電腦病毒為什麼殺不掉
有時候會出現這樣的現象,病毒軟體報告殺掉了某某病毒,可是重新啟動後該病毒仍舊存在,無法殺死。下面就讓小編給大家說說吧。
電腦病毒殺不掉的原因
病毒正在執行。由於Windows保護正在執行的程式,所以防毒軟體是無法殺掉正在執行的病毒。即使是真的殺掉了病毒,電腦正常關機時記憶體中活動的病毒還會再複製一個病毒到硬碟上。
病毒隱藏在系統還原的資料夾“_restore”中。
那麼,我們該怎麼樣來處理這種問題呢?下面是筆者為大家列出的幾條建議:
1.在Windows中防毒前首先得中止病毒程序。對於WindowsXp/2000,可以使用工作管理員***Ctrl+Alt+Del三鍵齊按***來檢視當前所有的程序,而對於Windows98/Me,則可以使用“黑客入門工具箱”或ATM來檢視程序。確定哪個是來歷不明的就停止掉或者看哪個不順眼就停止哪個,該過程俗稱“殺程序”。
不要怕出錯,因為不會對電腦造成任何損壞,最多就是宕機。注意,殺程序的操作有時得進行兩次才成功。有的病毒有兩個程序,互相保護,殺掉一個則會被另一個發現並恢復。此時應先把該病毒在登錄檔中的啟動項去掉,然後用突然斷電的方式重啟電腦,再防毒。
2.在Windows中使用專殺工具防毒。得使用最新的防毒版本。
禁用系統還原。在WindowsMe中禁用方法是∶滑鼠右鍵點選“我的電腦”-屬性-效能-檔案系統-疑難解答-禁止系統還原。在WindowsXP中禁用方法是∶控制面板-系統-系統屬性-系統還原-在所有驅動器上關閉系統還原。然後用軟盤或U盤啟動電腦,在dos下刪除_RESTORE資料夾。
在Dos下防毒不存在殺不掉的問題。一般的防毒軟體都可以製作軟盤版***含至少3張軟盤***,用第一張盤啟動***CMOS中必須設定軟盤啟動在前***後按提示陸續放入其它盤就可以直接防毒了。瑞星的軟盤版需要用滑鼠確定防毒的驅動器,而金山毒霸的軟盤版則預設全機查殺。
實際上用金山毒霸在DOS下防毒還可以更簡單,用普通軟盤啟動盤或U盤啟動盤啟動電腦後,先換到C盤,然後進入金山毒霸的目錄***命令:cd kav或cd kav5,與版本有關***,然後輸入KAVDX,回車就開始防毒了。
補充操作。病毒殺掉後還應該修復登錄檔,只有將登錄檔修復以後,才算是徹底刪除了病毒。
電腦病毒查殺方法
一般對硬碟進行病毒檢測時,要求記憶體中不帶病毒,因為某些電腦病毒會向檢測者報告假情況。例如“4096”病毒在記憶體中時,檢視被它感染的檔案,不會發現該檔案的長度已發生變化,而當在記憶體中沒有病毒時,才會發現檔案長度已經增lk了4096位元組;又例如,“DIR2”病毒在記憶體中,用Debug程式檢視被感染檔案時,根本看不到“DIR2”病毒的程式碼,很多檢測程式因此而漏過了被感染的檔案;還有引導區型的“巴基斯坦智囊”病毒,當它活躍在記憶體中時,檢查引導區就看不到病毒程式而只看到正常的引導扇區。因此,只有在要求確認某種病毒的型別和對其進行分析、研究時,才能在記憶體中帶毒的情況下作檢測工作。
從原始的、未受病毒感染的DOS系統軟盤啟動,可以保證記憶體中不帶病毒。啟動必須是上電啟動而不是按鍵盤上的“Alt+Ctrl+Del”三鍵的那種熱啟動,因為某些病毒可以通過擷取鍵盤中斷,將自己駐留在記憶體中。檢測硬碟中的病毒,啟動系統軟盤的DOS版本號應該等於或高於硬碟內DOS系統的版本號。如果硬碟上使用了硬碟管理軟體DM、ADM,硬碟壓縮儲存管理軟體Stacker、DoubleSpace等,啟動系統軟盤時應把這些軟體的驅動程式包括在軟盤上,並把它們寫入config.sys檔案中,否則用系統軟盤引導啟動後,將不能訪問硬碟上的所有分割槽,使躲藏在其中的病毒逃過檢查。
檢測硬碟中的病毒可分成檢測引導區型病毒和檢測檔案型病毒。這兩種檢測的原理上相同,但由於病毒的儲存方式不同,檢測方法還是有差別的。主要是基於下列四種方法:比較被檢測物件與原始備份的比較法;利用病毒特徵程式碼串進行查詢的搜尋法;搜尋病毒體內特定位置的特徵字識別法;運用反彙編技術分析被檢測物件,確證是否為病毒的分析法。
比較法
