電腦病毒查殺方法
病毒要進(jìn)行傳染,必然會(huì)留下痕跡。生物醫(yī)學(xué)病毒如此,電腦病毒也是一樣。下面是學(xué)習(xí)啦小編跟大家分享的是電腦病毒查殺方法,歡迎大家來(lái)閱讀學(xué)習(xí)。
電腦病毒查殺方法
步驟/方法
一般對(duì)硬盤進(jìn)行病毒檢測(cè)時(shí),要求內(nèi)存中不帶病毒,因?yàn)槟承╇娔X病毒會(huì)向檢測(cè)者報(bào)告假情況。例如“4096”病毒在內(nèi)存中時(shí),查看被它感染的文件,不會(huì)發(fā)現(xiàn)該文件的長(zhǎng)度已發(fā)生變化,而當(dāng)在內(nèi)存中沒(méi)有病毒時(shí),才會(huì)發(fā)現(xiàn)文件長(zhǎng)度已經(jīng)增lk了4096字節(jié);又例如,“DIR2”病毒在內(nèi)存中,用Debug程序查看被感染文件時(shí),根本看不到“DIR2”病毒的代碼,很多檢測(cè)程序因此而漏過(guò)了被感染的文件;還有引導(dǎo)區(qū)型的“巴基斯坦智囊”病毒,當(dāng)它活躍在內(nèi)存中時(shí),檢查引導(dǎo)區(qū)就看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。因此,只有在要求確認(rèn)某種病毒的類型和對(duì)其進(jìn)行分析、研究時(shí),才能在內(nèi)存中帶毒的情況下作檢測(cè)工作。
從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動(dòng),可以保證內(nèi)存中不帶病毒。啟動(dòng)必須是上電啟動(dòng)而不是按鍵盤上的“Alt+Ctrl+Del”三鍵的那種熱啟動(dòng),因?yàn)槟承┎《究梢酝ㄟ^(guò)截取鍵盤中斷,將自己駐留在內(nèi)存中。檢測(cè)硬盤中的病毒,啟動(dòng)系統(tǒng)軟盤的DOS版本號(hào)應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號(hào)。如果硬盤上使用了硬盤管理軟件DM、ADM,硬盤壓縮存儲(chǔ)管理軟件Stacker、DoubleSpace等,啟動(dòng)系統(tǒng)軟盤時(shí)應(yīng)把這些軟件的驅(qū)動(dòng)程序包括在軟盤上,并把它們寫入config.sys文件中,否則用系統(tǒng)軟盤引導(dǎo)啟動(dòng)后,將不能訪問(wèn)硬盤上的所有分區(qū),使躲藏在其中的病毒逃過(guò)檢查。
檢測(cè)硬盤中的病毒可分成檢測(cè)引導(dǎo)區(qū)型病毒和檢測(cè)文件型病毒。這兩種檢測(cè)的原理上相同,但由于病毒的存儲(chǔ)方式不同,檢測(cè)方法還是有差別的。主要是基于下列四種方法:比較被檢測(cè)對(duì)象與原始備份的比較法;利用病毒特征代碼串進(jìn)行查找的搜索法;搜索病毒體內(nèi)特定位置的特征字識(shí)別法;運(yùn)用反匯編技術(shù)分析被檢測(cè)對(duì)象,確證是否為病毒的分析法。
比較法
這是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較的方法,可以用打印的代碼清單(比如Debug的D命令輸出格式)進(jìn)行比較,也可用程序來(lái)進(jìn)行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。比較法不需要專用的查病毒程序,只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行,而且還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的殺毒軟件發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)椴《緜鞑サ煤芸?,新病毒層出不窮,而目前還沒(méi)有能查出一切病毒的通用程序,或通過(guò)代碼分析,可以判定某個(gè)程序中是否含有病毒的查毒程序,所以只有靠比較法和分析法,或這兩種方法相結(jié)合來(lái)發(fā)現(xiàn)新病毒。
