fggg dfg fdgdf sdfsdf fdggg
電腦病毒教戰手冊電腦病毒之定義 『電腦病毒』到底是什麼呢? 它對人體會造成傷害嗎? 對於這些問題的答案 想必是目前電腦族的使用者們所想要知道的。其實【電腦病毒】只是一段幾 k Bytes 的程式,它是一種會不斷自我【繁殖/ 複製( 自我拷貝) 】或【感染/ 覆 寫】的程式碼,通常它都會寄存在可執行的檔案之中, 或者是軟、硬碟的開 機磁區啟動部份,所以它對人體是不會造成傷害的。 既然電腦病毒只是一段程式, 那麼它有沒有什麼特性存在呢? 答案是『有 的』。舉個例子來說, 一般最常見到的電腦病毒特性為【檔案長度的增加】 、【在螢幕上顯示訊息】以及【不斷的去感染其它程式】 等等,對於這一類 的程式, 我們都可以通稱它為『電腦病毒』。 電腦病毒種類介紹 一般來說,我們把電腦病毒根據其所影響的地方,我們可以區分為下面五大 種類:檔案型病毒、開機型病毒、混合型病毒、WORD 文件巨集病毒以及視 窗型病毒等五種。 1. 檔案型病毒 (1) 定義 所謂『檔案型』病毒就是指電腦病毒會依附在程式的可執行檔上面,我們稱 之為檔案型病毒。 (2) 病毒實例 將以前的電腦病毒累積起來做個統計,檔案型病毒佔了絕大部份電腦病毒的 比例以上。我們常見到的檔案型病毒有 Connie 系列病毒與耶路撒冷(Jerusalem) 系列病毒等等。當然還有其它的檔案型病毒,只不過我們把比較常見的電腦 病毒列出來,提醒使用者特別小心就是了! 2. 開機 ( 系統) 型病毒 (1) 定義 由於開機型病毒通常會去感染硬碟或磁片的系統啟動部位,因此開機型病毒 我們又稱之為『系統型』病毒。通常這一類型的電腦病毒會吃掉電腦中的記 憶體 (memory) ;也就是說在有電腦病毒常駐的情形下由硬碟開機的話,則記 憶體就會減少了幾 k 。 另外,在比較嚴重的情形之下,由於此類型的電腦病毒可能破壞電腦的系統 部位,所以它也有可能使你的電腦無法正常的開機,這就是開機型病毒最大 的威力所在! (2) 病毒實例 至於開機型病毒是以『猴子(MONKEY) 』病毒最為典型,另外像是曾經流行 一陣子的米開朗基羅』病毒 ( 又名:石頭三號病毒) 也是屬於此類型的病毒。 !!!當您的電腦中了 Monkey 病毒之後,我們還是可以正常由硬碟開機, 若是此時我們以開機磁片由 A 槽開機的話,則會出現找不到 C 的情形 ( 如: Invalid drive specification) , 請使用者特別注意一下。 3. 混合型病毒 (1) 定義 就『混合型病毒』而言,顧明思義的我們可以知道它是由『檔案型』病毒以 及『開機型』病毒的特性混合而成的,所以稱之為混合型病毒是最恰當不過 的。 理所當然的是,此混合型病毒也同樣的具有檔案型病毒與開機型病毒的特 性,通常這一類型的電腦病毒流傳率最高,原因是一旦在我們電腦在開機時 只要感染了混合型病毒之後,隨之而後的在自動執行檔(AUTOEXEC.BAT) 中 所執行過的每一個程式、檔案都會被這隻混合型病毒所感染到。由於電腦病 毒早就已經常駐在記憶體中,此時您隨便執行一個在硬碟中的程式也會被病 毒所感染到,一下子的時間您的電腦可能就變成『毒窟』! (2) 病毒實例 混合型病毒的例子可多了,目前已經流傳開來的 3783 病毒,其威力雖然不 大,但是它會在您電腦開機的時候發生當機情形,那就有得讓你受了,至於 這一隻病毒的詳細剖析,我們待會再作說明。 除了 3783 這一隻病毒之外,在排行榜上有名的 NATAS (4744) 病毒它也是屬 於此類型的病毒。