2013職稱計算機Internet應(yīng)用考點輔導(dǎo):計算機病毒的表現(xiàn)現(xiàn)象

　　計算機病毒是客觀存在的，客觀存在的事物總有它的特性，計算機病毒也不例外。從實質(zhì)上說，計算機病毒是一段程序代碼，雖然它可能隱藏得很好，但也會留下許多痕跡。通過對這些蛛絲馬跡的判別，我們就能發(fā)現(xiàn)計算機病毒的存在了。

　　根據(jù)計算機病毒感染和發(fā)作的階段，可以將計算機病毒的表現(xiàn)現(xiàn)象分為三大類，即：計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。

　　計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象

　　計算機病毒發(fā)作前，是指從計算機病毒感染計算機系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時，又自我復(fù)制，以各種手段進行傳播。

　　以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象：

　　1、 平時運行正常的計算機突然經(jīng)常性無緣無故地死機。 病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。

　　2、操作系統(tǒng)無法正常啟動。 關(guān)機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導(dǎo)。

　　3、 運行速度明顯變慢。 在硬件設(shè)備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應(yīng)用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。

　　4、 以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤。 某個以前能夠正常運行的程序，程序啟動的時候報系統(tǒng)內(nèi)存不足，或者使用應(yīng)用程序中的某個功能時報說內(nèi)存不足。這可能是計算機病毒駐留后占用了系統(tǒng)量的內(nèi)存空間，使得可用內(nèi)存空間減校需要注意的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用"復(fù)制/粘貼"操作粘貼一段很大的文字到記事本程序時，也會報"內(nèi)存不足，不能完成操作"的錯誤，但這不是計算機病毒在作怪。

　　5、 打印和通訊發(fā)生異常。 硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設(shè)備無法正常工作，比如調(diào)制解調(diào)器不撥號。這很可能是計算機病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使之不能正常工作。

　　6、 無意中要求對軟盤進行寫操作。 沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀娶復(fù)制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅(qū)中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序(如Office 97)對軟盤有寫的操作。

　　7、 以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤。 在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應(yīng)用程序產(chǎn)生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的?

　　8、 系統(tǒng)文件的時間、日期、大小發(fā)生變化。 這是最明顯的計算機病毒感染跡象。計算機病毒感染應(yīng)用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補叮對應(yīng)用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。

　　9、 運行Word，打開Word文檔后，該文件另存時只能以模板方式保存。 無法另存為一個DOC文檔，只能保存成模板文檔(DOT)。這往往是打開的Word文檔中感染了Word宏病毒的緣故。

　　10、 磁盤空間迅速減少。 沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時文件夾下的文件數(shù)量過多過大、計算機系統(tǒng)有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內(nèi)存交換文件的增長，在Windows 95/98下內(nèi)存交換文件會隨著應(yīng)用程序運行的時間和進程的數(shù)量增加而增長，一般不會減少，而且同時運行的應(yīng)用程序數(shù)量越多，內(nèi)存交換文件就越大。

　　11、 網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。 對于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的正常訪問。

　　12、 基本內(nèi)存發(fā)生變化。 在DOS下用mem /c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統(tǒng)感染了引導(dǎo)型計算機病毒所造成的。

　　13、 陌生人發(fā)來的電子函件。 收到陌生人發(fā)來的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當(dāng)然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產(chǎn)品介紹;垃圾電子函件的內(nèi)容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。當(dāng)然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。

　　14、 自動鏈接到一些陌生的網(wǎng)站。 沒有在上網(wǎng)，計算機會自動撥號并連接到因特網(wǎng)上一個陌生的站點，或者在上網(wǎng)的時候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠嬎銠C系統(tǒng)的信息"悄悄地"發(fā)回某個特定的網(wǎng)址，可以通過netstat命令查看當(dāng)前建立的網(wǎng)絡(luò)鏈接，再比照訪問的網(wǎng)站來發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁中有一些腳本程序會自動鏈接到一些網(wǎng)頁評比站點，或者是廣告站點，這時候也會有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。當(dāng)然，這種情況也可以認為是非法的。 一般的系統(tǒng)故障是有別與計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據(jù)上述幾點，就可以初步判斷計算機和網(wǎng)絡(luò)是否感染上了計算機病毒。

　　計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象

　　1、 提示一些不相干的話。 最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示"這個世界太黑暗了!"，并且要求你輸入"太正確了"后按確定按鈕。

