是你查又看不到它，這時我們就要開啟資源管理器，然後把所檢視的內容屬性設定成可檢視所有屬性的檔案（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設定成隱藏屬性的。到時移除它即可，這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程式，為什麼在C盤之中幾個G的硬碟空間顯示就沒有了，經由上述方法一般能很快地讓病毒顯形的