另外,還有 Tequila ( 龍舌蘭) 以及 Hammer 系列病毒也是 屬於混合型病毒。 (3) 流行病毒剖析 [3783 病毒] a. 病毒感染型別 跨平台的混合型病毒 (for DOS/Windows 95) b. 病毒感染的格式 這隻病毒除了會感染傳統 DOS 的開機磁區啟動部份以及檔案之外,它也會去 感染 Windows 95 系統下的 NewEXE 檔案,所以我們稱它為跨平台的混合型病 毒。 c. 病毒感染長度 一旦檔案感染到這隻病毒之後,該檔案就會增加出 3783 個 Bytes ,所以這隻 病毒就以 3783 做為病毒的名字。 病毒感染的格式 這是一隻非常典型的混合型病毒,它除了會去感染電腦的系統部位之外,另 外像程式的 .COM 檔與 .EXE 檔都會去感染。 病毒感染長度 由於在檔案感染到這一隻病毒之後,此時我們的檔案會增加出 4744 Bytes 來, 所以我們也稱呼它為 4744 病毒。 病毒特性 通常我們的電腦感染到 4744 病毒之後,如果我們的電腦也有驅動EMM386 記 憶體管理程式的話,您可以發現到在開機的過程中或者在執行某些檔案的時 候會出現錯誤訊息。此時請使用者不要誤以為是EMM386 設定錯誤的問題。 4. WORD 文件巨集 (MACRO) 病毒 a. 定義 這是一種新型的電腦病毒,也由於這一類型病毒的出現使得電腦病毒的領域 又擴大起來,它專門感染經由 WORD 所編輯過的文件,而這一類型的病毒又 是一隻跨平台的病毒,它除了會在 Windows 95 系統進行病毒的行為之外,同 樣它在 Windows 3.1/NT 以及 OS/2 等系統都可以發現到它的蹤跡存在。也就是 說,只要有 WORD 存在的地方,巨集病毒就會存在。 那麼此類型的病毒其感染方式為,一旦我們開啟有巨集病毒的文件之後,以 後我們所開啟的舊檔或者是開啟新檔案等等都難逃 WORD 巨集病毒的惡夢。 至於每隻巨集病毒其破壞方式都不太相同,在下面的流行病毒剖析中,我們 會逐一的來介紹目前在國內已發現到的WORD 巨集病毒到底有哪些? b. 病毒實例 目前根據感染 WORD 巨集病毒的災情中得知,到目前為止以『臺灣 No.1 』 巨集病毒流傳率最高,其次我們也發現到臺灣劇場、釣魚台、教師節、聖誕 節以及亞特蘭大等巨集病毒發生的災情傳出。 c. 流行病毒剖析 在流行病毒剖析中,我們會逐一的將目前我們已經發現到的巨集病毒除了把 它們的發作日期以及發作情形和使用者做說明介紹之外,我們也將巨集病毒 發作的畫面抓取下來讓使用者欣賞,我們也希望使用者在閱讀之餘熟記這些 巨集病毒的發作畫面,不要當您的電腦中毒了而不知。 (( 台灣 NO.1 Macro Virus)) a. 發作日期 每月的十三號就是它的病毒發作日。 b. 發作情形 當巨集病毒發作的那一天,它會和你玩數學的心算遊戲,若是您答錯的話, 它會自動開啟 20 份文件,除非你答對,否則你在病毒發作當天是無法使用 WORD 的。 (( 臺灣劇場巨集病毒)) a. 發作日期 每月的一號及十五號發作。 b. 發作情形 此巨集病毒在發作的時候會殺掉在硬碟中的某些檔案,請使用者要小心了! 它不再是像『台灣 NO.1 』巨集病毒只是和您玩遊戲。 (( 釣魚台巨集病毒)) a. 發作日期 這隻巨集病毒也趕上抗議釣魚台的列車,在每月的 5 號或者是20 號,它就會 向你招手了! b. 發作情形 這隻巨集病毒與『臺灣劇場巨集病毒』一樣會刪除掉您硬碟中的檔案,也請 使用者注意了。 ? ((Taiwan 猜拳病毒)) a. 