　　2、發(fā)出一段的音樂。 惡作劇式的計算機病毒，最著名的是外國的"楊基"計算機病毒(Yangkee)和中國的"瀏陽河"計算機病毒。"楊基"計算機病毒發(fā)作是利用計算機內(nèi)置的揚聲器演奏《楊基》音樂，而"瀏陽河"計算機病毒更絕，當(dāng)系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》，而當(dāng)系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于"良性"計算機病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。

　　3、 產(chǎn)生特定的圖象。 另一類惡作劇式的計算機病毒，比如小球計算機病毒，發(fā)作時會從屏幕上方不斷掉落下來小球圖形。單純地產(chǎn)生圖象的計算機病毒大多也是"良性"計算機病毒，只是在發(fā)作時破壞用戶的顯示界面，干擾用戶的正常工作。

　　4、 硬盤燈不斷閃爍。 硬盤燈閃爍說明有硬盤讀寫操作。當(dāng)對硬盤有持續(xù)大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候?qū)δ硞€硬盤扇區(qū)或文件反復(fù)讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化，或者寫入許多垃圾文件，或反復(fù)讀取某個文件，致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計算機病毒大多是"惡性"計算機病毒。

　　5、 進行游戲算法。 有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時的"中國臺灣一號"宏病毒，在系統(tǒng)日期為13日時發(fā)作，彈出對話框，要求用戶做算術(shù)題。這類計算機病毒一般是屬于"良性"計算機病毒，但也有那種用戶輸了后進行破壞的"惡性"計算機病毒。

　　6、 Windows桌面圖標(biāo)發(fā)生變化。 這一般也是惡作劇式的計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象。把Windows缺省的圖標(biāo)改成其他樣式的圖標(biāo)，或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成Windows缺省圖標(biāo)樣式，起到迷惑用戶的作用。

　　7、 計算機突然死機或重啟。 有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發(fā)作時會造成意想不到情況;或者是計算機病毒在Autoexec.bat文件中添加了一句：Format c：之類的語句，需要系統(tǒng)重啟后才能實施破壞的。

　　8、 自動發(fā)送電子函件。 大多數(shù)電子函件計算機病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務(wù)器發(fā)送大量無用的信件，以達到阻塞該郵件服務(wù)器的正常服務(wù)功能。

　　9、鼠標(biāo)自己在動。 沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，而屏幕上的鼠標(biāo)自己在動，應(yīng)用程序自己在運行，有受遙控的現(xiàn)象。大多數(shù)情況下是計算機系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計算機病毒發(fā)作的一種現(xiàn)象。 需要指出的是，有些是計算機病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。有些現(xiàn)象則很難直接判定是計算機病毒的表現(xiàn)現(xiàn)象，比如硬盤燈不斷閃爍，當(dāng)同時運行多個內(nèi)存占用大的應(yīng)用程序，比如3D MAX，Adobe Premiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應(yīng)用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍。

　　計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象

　　大多數(shù)計算機病毒都是屬于"惡性"計算機病毒。"惡性"計算機病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果：

　　1、硬盤無法啟動，數(shù)據(jù)丟失 計算機病毒破壞了硬盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動計算機系統(tǒng)了。有些計算機病毒修改了硬盤的關(guān)鍵內(nèi)容(如文件分配表，根目錄區(qū)等)，使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。

　　2、系統(tǒng)文件丟失或被破壞 通常系統(tǒng)文件是不會被刪除或修改的，除非對計算機操作系統(tǒng)進行了升級。但是某些計算機病毒發(fā)作時刪除了系統(tǒng)文件，或者破壞了系統(tǒng)文件，使得以后無法法正常啟動計算機系統(tǒng).通常容易受攻擊的系統(tǒng)文件Command.com，Emm386.exe，Win.com，Kernel.exe，User.exe等等。

　　3、文件目錄發(fā)生混亂 目錄發(fā)生混亂有兩種情況。一種就是確實將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計算機病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。

　　4、部分文檔丟失或被破壞 類似系統(tǒng)文件的丟失或被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據(jù)丟失。

　　5、部分文檔自動加密碼 還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復(fù)了。

　　6、修改Autoexec.bat文件，增加Format C：一項，導(dǎo)致計算機重新啟動時格式化硬盤。 在計算機系統(tǒng)穩(wěn)定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統(tǒng)重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統(tǒng)的目的。

　　7、使部分可軟件升級主板的BIOS程序混亂，主板被破壞。 類似CIH計算機病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計算機病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計算機系統(tǒng)報廢。

　　8、網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。 由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統(tǒng)時要立即報警并清除，這樣才能確保系統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經(jīng)為時已晚。