對(duì)硬盤的主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)作檢查,用比較法能發(fā)現(xiàn)其中的程序源代碼是否發(fā)生了變化。由于要進(jìn)行比較,因此保留好原始備份是非常重要的。制作備份時(shí)必須在無(wú)電腦病毒的環(huán)境里進(jìn)行,制作好的備份必須妥善保管,寫好標(biāo)簽,貼好寫保護(hù)。比較法的好處是簡(jiǎn)單、方便,不用專用軟件;缺點(diǎn)是無(wú)法確認(rèn)病毒的種類名稱。另外,造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證,以查明是電腦病毒造成的,還是DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來(lái)確認(rèn)是否存在病毒。
搜索法
這種方法主要是對(duì)每一種病毒含有的特定字符串進(jìn)行掃描,如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。國(guó)外稱這種按搜索法工作的病毒掃描軟件為“Scanner”。這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫(kù),含有經(jīng)過(guò)特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序,病毒掃描程序能識(shí)別的電腦病毒的數(shù)目完全取決于病毒代碼庫(kù)內(nèi)所含病毒種類的多少。病毒代碼串的選擇是非常重要的,短小的病毒代碼只有一百多個(gè)字節(jié),長(zhǎng)的也只有10KB字節(jié)。一定要在仔細(xì)分析程序之后選出最具代表特性的,足以將該病毒區(qū)別于其它病毒和該病毒的其它變種的代碼串。一般情況下,代碼串是由連續(xù)若干個(gè)字節(jié)組成的,但是有些掃描軟件采用的是可變長(zhǎng)串,即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí),只要除“模糊”字節(jié)之外的字串都能完好匹配,就也能夠判別出病毒。另外,特征串還必須能將病毒與正常的非病毒程序區(qū),不然就會(huì)出現(xiàn)“假報(bào)、誤報(bào)”。
分析法
這種方法一方面可以確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒,另一方面可以辨認(rèn)病毒的類型和種類,判定是否為一種新病毒,另外還可以搞清楚病毒體的大致結(jié)構(gòu),提取用于特征識(shí)別的字節(jié)串或特征字,增添到病毒代碼庫(kù)中供病毒掃描和識(shí)別程序使用。同時(shí),詳細(xì)地分析病毒代碼,還有助于制定相應(yīng)的反病毒方案。與前三種檢測(cè)病毒的方法不同,使用分析法檢測(cè)病毒,除了要具有相關(guān)的知識(shí)外,還需要使用Debug、Proview等分析工具程序和專用的試驗(yàn)用計(jì)算機(jī)。因?yàn)榧词故呛芫ú《镜募夹g(shù)人員,使用性能完善的分析軟件,也不能完全保證在短時(shí)間內(nèi)將病毒代碼分析清楚;而病毒則有可能在被分析階段繼續(xù)傳染甚至發(fā)作,把軟盤、硬盤內(nèi)的數(shù)據(jù)完全毀壞掉,所以分析工作必須在專門的試驗(yàn)用PC機(jī)上進(jìn)行,不怕其中的數(shù)據(jù)被破壞。不具備必要的條件,不要輕易開(kāi)始分析工作。很多電腦病毒采用了自加密、抗跟蹤等技術(shù),使得分析病毒的工作經(jīng)常是冗長(zhǎng)枯燥的。特別是某些文件型病毒的源代碼可達(dá)10KB以上,與系統(tǒng)的牽扯層次很深,使詳細(xì)的剖析工作十分復(fù)雜。病毒檢測(cè)的分析法是反病毒工作中不可或缺的重要技術(shù),任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專門人員對(duì)各種病毒詳盡、認(rèn)真的分析。
分析法分為靜態(tài)和動(dòng)態(tài)兩種。靜態(tài)分析是指利用Debug等反匯編程序?qū)⒉《敬a打印成反匯編后的程序清單進(jìn)行分析,看病毒分成哪些模塊,使用了哪些系統(tǒng)調(diào)用,采用了哪些技巧,如何將病毒感染文件的過(guò)程翻轉(zhuǎn)為清除病毒、修復(fù)文件的過(guò)程,哪些代碼可被用做特征碼以及如何防御這種病毒等等。分析人員的素質(zhì)越高,分析過(guò)程就越快,理解也就越深;動(dòng)態(tài)分析則是指利用Debug等程序調(diào)試工具在內(nèi)存帶毒的情況下,對(duì)病毒作動(dòng)態(tài)跟蹤,觀察病毒的具體工作過(guò)程,以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解病毒工作的原理。在病毒編碼比較簡(jiǎn)單的情況下,動(dòng)態(tài)分析不是必須的。但是,當(dāng)病毒采用了較多的技術(shù)手段時(shí),就必須使用動(dòng)、靜相結(jié)合的分析方法才能完成整個(gè)分析過(guò)程。