發作日期 根據我們手中的病毒資料庫,目前這隻巨集病毒已經發展到第三代,從原先 第一代在每天晚上的 6 點到 10 點發作,它只是會出現一個視窗和你猜拳的遊 戲,一直到第二代,除了將發作日期改為在每個月的 1 、6 、15 及 25 號為這 隻巨集病毒的發作日,它會去殺掉您硬碟中特定的某些檔案。 b. 發作情形 這一隻巨集病毒在發作的時候,它還會去挑時間,也就是它會在晚上的 8 點 到 11 點才會發作起來,並且和你玩猜拳遊戲。 (( 亞特蘭大巨集病毒)) a. 發作日期 當開啟巨集病毒文件時 ? b. 發作情形 當這一隻巨集病毒發作時,它會問你一個問題,亞特蘭大奧運什麼時候開幕 ( 正確答案為:1996 年 7 月 19 日) ,雖然亞特蘭大奧運已經閉幕了,為了防止 這隻巨集病毒發作,我們請使用者把答案記下來。最正確的解決方式還是請 使用者利用解毒軟體把病毒解掉。 另外,值得一提的是,若是剛剛巨集病毒發作時所問你的問題答錯的話,它 會不斷的開啟 40 個視窗,一直到您的記憶體發生不足為止。 a. 發作日期 ??為每個月的 1 號及 28 號為病毒的發作日。 b. 發作情形 這隻病毒在每月的 1 號發作時固定會殺掉硬碟中根目錄底下的 AUTOEXEC.BAT 、CONFIG.SYS 以及 COMMAND.COM 等三個 檔案。而在每個月 28 號的時候它會問你一個問題,教師節是在 什麼時候? c. 發作畫面 當每個月 28 號病毒發作日到的時候,在您開啟文件的同時這隻巨集 病毒會在畫面出現一個對話盒問你教師節在什麼時候 這一隻病毒算蠻狠的,雖然我們知道教師節是在每年的 9 月 28 號,即 使您答對了也先不必要太高興,您根目錄底下的三個檔案: AUTOEXEC.BAT 、CONFIG.SYS 及 COMMAND.COM 已經被殺掉了, 並且出現下面的畫面,告訴您跟硬碟道別吧! a. 發作日期 這一隻巨集病毒會在每個月的 15 及 25 號來發作。 b. 發作情形 這隻巨集病毒與教師節巨集病毒的破壞情形相類似,它除了在發作那天 會殺掉 CONFIG.SYS 及 COMMAND.COM 之外,它還會去找到在根目錄 底下的兩個重要開機檔:MSDOS.SYS 與 IO.SYS 這兩個檔案。 除此之外,它還會去修改 WORD 的功能表,將原本 WORD 功能表中的字改 為『聖誕節』、『我恨核四』以及『抗議核四』等字眼。 5. 視窗型病毒 a. 定義 『視窗型』病毒與傳統 DOS 的檔案型病毒在感染方面並沒有什麼不同,只不 過這一類型的病毒必須在 Windows 的環境之下才能夠啟動執行。 b. 病毒實例 到現在為止,我們先後發現到下面數隻的視窗型病毒:WinTiny 、 WinLamer 、WinLamer2 、BOZA 以及 WINVIR 等病毒。 另外,像目前正在流行的 3783 病毒由於它除了會感染在 DOS 系統下的系統 啟動部份以及檔案之外,它也能夠在 Windows 的環境下運作,我們把它歸類 在『混合型』病毒,也請使用者小心這一隻病毒在 Windows 系統下的流竄。 電腦病毒感染的方式 [ 常駐型病毒] << 意義>> 所謂『常駐型病毒』是指當您在執行到被感染病毒程式的時候, 這個帶毒的 程式會將它自己常駐在記憶體之中, 等到下一個程式要執行的時候, 躲藏在 記憶體中的電腦病毒便會去感染目前所要執行的程式。 ? << 特色>> 對於這一類型的電腦病毒會去攔截中斷向量來加以感染, 相對的此時用 CHKDSK 去檢查記憶體會少了幾 k 。