教學 ★ 如何識別病毒現象

鬼〃娃娃°

在清除電腦病毒的過程中，有些類似電腦病毒的現象純屬由電腦硬體或軟體故障引起，同時有些病毒發作現象又與硬體或軟體的故障現象相類似，如引導型病毒等。這給用戶造成了很大的麻煩，許多用戶往往在用各種查解病毒軟體查不出病毒時就去格式化硬碟，不僅影響了硬碟的壽命，而且還不能從根本上解決問題。所以，正確區分電腦的病毒與故障是保障電腦系統安全執行的關鍵。

一、電腦病毒的現象與查解方法

在一般情況下，電腦病毒總是依附某一系統軟體或用戶程式進行繁殖和擴散，病毒發作時危及電腦的正常工作，破壞數據與程式，侵犯電腦資源。電腦在感染病毒後，總是有一定規律地出現異常現象：

1.螢幕顯示異常，螢幕顯示出不是由正常程式產生的畫面或符號串，螢幕顯示混亂；
2.程式裝入時間增長，檔案執行速度下降。
3.用戶沒有讀取的設備出現工作信號。
4.磁碟出現莫名其妙的檔案和壞軌，游標發生變化。
5.系統自行引導。
6.遺失數據或程式，檔案位元組數發生變化。
7.內存空間、磁碟空間減小。
8.異常當機。
9.磁碟讀取時間比平時增長。
10.系統引導時間增長。

如果出現上述現象時，應首先對系統的BOOT區、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE檔案進行仔細檢查，並與正確的檔案相比較，如有異常現象則可能感染病毒。然後對其它檔案進行檢查，有無異常現象，找出異常現象的原因。病毒與故障的區別的關鍵是，一般故障隻是無規律的偶然發生一次，而病毒的發作總是有規律的。
這裡建議使用在DOS6.0以上版本所帶的MSAV軟體，它的最突出的功能是能查出所有檔案的變化，並能做出記錄。如果MSAV報告有大量的檔案被更改，則系統可能被病毒感染。

二、與病毒現象類似的硬體故障

硬體的故障範圍不太廣泛，但是很容易被確認。在處理電腦的異常現象時很容易被忽略，隻有先排除硬體故障，才是解決問題的根本。

1.系統的硬體配置
這種故障常在相容機上發生，由於配件的不完全相容，導致一些軟體不能夠正常執行。筆者遇到過一臺相容機，聯迅綠色節能主板，昆騰大腳硬碟，開始時安裝小軟體非常順利，但是安裝WINDOWS時卻出現了裝不上的故障，開始也懷疑病毒作怪，在用了許多防毒軟體後也不能解決問題。後來查閱了一些資料纔發現了問題所在，因主板是節能型的，而CPU、硬碟卻不是節能型的，當安裝軟體的時間超過主板進入休眠時間的期限時，主板就進入了休眠狀態，於是就由於主板、CPU、硬碟工作不協調而出現了故障。解決的辦法很簡單，把主板的節能開關關掉就一切正常了。所以，用戶在自己組裝電腦時應首先考慮配件的相容性，購買配件前應仔細閱讀產品說明書。

2.電源電壓不穩定
由於電腦所使用的電源的電壓不穩定，容易導致用戶檔案在磁碟讀寫時出現遺失或被破壞的現象，嚴重時將會引起系統自啟動。如果用戶所用的電源的電壓經常性的不穩定，為了使您的電腦更安全地工作，建議您使用電源穩壓器或不間斷電源（UPS）。

3.插件接觸不良
由於電腦插件接觸不良，會使某些設備出現時好時壞的現象。例如： 顯示器信號線與主機接觸不良時可能會使顯示器顯示不穩定；磁碟線與多功能卡接觸不良時會導致磁碟讀寫時好時壞；打印機電纜與主機接觸不良時會造成打印機不工作或工作現象不正常；鼠標線與串行口接觸不良時會出現鼠標時動時不動的故障等等。

4.軟碟機故障
用戶如果使用質量低劣的磁碟或使用損壞的、發霉的磁碟，將會把軟碟機磁頭弄髒，出現無法讀寫磁碟或讀寫出錯等故障。遇到這種情況，隻需用清洗盤清洗磁頭，一般情況下都能排隊故障。如果污染特別嚴重，需要將軟碟機拆開，用清洗液手動清洗。

5.關於CMOS的問題
眾所周知，CMOS中所儲存的資料對電腦系統來說是十分重要的，在微機啟動時總是先要按CMOS中的資料來檢測和初始化系統(當然是最基本的初始化)。在486以上的主板裡，大都有一個病毒監測開關，用戶一般情況下都設定為"ON"，這時如果安裝WINDOWS95，就會發生當機現象。原因是安裝WINDOWS95時，安裝程式會修改硬碟的引導部分、系統的內部中斷和中斷向量表，而病毒監測程式不允許這樣做，於是就導致了當機。建議用戶在安裝新系統時，先把CMOS中病毒監測開關關掉。另外，系統的引導速度和一些程式的執行速度減慢也可能與CMOS有關，因為CMOS的進階設定中有一些影子內存開關，這也會影響系統的執行速度。

三、與病毒現象類似的軟體故障

軟體故障的範圍比較廣泛，問題出現也比較多。對軟體故障的辨認和解決也是一件很難的事情，它需要用戶有相當的軟體知識和豐富的上機經驗。這裡介紹一些常見的癥狀。

1.出現“Invalid drive specification”(非法驅動器號)
這個提示是說明用戶的驅動器遺失，如果用戶原來擁有這個驅動器，則可能是這個驅動器的主引導扇區的分區表參數破壞或是磁碟標誌50AA被修改。遇到這種情況用DEBUG或NORTON等工具軟體將正確的主引導扇區資料寫入磁碟的主引導扇區。