綜上所述,利用原始備份和被檢測(cè)程序相比較的方法適合于不用專用軟件,可以發(fā)現(xiàn)異常情況的場(chǎng)合,是一種簡(jiǎn)單、基本的病毒檢測(cè)方法;掃描特征串和識(shí)別特性字的方法更適用于廣大PC機(jī)用戶使用,方便而又迅速;但對(duì)新出現(xiàn)的病毒會(huì)出現(xiàn)漏檢的情況,須要與分析和比較法結(jié)合使用。
查殺電腦病毒方法一、普通掃描殺毒
1這個(gè)方法相信大家都會(huì),打開(kāi)電腦上安裝的殺毒軟件,選擇全盤或者快速掃描。
2完成掃描之后清除掃描到的病毒文件
查殺電腦病毒方二、安全模式殺毒
1安全模式是Windows操作系統(tǒng)中的一種特殊模式。在安全模式下,Windows將不加載包括第三方軟件的情況下啟動(dòng)電腦。對(duì)于感染不深的病毒就無(wú)法跟隨系統(tǒng)的啟動(dòng)而啟動(dòng),這樣病毒就任殺毒軟件宰殺了。
開(kāi)機(jī)時(shí)不斷按F8 可以選擇進(jìn)入安全模式,如果你的殺毒軟件是帶有云引擎的,請(qǐng)選擇帶網(wǎng)絡(luò)的安全模式,這樣云引擎將發(fā)揮重要的角色。
2這里請(qǐng)選擇確定,進(jìn)入安全模式,安全模式將沒(méi)有桌面背景和特效,不要為此而驚慌。
3跟普通模式開(kāi)啟殺毒軟件進(jìn)行全盤掃描。
查殺電腦病毒方三、PE 系統(tǒng)殺毒
1不會(huì)制作PE啟動(dòng)盤,請(qǐng)參考我的經(jīng)驗(yàn)中的制作Win7/win8 系統(tǒng)啟動(dòng)盤,方法是一樣的。GHOST 系統(tǒng)光盤一般也會(huì)帶有PE系統(tǒng)。
將PE 系統(tǒng)插入電腦,進(jìn)入啟動(dòng)菜單或者BIOS ,選擇U盤(如果使用光盤,則啟動(dòng)。
2PE系統(tǒng)最好是帶網(wǎng)絡(luò)功能的,這樣云殺毒才可以起作用。這里使用的是“完美PE”,在啟動(dòng)界面選擇進(jìn)入PE系統(tǒng)。
3PE 系統(tǒng)的桌面跟普通系統(tǒng)的桌面基本相同,操作簡(jiǎn)單。進(jìn)入之后,運(yùn)行殺毒軟件或急救箱殺毒即可。
4由于PE 系統(tǒng)屬于精簡(jiǎn)版的系統(tǒng),并不是所有程序都可以在PE系統(tǒng)下運(yùn)行。如急救箱必須使用PE系統(tǒng)版本的急救箱,本人所使用的PE系統(tǒng)自帶殺毒軟件。
查殺電腦病毒方四、系統(tǒng)重裝
1重裝系統(tǒng)是清理病毒最有效的方法,能讓電腦重獲“新生”。重裝系統(tǒng)的詳細(xì)教程較長(zhǎng),請(qǐng)參考系統(tǒng)重裝的相關(guān)經(jīng)驗(yàn)。
電腦病毒查殺方法相關(guān)文章:
1.如何查殺電腦病毒
電腦病毒查殺方法
上一篇:電腦病毒有那些
下一篇:預(yù)防電腦病毒有哪些技巧
精選文章
-
電腦病毒有那些
電腦病毒層出不窮,本來(lái)電腦病毒就夠復(fù)雜的,更不用說(shuō)還有變種,就顯得更說(shuō)不清了。下面是學(xué)習(xí)啦小編跟大家分享的是電腦病毒有那些,歡迎大家來(lái)閱
-
學(xué)會(huì)怎么防治電腦病毒十三招方法
電腦每過(guò)一段時(shí)間就要繼續(xù)一次病毒查殺。下面是學(xué)習(xí)啦小編跟大家分享的是學(xué)會(huì)怎么防治電腦病毒十三招方法,歡迎大家來(lái)閱讀學(xué)習(xí)。 學(xué)會(huì)怎么防治電腦
-
使用金山新毒霸怎么查殺電腦病毒
電腦每過(guò)一段時(shí)間就要繼續(xù)一次病毒查殺。下面是學(xué)習(xí)啦小編跟大家分享的是使用金山新毒霸怎么查殺電腦病毒,歡迎大家來(lái)閱讀學(xué)習(xí)。 使用金山新毒霸怎
-
5招教你徹底查殺電腦病毒
面對(duì)計(jì)算機(jī)病毒日益劇增,普通人的電腦中病毒的幾率越來(lái)越大,學(xué)習(xí)幾招查殺病毒的方法,有助于保持系統(tǒng)安全運(yùn)行也避免一些不必要的損失。下面是學(xué)