既然病毒會去攔截中斷向量,所以病毒 程式只要利用 INT 21h 功能就可以去修改檔案的屬性。 換句話來說,不管您的檔案是否有設定成唯讀的屬性, 病毒都有辦法修改成 可讀寫的屬性, 然後再來感染檔案。以上所介紹的這些特色皆不同於下面所 要介紹的直接感染型病毒。 ? [ 直接感染型病毒] << 意義>> 『直接感染型病毒』則並不需要暫存在記憶體之中就可以對現在所要執行的 檔案來加以感染, 真的是名符其實的直接感染型病毒。由於這類型病毒並不 需要常駐在記憶體中, 所以其又稱為『非常駐型病毒』。 << 特色>> 此種類型病毒並不佔用記憶體空間, 因此就不用去攔截中斷向量了。 電腦病毒感染之目標?/FONT> 談論到電腦病毒會去感染或者是破壞那些地方, 在學理上而言只要是能夠寫 出來的話都可以成為電腦病毒的攻擊目標,至於電腦病毒會去感染哪些地方 呢? 請看看我們底下為各位使用者所做的分析。 □ 可執行的檔案格式 通常病毒最喜歡感染的檔案格式為 【.COM 檔】與 【.EXE 檔】等, 但是有 一些比較特殊的病毒會去感染 .SYS 檔與 .OVL 檔等等。 □ 文字或資料檔案格式 病毒會去感染的文字格式是指在 Windows 系統環境之下,而且病毒本身還會 跨作業平臺的去感染, 如 OS/2 與麥金塔系統等,所以使用者要更加小心防範 才是。另外, 再來介紹到病毒『破壞』資料檔案格式, 目前只有發現到 DBASE 病毒會去破壞 .DBF 檔, 當 .DBF 檔被病毒破壞之後, 就會造成資料 讀取的錯誤。 □ 開機磁區部份 一般電腦病毒感染開機磁區的部份, 我們通稱為『開機型病毒』或『系統型 病毒』。而就軟碟而言, 病毒也只能夠去感染 Boot Sector 部份; 以硬碟來 說, 病毒除了會去感染 Boot Sector 之外, 有些病毒會再感染 Partition Sector 部份。 電腦病毒流行新趨勢 在這個主題中, 我們要來和各位使用者介紹在目前電腦病毒的發展情形,在 技術方面當然比在早期的電腦病毒有過之而無不及了, 面對這種情形, 國內 的土產防毒軟體是否能夠勝任呢? 也請各位使用者看完本文之後, 應該可以 給使用者們滿意的答覆。 另外, 隨者 Windows 95 作業系統在1995年八月中旬的發行, 使用這套作業系統 的使用者相當普遍, 由於之前的測試版就有數萬個人參與, 可想而知 Windows 95 似乎主導了整個市場。 因此我們就要來談談目前在 Windows 環境 下到底有哪些電腦病毒正在流行。 [ 病毒產生器] 看到『病毒產生器』這個名詞的時候, 對於資訊業軟體開發者或者是整個社 會的資訊安全不是一件很樂觀的事情, 對於電腦病毒玩家來說, 他們在寫作 電腦病毒或研究電腦病毒就非常簡單了, 然而我們在此呼籲各位病毒作者能 夠把你們的能力運用到正途上。 所謂的『病毒產生器』是依照病毒產生器中所提供的樣板 (template) 定義來產 生電腦病毒的,其實樣板被提出來的時候並不是用來產生電腦病毒的, 它是 專門被程式產生器來使用的, 至於會產生什麼東西還是要由樣板來定義。病 毒產生器除了可以輕鬆製造電腦病毒之外還可以產生出多形的電腦病毒, 當 然在您做完之後, 病毒產生器可以根據你的需要產生原始程式出來, 甚至還 可以組譯成執行檔出來。 目前已有 DK-MPC v0.92 、VM_100 (CVEX Virus Maker) 等病毒產生器。 [ 變體引擎] 所謂的『變體引擎』, 它只是一個模組 (module) , 也就是一個 .OBJ 檔啦! 