2.軟體程式已被破壞(非病毒)
由於磁碟質量等問題，檔案的數據部分遺失，而這程式還能夠執行，這時使用就會出現不正常現象，如Format程式被破壞後，若繼續執行，會格式化出非標準格式的磁碟，這樣就會產生一連串的錯誤。但是這種問題極為罕見。

3.DOS系統配置不當
DOS作業系統在啟動時會去查尋其系統配置檔案CONFIG.SYS，並按其要求配置執行環境。如果系統環境設定不當會造成某些軟體不能正常執行，如CC++語言系統、AUTOCAD等等。原因是這些程式執行時打開的檔案過多，超過系統預設值。

4.軟體與DOS版本的相容性
DOS作業系統自身的特點是具有向下的相容性。但軟體卻不同，許多軟體都要過多地受其環境的限制，在某個版本下可正常執行的軟體，到另一個DOS版本下卻不能正常執行，許多用戶就懷疑是病毒引起的。如舊版的2.13漢字系統，在DOS 3.30下執行正常，而在DOS6.2下執行會出現亂碼現象。

5.引導過程故障
系統引導時螢幕顯示“Missing operating system”（作業系統遺失），故障原因是硬碟的主引導程式可完成引導，但無法找到DOS系統的引導記錄。造成這種現象的原因是C盤無引導記錄及DOS系統檔案，或CMOS中硬碟的類型與硬碟本身的格式化時的類型不同。需要將系統檔案傳遞到C盤上或修改CMOS配置使系統從軟碟上引導。

6.用不同的編輯軟體程式
用戶用一些編輯軟體編輯源程式，編輯系統會在檔案的特殊地方做上一些標記。這樣當源程式編譯或解釋執行時就會出錯。例如，用WPS的N命令編輯的文本檔案，在其頭部也有版面參數，有的程式編譯或解釋系統卻不能將之與源程式分辨開，這樣就出現了錯誤。

7.有關FOXBASE問題
經常使用FOXBASE的用戶可能會發現在磁碟中會產生一些“S”符號或數字命名的檔案，還會發現某些數據庫檔案數據遺失。這一現象與電腦病毒極為相似，其實造成這一現象的主要原因是用戶在使用FOXBASE後，沒有後退到DOS狀態就關掉機器，或在使用FOXBASE中途掉電。建議用戶在使用FOXBASE後返回到DOS狀態後才關機，否則不但會造成上述現象，並且會對磁碟造成損壞。
在學習、使用電腦的過程中，可能還會遇到許許多多與病毒現象相似的軟硬體故障，所以用戶要多閱讀、參考有關資料，了解檢測病毒的方法，並注意在學習、工作中積累經驗，就不難區分病毒與軟硬體故障了。

電腦的病毒與故障區別

在清除電腦病毒的過程中，有些類似電腦病毒的現象純屬由電腦硬體或軟體故障引起，同時有些病毒發作現象又與硬體或軟體的故障現象相類似，如引導型病毒等。這給用戶造成了很大的麻煩，許多用戶往往在用各種查解病毒軟體查不出病毒時就去格式化硬碟，不僅影響了硬碟的壽命，而且還不能從根本上解決問題。所以，正確區分電腦的病毒與故障是保障電腦系統安全執行的關鍵。


電腦病毒的現象與查解方法，為檢測這些可疑的染毒檔案，請遵從以下介紹：
啟動病毒：使用該系統格式化一張軟碟，病毒將會附著在上面。
Word 宏病毒：發送 "NORMAL.DOT" 檔案。
Excel 宏病毒：發送 "PERSONAL.XLS" 檔案。
Access：發送一個沒有記錄數據的空數據庫。
PowerPoint：發送一個沒有包含幻燈片的演示文稿。
電子郵件蠕蟲：發送一封電子郵件到瑞星公司。
其它：使用高靈敏度方式進行啟發式掃描。

在一般情況下，電腦病毒總是依附某一系統軟體或用戶程式進行繁殖和擴散，病毒發作時危及電腦的正常工作，破壞數據與程式，侵犯電腦資源。電腦在感染病毒後，總是有一定規律地出現異常現象：
螢幕顯示異常，螢幕顯示出不是由正常程式產生的畫面或符號串，螢幕顯示混亂。
程式裝入時間增長，檔案執行速度下降。
用戶沒有讀取的設備出現工作信號。
磁碟出現莫名其妙的檔案和壞軌，游標發生變化。
系統自行引導。
遺失數據或程式，檔案位元組數發生變化。
內存空間、磁碟空間減小。
異常當機。
磁碟讀取時間比平時增長。
系統引導時間增長。
如果出現上述現象時，應首先對系統的BOOT區、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE檔案進行仔細檢查，並與正確的檔案相比較，如有異常現象則可能感染病毒。然後對其它檔案進行檢查，有無異常現象，找出異常現象的原因。病毒與故障的區別的關鍵是，一般故障隻是無規律的偶然發生一次，而病毒的發作總是有規律的。

rgrg1234

謝謝提供

推!

sendy

好文章啊，可是好像好難，要慢慢消化呢

ZuEiDer

Very good,Thank you!!

apple61087

謝謝分享

但裡面有些東西太深奧了

還須慢慢整理

但整體很實用 感謝你的塚理分享

小宇宙AJQ

對呀........
最近時間都變長了..............
要檢查看看........