A. 怎麼知道一個exe文件有沒有病毒
在電腦中安裝殺毒軟體後,在該exe類型的文件的圖標上單擊右鍵,查毒。切記不要先雙擊打開文件。
B. 如何查看電腦有沒有中病毒
或許長了點。
病毒與軟、硬體故障的區別和聯系
電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。
症狀 病毒的入侵的可能性 軟、硬體故障的可能性
經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的內存和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常死機也許是由於網路速度太慢,所運行的程序太大,或者自己的工作站硬體配置太低。
系統無法啟動:病毒修改了硬碟的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬碟損壞或參數設置不正確;系統文件人為地誤刪除等。
文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬碟損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟體刪除了;如果是在區域網中多表現為伺服器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟體;運行了需內存資源的軟體;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。
提示硬碟空間不夠:病毒復制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在區域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網路盤的大小,其實"私人盤"上容量已用完了。
軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
出現大量來歷不明的文件:病毒復制文件;可能是一些軟體安裝中產生的臨時文件;也或許是一些軟體的配置信息及運行記錄。
啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
數據丟失:病毒刪除了文件;硬碟扇區損壞;因恢復文件而覆蓋原文件;如果是在網路上的文件,也可能是由於其它用戶誤刪除了。
鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。
系統運行速度慢:病毒佔用了內存和CPU資源,在後台運行了大量非法操作;硬體配置低;打開的程序太多或太大;系統配置不正確;如果是運行網路上的程序時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。
系統自動執行操作:病毒在後台執行非法操作;用戶在注冊表或啟動組中設置了有關程序的自動運行;某些軟體安裝或升級後需自動重啟系統。
通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。
病毒的分類及各自的特徵
要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的了解,而且越詳細越好!
病毒因為由眾多分散的個人或組織單獨編寫,也沒有一個標准去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
如按傳染對象來分,病毒可以劃分為以下幾類:
a、引導型病毒
這類病毒攻擊的對象就是磁碟的引導扇區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導扇區,所以造成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。
b、文件型病毒
早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件,這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件,因為這些文件通常是某程序的配置、鏈接文件,所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中,感染後通常文件的位元組數並不見增加,這就是它的隱蔽性的一面。
c、網路型病毒
這種病毒是近幾來網路的高速發展的產物,感染的對象不再局限於單一的模式和單一的可執行文件,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息(如黑客程序)等,傳播的途經也發生了質的飛躍,不再局限磁碟,而是通過更加隱蔽的網路進行,如電子郵件、電子廣告等。
d、復合型病毒
把它歸為"復合型病毒",是因為它們同時具備了"引導型"和"文件型"病毒的某些特點,它們即可以感染磁碟的引導扇區文件,也可以感染某此可執行文件,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導扇區文件和可執行文件的感染,所以這類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。
以上是按照病毒感染的對象來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣,只是想竊取你電腦中的一些通訊信息,如密碼、IP地址等,以備有需要時用。
b、惡性病毒
我們把只對軟體系統造成干擾、竊取信息、修改系統信息,不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為"惡性病毒",這類病毒入侵後系統除了不能正常使用之外,別無其它損失,系統損壞後一般只需要重裝系統的某個部分文件後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常啟動,你保分留在硬碟中的有用數據也可能隨之不能獲取,輕一點的還只是刪除系統文件和應用程序等。
d、災難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的數據也就很難獲取了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花巨資在每天的系統和數據備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這"萬一"。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。
如按其入侵的方式來分為以下幾種:
a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序,病毒是在源程序編譯之前插入病毒代碼,最後隨源程序一起被編譯成可執行文件,這樣剛生成的文件就是帶毒文件。當然這類文件是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序,況且這種入侵的方式難度較大,需要非常專業的編程水平。
b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊,這類病毒也少見,它主要是攻擊特定的程序,針對性較強,但是不易被發現,清除起來也較困難。
c、系統修改型
這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為文件型病毒。
d、外殼附加型
這類病毒通常是將其病毒附加在正常程序的頭部或尾部,相當於給程序添加了一個外殼,在被感染的程序執行時,病毒代碼先被執行,然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。
有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。
1、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!