這是用原始備份與被檢測的引導扇區或被檢測的檔案進行比較的方法,可以用列印的程式碼清單***比如Debug的D命令輸出格式***進行比較,也可用程式來進行比較***如DOS的DISKCOMP、COMP或PCTOOLS等其它軟體***。比較法不需要專用的查病毒程式,只要用常規DOS軟體和PCTOOLS等工具軟體就可以進行,而且還可以發現那些尚不能被現有的防毒軟體發現的計算機病毒。因為病毒傳播得很快,新病毒層出不窮,而目前還沒有能查出一切病毒的通用程式,或通過程式碼分析,可以判定某個程式中是否含有病毒的查毒程式,所以只有靠比較法和分析法,或這兩種方法相結合來發現新病毒。
對硬碟的主引導區或對DOS的引導扇區作檢查,用比較法能發現其中的程式原始碼是否發生了變化。由於要進行比較,因此保留好原始備份是非常重要的。製作備份時必須在無電腦病毒的環境裡進行,製作好的備份必須妥善保管,寫好標籤,貼好防寫。比較法的好處是簡單、方便,不用專用軟體;缺點是無法確認病毒的種類名稱。另外,造成被檢測程式與原始備份之間差別的原因尚需進一步驗證,以查明是電腦病毒造成的,還是DOS資料被偶然原因,如突然停電、程式失控、惡意程式等破壞的。這些要用到以後講的分析法,檢視變化部分程式碼的性質,以此來確認是否存在病毒。
搜尋法
這種方法主要是對每一種病毒含有的特定字串進行掃描,如果在被檢測物件內部發現了某一種特定位元組串,就表明發現了該位元組串所代表的病毒。國外稱這種按搜尋法工作的病毒掃描軟體為“Scanner”。這種病毒掃描軟體由兩部分組成:一部分是病毒程式碼庫,含有經過特別選定的各種電腦病毒的程式碼串;另一部分是利用該程式碼庫進行掃描的掃描程式,病毒掃描程式能識別的電腦病毒的數目完全取決於病毒程式碼庫內所含病毒種類的多少。病毒程式碼串的選擇是非常重要的,短小的病毒程式碼只有一百多個位元組,長的也只有10KB位元組。一定要在仔細分析程式之後選出最具代表特性的,足以將該病毒區別於其它病毒和該病毒的其它變種的程式碼串。一般情況下,程式碼串是由連續若干個位元組組成的,但是有些掃描軟體採用的是可變長串,即在串中包含有一個到幾個“模糊”位元組。掃描軟體遇到這種串時,只要除“模糊”位元組之外的字串都能完好匹配,就也能夠判別出病毒。另外,特徵串還必須能將病毒與正常的非病毒程式區,不然就會出現“假報、誤報”。
分析法
這種方法一方面可以確認被觀察的磁碟引導區和程式中是否含有病毒,另一方面可以辨認病毒的型別和種類,判定是否為一種新病毒,另外還可以搞清楚病毒體的大致結構,提取用於特徵識別的位元組串或特徵字,增添到病毒程式碼庫中供病毒掃描和識別程式使用。同時,詳細地分析病毒程式碼,還有助於制定相應的反病毒方案。與前三種檢測病毒的方法不同,使用分析法檢測病毒,除了要具有相關的知識外,還需要使用Debug、Proview等分析工具程式和專用的試驗用計算機。因為即使是很精通病毒的技術人員,使用效能完善的分析軟體,也不能完全保證在短時間內將病毒程式碼分析清楚;而病毒則有可能在被分析階段繼續傳染甚至發作,把軟盤、硬碟內的資料完全毀壞掉,所以分析工作必須在專門的試驗用PC機上進行,不怕其中的資料被破壞。不具備必要的條件,不要輕易開始分析工作。很多電腦病毒採用了自加密、抗跟蹤等技術,使得分析病毒的工作經常是冗長枯燥的。特別是某些檔案型病毒的原始碼可達10KB以上,與系統的牽扯層次很深,使詳細的剖析工作十分複雜。病毒檢測的分析法是反病毒工作中不可或缺的重要技術,任何一個性能優良的反病毒系統的研製和開發都離不開專門人員對各種病毒詳盡、認真的分析。
分析法分為靜態和動態兩種。靜態分析是指利用Debug等反彙編程式將病毒程式碼列印成反彙編後的程式清單進行分析,看病毒分成哪些模組,使用了哪些系統呼叫,採用了哪些技巧,如何將病毒感染檔案的過程翻轉為清除病毒、修復檔案的過程,哪些程式碼可被用做特徵碼以及如何防禦這種病毒等等。分析人員的素質越高,分析過程就越快,理解也就越深;動態分析則是指利用Debug等程式除錯工具在記憶體帶毒的情況下,對病毒作動態跟蹤,觀察病毒的具體工作過程,以進一步在靜態分析的基礎上理解病毒工作的原理。在病毒編碼比較簡單的情況下,動態分析不是必須的。但是,當病毒採用了較多的技術手段時,就必須使用動、靜相結合的分析方法才能完成整個分析過程。
綜上所述,利用原始備份和被檢測程式相比較的方法適合於不用專用軟體,可以發現異常情況的場合,是一種簡單、基本的病毒檢測方法;掃描特徵串和識別特性字的方法更適用於廣大PC機使用者使用,方便而又迅速;但對新出現的病毒會出現漏檢的情況,須要與分析和比較法結合使用。