變體引擎最主要的用意就是要讓病毒作者將寫好的病毒連結 (link) 到變體引擎 所提供的 .OBJ 檔,當然在這之前還是要把一些參數都要先行設定好才可以去 呼叫。 這樣一來就可以藉著變體引擎寫出具有多形的電腦病毒了。目前已有 DSME v1.0 、PME v1.01 、GPE v1.0 、MIME v1.0 與 MTE v1.01 等。另外, PME/W v0.00 所提供的模組可以含在您所作的 Windows 病毒裏, 使其具有多形的能 力。 或許使用者看到這裏會有疑問, 什麼是『多形病毒』? 所謂『多形病毒』就 是每次被病毒所感染過的檔案無法利用一連串的病毒碼尋找出中毒的檔案, 因為這種電腦病毒可以說是千變萬化的, 也就是說病毒本身會自我編碼, 此 外多形病毒的另外一個特性是其本身的長度也是不固定。 [ 亂體引擎] 當使用者看到這個名詞之後, 是不是有一點頭緒呢? 好像經由這個引擎所製 作出來的電腦病毒會比較亂一點。沒有錯! 這個引擎是有比上面所提到的變 體引擎還要亂, 也就是說更具有多形的能力。不管是變體引擎或者是亂體引 擎, 它們只是用來產生多形病毒的模組檔而已, 其用意在於讓分析或解毒的 人較難以處理,這對目前解毒軟體業者而言, 更是一個莫大的衝擊, 藉此能 讓這些解毒業者進而提昇它們的解毒能力; 相對的就防毒而言,目前市面上 已有許多的智慧型防毒軟體都能夠防止此類型的多形病毒,因為它們是依據 【病毒的演算法】來做防毒的工作, 而不是利用病毒碼來防毒。 防治電腦病毒基本原則?/FONT> 處在這資訊發達且電腦病毒氾濫的社會中, 我們是否應該擬定一套準則來防 治電腦病毒呢? 無論電腦被使用在個人單機上或者是在網路上, 我們都必須 去 面對重視【資訊安全】這一件事情, 底下我們針對電腦病毒的防範提出一些 看法, 以做為身為資訊管理人員如何去面對處理這一方面的事。 1. 提倡尊重智慧財產權的觀念, 支持使用合法原版的軟體,拒絕使用大補帖 等軟體, 我們認為只有這樣才能夠確實降低使用者電腦發生中毒的機會。 2. 當電腦的硬碟中毒時不要馬上進行格式化 (FORMAT) 的動作, 因為像開機 型病毒是感染在硬碟的 PARTITION 區域, 而格式化動作只是針對BOOT SECTOR ( 啟動磁區) 進行重新規劃。所以, 我們建議各位使用者先找電腦 公司求救, 若是還不行的話, 萬不得已只好執行低階格式化動作, 再做 FDISK 及 FORMAT 的動作, 最後再將原來備份的磁片所儲存的檔案還原回 去,不過我們還是建議使用者少做低階格式化動作, 以免讓硬碟發生無法預 期的錯誤。 3. 每當系統重新安置好之後, 必須立刻準備製作一張乾淨無毒的開機磁片, 順便利用工具軟體把系統的 BOOT 以及 PARTITION 備份起來, 並且將一些 常用的工具程式都備份到這張開機片上, 這些動作都完成之後,請務必貼上 防寫貼紙或者是將磁片上的小洞移動到防寫的位置,將來電腦若是不小心中 毒就可以靠著這張磁片來拯救您的電腦了。 4. 在每次執行新的軟體之前, 建議各位使用者能先在沒有硬碟的電腦上去執 行它, 或者是進入 BIOS 的設定把硬碟設為 Not Installed ,並且最好也先用掃 毒程式對它檢查一下, 再進行安裝軟體的工作。 5. 隨時去注意幾個比較特殊的檔案之長度與日期, 若是被改變而且不是人為 的話, 那麼您的電腦已經中毒了。有些使用者問到, 那該特別注意那些檔案 呢? 