2、觀察法
這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
a、內存觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的"mem/c/p"命令來查看各程序佔用內存的情況,從中發現病毒佔用內存的情況(一般不單獨佔用,而是依附在其它程序之中),有的病毒佔用內存也比較隱蔽,用"mem/c/p"發現不了它,但可以看到總的基本內存640K之中少了那麼區區1k或幾K。
b、注冊表觀察法
這類方法一般適用於近來出現的所謂黑客程序,如木馬程序,這些病毒一般是通過修改注冊表中的啟動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
等等,具體可參考我的另一篇文章--《通通透透看木馬》,在其中對注冊表中可能出現的地方會有一個比較詳盡的分析。
c、系統配置文件觀察法
這類方法一般也是適用於黑客類程序,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell="項,而在wini.ini文件中有"load= "、"run= "項,這些病毒一般就是在這些項目中載入它們自身的程序的,注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。
d、特徵字元串觀察法
這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字元串,當然我們不可能輕易地發現,我們可以對主要的系統文件(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統文件。
e、硬碟空間觀察法
有些病毒不會破壞你的系統文件,而僅是生成一個隱藏的文件,這個文件一般內容很少,但所佔硬碟空間很大,有時大得讓你的硬碟無法運行一般的程序,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程序,為什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。
參考資料: 電腦故障維修大全
C. 怎麼知道一個exe文件有沒有病毒
這個費專業人員是看不到源碼的
除非你有功夫了可以通過反向編譯,如果是害怕病毒了就自己裝個虛擬機
然後下載的東西現在上面運行了試試
D. 怎樣檢測電腦病毒
一、中毒的一些表現
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的症狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟體生不了級、word文檔打不開,電腦不能正常啟動、硬碟分區找不到了、數據丟失等等,就是中毒的一些徵兆。
二、中毒診斷
1、按Ctrl+Shift+Ese鍵(同時按此三鍵),調出windows任務管理器查看系統運行的進程,找出不熟悉進程並記下其名稱(這需要經驗),如果這些進程是病毒的話,以便於後面的清除。暫時不要結束這些進程,因為有的病毒或非法的進程可能在此沒法結束。點擊性能查看CPU和內存的當前狀態,如果CPU的利用率接近100%或內存的佔用值居高不下,此時電腦中毒的可能性是95%。
2、查看windows當前啟動的服務項,由「控制面板」的「管理工具」里打開「服務」。看右欄狀態為「啟動」啟動類別為「自動」項的行;一般而言,正常的windows服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務項查看其屬性里的可執行文件的路徑和名稱,假如其名稱和路徑為C:\winnt\system32\explored.exe,計算機中招。有一種情況是「控制面板」打不開或者是所有裡面的圖標跑到左邊,中間有一縱向的滾動條,而右邊為空白,再雙擊添加/刪除程序或管理工具,窗體內是空的,這是病毒文件winhlpp32.exe發作的特性。
3、運行注冊表編輯器,命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和後面幾個RunOnce等,查看窗體右側的項值,看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經驗的積累,你可以輕易的判斷病毒的啟動項。
4、用瀏覽器上網判斷。像以前的Gaobot病毒,可以上yahoo.com,sony.com等網站,但是不能訪問一些安全廠商的網站,殺毒軟體不能上網升級。
5、取消隱藏屬性,查看系統文件夾winnt(windows)\system32,如果打開後文件夾為空,表明電腦已經中毒;打開system32後,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執行文件就藏身於此;drivers\etc下的文件hosts是病毒喜歡篡改的對象,它本來只有700位元組左右,被篡改後就成了1Kb以上,這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟體不能升級的原因所在。
6、由殺毒軟體判斷是否中毒,如果中毒,殺毒軟體會被病毒程序自動終止,並且手動升級失敗。
三、滅毒
1、在注冊表裡刪除隨系統啟動的非法程序,然後在注冊表中搜索所有該鍵值,刪除之。當成系統服務啟動的病毒程序,會在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之後一並消滅。
2、停止有問題的服務,改自動為禁止。
3、如果文件system32\drivers\etc\hosts被篡改,恢復它,即只剩下一行有效值「127.0.0.1localhost」,其餘的行刪除。再把host設置成只讀。
4、重啟電腦,摁F8進「帶網路的安全模式」。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟體升級。
5、搜索病毒的執行文件,手動消滅之。
6、對Windows升級打補丁和對殺毒軟體升級。
7、關閉不必要的系統服務,如remoteregistryservice。
8、第6步完成後用殺毒軟體對系統進行全面的掃描,剿滅漏網之魚。
9、上步完成後,重啟計算機,完成所有操作。
E. 如何知道EXE文件是否被感染病毒
常用方法有三種:
1、圖標是否被改變(有的病毒感染後,*.exe文件的圖標會有一點異常,比如形狀改變或清晰度下降);
2、文件大小被改變,一般病毒代碼都很小,你用點鍵點文件屬性看一下位元組數,和正常文件相比較一下;
3、用殺毒軟體查毒。