我們提供幾個方向讓各位去觀察注意: □ 注意開機自動執行檔 (AUTOEXEC.BAT) 所執行過的每一個程式,例如: 在 Windows 95 系統環境下, 就以筆者的電腦為例, 我就必須去檢查 COMMAND.COM 、EMM386.EXE 、WIN.COM 、SMARTDRV.EXE 等程式。 因為只要是記憶體有病毒存在的話, 它會藉著開機的動作來進行感染。像是 目前最為流行的 4744 ( 又名 NATAS 病毒) , 當您的電腦中了4744 病毒之後, 在一開機的時後就會出現無法執行 EMM386.EXE 的訊息出現。所以各位使用 者應該要養成習慣多去留意一下自己的電腦。 □ 另外就是一些常用的應用程式, 如文書處理軟體或者是中文系統等,這些 地方都要去留意一下它的檔案長度或者是日期與時間等。 6. 經常利用 DOS 所提供的應用程式 (Utility) , 如 MEM.EXE 或 KDSK.EXE 來 檢查傳統記憶體 (Conventional Memory) 是否有 640K (655 ,360 Bytes) ? 一般來 說, 假如您的 BIOS 沒有挪做其它用途的話, 那您的電腦八成是中毒了! 底 下, 我們把檢查後的結果列示如下, 以 Tequila ( 龍舌蘭病毒) 為例, 請注意 中了Tequila 病毒之後, 記憶體會少 3K 。 解毒之指導原則 電腦中毒的時候就拿出解毒磁片來解毒就可以了, 為什麼還要講解毒的指導 原則呢? 在講解原因之前, 我們先來介紹, 何謂『解毒之指導原則』? 那 就是當您電腦中毒時, 必須找出【乾淨且與硬碟同版本的DOS 片】, 按下 RESET 鍵】之後重新開機。 電腦病毒發生症狀及解決之道 電腦病毒發作是多麼可怕的一件事, 我們認為使用者若是不去瞭解電腦病毒 在發作之前症狀的話, 等到病毒發作之後, 到時候您就後悔莫及了; 換個角 度來說, 假如電腦已經被病毒感染而且發作了,就自己認為只要重新再將硬 碟 format 過, 程式重新再拷貝過一次, 我們認為這不是一個十分理想的解決 之道。 所以各位使用者還是多花點心來研究電腦病毒的發生症狀, 只要趁它 在未發作之前, 大概都可以把病毒處理掉。 我們在底下將病毒在感染之後且在病毒發作之前的狀況以條列的方式逐一列 出, 除此之外, 我們並且在底下附註解決的方法以及敘述通常發生這種症狀 的原因。 另外, 值得一提的是, 有些情況並不是病毒的問題, 像這些情 形, 我們會在文中和使用者做說明的, 這些可都是筆者的經驗之談, 各位 可要用心的去學習。 □ 症狀一: 原本可以正常執行的檔案, 現在每當去執行它的時候就會發生 當機的情形, 或者是系統會無原無故的發生當機事件。 ( 原因) 發生這種情況的原因, 我們歸納出有三個原因。 一、這支程式原本就已經中毒過, 而且也試著用解毒程式解過, 但是事情是 發生在解毒程式卻把這個檔案解壞掉。 所以才會造成執行程式時發生當機的 情形。 ==> 解決之道: 由於這支程式已經被解壞掉, 只好將它殺掉 (delete) ,並且重 新再拷貝過一次。 二、這個檔案中了『覆蓋型病毒』, 碰到這種情形, 這個程式已經沒有使用 價值了, 而且也無法去修復它。而這類型病毒目前已經發現到的有:Nai Tai 病毒、512 病毒以及 Trivial 29 & 30 病毒等。 ==> 解決之道: 這支程式架構已經被破壞, 我們也只好將它殺掉,並且重新 再拷貝過。 三、系統會經常無緣無故的當機, 除了機器本身的問題之外, 也有可能是病 毒在做怪! 目前以 Crash 這隻病毒最為典型。 ==> 解決之道: 執行『VTHUNT或Super VB 的VBCURE解毒程式』。 □ 症狀二: 電腦的執行速度 (CPU 速度) 突然明顯的慢了下來。 ( 原因) 請使用者先行判斷是否有載入防毒程式, 因為防毒程式在每一個檔案 執行之前都會做一次病毒碼檢查。 為了確定是否為病毒的問題, 請使用者將 防毒程式暫時先關掉,若是此時速度仍然很慢的話, 有可能是病毒的問題。 ==> 解決之道: 執行『VTHUNT或Super VB 的VBCURE解毒程式』。 □ 症狀三: 在執行檔案的過程當中, 電腦的螢幕會被干擾。 ( 原因) 這種情形原因只有一個, 那就是您的電腦中毒了!目前這一類的病毒 發現到有 Solano 病毒以及 1701/1704 病毒等。我們對這類型病毒做解釋說明如 下。 1. 1701/1704 病毒 ( 落雨病毒) : 當執行到被病毒感染檔案的時候,等到它發作時間到了, 它就會把整個螢幕 上所出現的文字一直往下掉, 擾亂了螢幕的顯示。 2. Solano 病毒: 其干擾方式也是針對螢幕, 只不過其會將所出現的文字以『倒轉』的方式顯 現。 ==> 解決之道: 雖然這些都是屬於開完笑型的電腦病毒, 並不會去破壞其檔 案結構, 但也間接影響了使用者的正常使用, 造成使用者的困擾。解決方法 就是先以乾淨的 DOS 開機磁片重新開機, 再執行『VTHUNT或Super VB的VBCURE解毒程式』。 □ 症狀四: 螢幕畫面上有不正常的訊息發生, 我們以執行 DOS 的指令為 例,我們分別執行了 DOSKEY 與 DISKCOPY 這兩支程式, 其所分別出現的 訊息如下: 1. 載入 DOSKEY 時, 螢幕上出現如下: Invalid macro definition 或 Memory allocation error Cannot load COMMAND , system halted 2. 執行 diskcopy/ ? 時, 螢幕上出現: Parameter format not correct- 彬 Do not specify filename(s) ? ( 原因) 出現這些訊息的原因不外乎是中毒了, 當然不只這些例子, 我們要 提醒使用者的是隨時注意是否有不正常的訊息出現。 ==> 解決之道: 執行『VTHUNT或Super VB的檔案型解毒程式』。 □ 症狀五: 當使用 PC tools 這類程式去檢查磁片時, 發現到有不正常的標 記符號, 如『Bad Cluster 』。 ? ( 原因) 這種原因我們分兩方面來做討論: ? 一、 碰到這種問題, 所先我們要自行判斷我們的儲存媒體 ( 如: 硬碟或軟 碟) 是否有故障 ( 如: 括傷或或者其它自然損壞) 。 若是我們初步先排除了 硬體的問題之後, 我們再來考慮病毒的問題。 ? 二、當病毒要去感染一張磁片的時候, 有些病毒通常自己本身會先去找一塊 尚未被使用過的區域將其標示為『Bad Cluster 』, 以方便自己來存放原始的 啟動磁區以及病毒碼等。這類典型的病毒有:(C)Brain 、Form 以及 Disk Killer 等病毒。 ? ==> 解決之道: 先用乾淨的 DOS 開機磁片由 A 槽開機, 然後分別執行『檔 案型』及『開機型』解毒程式一次。 □ 症狀六: 當我確定電腦中毒的時候, 我嘗試著先用乾淨的 DOS 開機磁片 由 A 槽重新開機, 為什麼螢幕上一直出現 Invalid drive specification 找不到硬碟的訊息。 ( 原因) 遇到這種情形, 我們還是得分成兩個部分來討論, 看看是病毒的問 題還是其它原因所造成的。 一、 請使用者先確定您的電腦是否有裝上硬碟鎖 ( 如: Fast Lock) 這類的軟 體, 因為通常其是禁止您由 A 槽開機的, 它必須由硬碟開機, 待您輸入完 密碼之後, 它再做解碼的動作, 此時您才能夠找到您的硬碟。假若您連安裝 這類程式都沒有,那肯定的是絕對不是這個問題。 二、 另外, 這個原因當然是大家不願意接受的『電腦病毒』問題,目前這類 型病毒只有【 MONKEY ( 猴子) 】這一隻別無分號。這一隻病毒的特性是, 當您的硬碟中了猴子病毒之後, 若是由硬碟開機的話, 此時您是藉著『猴子 的驅動程式』來開機的, 它才能夠指引你使用到這個被隱藏到其它地方的 『原來的分割表』。由於您目前是由A 槽開機, 是以正常的驅動程式來啟 動, 所以當然會發生您找不到硬碟的情形。 ==> 解決之道: 先用乾淨的 DOS 開機磁片由 A 槽開機之後,記得執行 VBCURE 程式或VTHUNT 。 □ 症狀七: 在我們讀取一張磁片的時候, 螢幕上異常的出現如下所示的訊 息: General failure reading drive A ( 原因) 出現這種問題的原因大概有下列三種, 請使用者一個一個確認, 究竟 是哪裏出的問題。 ? 一、您的磁碟機之磁頭有可能髒掉了, 請先用清潔片將磁頭清洗一下, 也請 使用者要養成定期清洗磁頭的習慣。 二、若是經過上述處理完之後, 仍然出現上面的訊息, 此時也許您的磁片尚 未格式化 (format) , 若是您很肯定的這張磁片已經有資料在裏面, 也就是說 這張磁片先前已格式化過, 接下來要考慮的就是電腦病毒問題。 三、既然是電腦病毒的問題, 我們舉一個實際的病毒例子來做介紹,我們以 【 GCV2 】 這一隻病毒為例。當這隻病毒常駐在記憶體的時候, 若在此時放 入一張磁片想要去進行讀取的話, 這隻GCV2 病毒就會立刻去摧毀您的磁 片, 於是乎當您下達 dir 命令時就會出現上面所述的訊息。 ==> 解決之道: 執行『VTHUNT或Super VB 的VBCURE解毒程式』。 □ 症狀八: 執行某個程式的時候, 電腦系統本身會無故的重新開機。 ( 原因) 這種問題的發生原因推算可能有下列四種, 麻煩使用者們一一的檢 查和確認, 並且找出問題來。 一、通常這類問題最常發生在使用 QEMM 或 EMM386 軟體身上,也就是當您 所執行的軟體試圖要讀寫 QEMM 或 EMM386 的保護區域時, 系統本身會自己 重新開機。 二、程式設計上本身的 Bug , 可能設計者未做詳細的測試工作,遇到這樣的 問題, 請找原購買軟體的廠商。 三、這種情形和中了『Vienna-B 』病毒是一樣的, 也就是說,當您的檔案感 染了這一隻病毒之後, 若是再去執行這個被病毒感染過的檔案, 此時系統本 身也會重新開機。 四、除了上述三種原因之外, 另外現在所要講的這一種雖然不是去執行這隻 程式, 其是在當您用 debug 要去追蹤 (trace) 它的時候, 系統也會自動的開 機, 筆者在想可能病毒作者怕被它的病毒程式不要那麼容易的就被解決了, 目前這類病毒只有【 DOOM2 】這一隻病毒。 ==> 解決之道: 執行『VTHUNT或Super VB的VBCURE解毒程式』就可以解決了。 .msgcontent .wsharing ul li { text-indent: 0; } 分享 Facebook Plurk YAHOO!
好站連結:http://tw.myblog.yahoo.com/monroer92976326
留言列表
