Ⅰ 如何檢測電腦中的是否有病毒
電腦病毒靜態時存儲於硬碟中,被激活時駐留在內存中,因此對電腦病毒的檢測可以分為對硬碟的檢測和對內存的檢測。
一般對硬碟進行病毒檢測時,要求內存中不帶病毒,因為某些電腦病毒會向檢測者報告假情況。例如「4096」病毒在內存中時,查看被它感染的文件,不會發現該文件的長度已發生變化,而當在內存中沒有病毒時,才會發現文件長度已經增lk了4096位元組;又例如,「DIR2」病毒在內存中,用Debug程序查看被感染文件時,根本看不到「DIR2」病毒的代碼,很多檢測程序因此而漏過了被感染的文件;還有引導區型的「巴基斯坦智囊」病毒,當它活躍在內存中時,檢查引導區就看不到病毒程序而只看到正常的引導扇區。因此,只有在要求確認某種病毒的類型和對其進行分析、研究時,才能在內存中帶毒的情況下作檢測工作。
從原始的、未受病毒感染的DOS系統軟盤啟動,可以保證內存中不帶病毒。啟動必須是上電啟動而不是按鍵盤上的「Alt+Ctrl+Del」三鍵的那種熱啟動,因為某些病毒可以通過截取鍵盤中斷,將自己駐留在內存中。檢測硬碟中的病毒,啟動系統軟盤的DOS版本號應該等於或高於硬碟內DOS系統的版本號。如果硬碟上使用了硬碟管理軟體DM、ADM,硬碟壓縮存儲管理軟體Stacker、DoubleSpace等,啟動系統軟盤時應把這些軟體的驅動程序包括在軟盤上,並把它們寫入config.sys文件中,否則用系統軟盤引導啟動後,將不能訪問硬碟上的所有分區,使躲藏在其中的病毒逃過檢查。
檢測硬碟中的病毒可分成檢測引導區型病毒和檢測文件型病毒。這兩種檢測的原理上相同,但由於病毒的存儲方式不同,檢測方法還是有差別的。主要是基於下列四種方法:比較被檢測對象與原始備份的比較法;利用病毒特徵代碼串進行查找的搜索法;搜索病毒體內特定位置的特徵字識別法;運用反匯編技術分析被檢測對象,確證是否為病毒的分析法。
比較法這是用原始備份與被檢測的引導扇區或被檢測的文件進行比較的方法,可以用列印的代碼清單(比如Debug的D命令輸出格式)進行比較,也可用程序來進行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟體)。比較法不需要專用的查病毒程序,只要用常規DOS軟體和PCTOOLS等工具軟體就可以進行,而且還可以發現那些尚不能被現有的殺毒軟體發現的計算機病毒。因為病毒傳播得很快,新病毒層出不窮,而目前還沒有能查出一切病毒的通用程序,或通過代碼分析,可以判定某個程序中是否含有病毒的查毒程序,所以只有靠比較法和分析法,或這兩種方法相結合來發現新病毒。
對硬碟的主引導區或對DOS的引導扇區作檢查,用比較法能發現其中的程序源代碼是否發生了變化。由於要進行比較,因此保留好原始備份是非常重要的。製作備份時必須在無電腦病毒的環境里進行,製作好的備份必須妥善保管,寫好標簽,貼好防寫。比較法的好處是簡單、方便,不用專用軟體;缺點是無法確認病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進一步驗證,以查明是電腦病毒造成的,還是DOS數據被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以後講的分析法,查看變化部分代碼的性質,以此來確認是否存在病毒。
搜索法這種方法主要是對每一種病毒含有的特定字元串進行掃描,如果在被檢測對象內部發現了某一種特定位元組串,就表明發現了該位元組串所代表的病毒。國外稱這種按搜索法工作的病毒掃描軟體為「Scanner」。這種病毒掃描軟體由兩部分組成:一部分是病毒代碼庫,含有經過特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫進行掃描的掃描程序,病毒掃描程序能識別的電腦病毒的數目完全取決於病毒代碼庫內所含病毒種類的多少。
病毒代碼串的選擇是非常重要的,短小的病毒代碼只有一百多個位元組,長的也只有10KB位元組。一定要在仔細分析程序之後選出最具代表特性的,足以將該病毒區別於其它病毒和該病毒的其它變種的代碼串。一般情況下,代碼串是由連續若干個位元組組成的,但是有些掃描軟體採用的是可變長串,即在串中包含有一個到幾個「模糊」位元組。掃描軟體遇到這種串時,只要除「模糊」位元組之外的字串都能完好匹配,就也能夠判別出病毒。另外,特徵串還必須能將病毒與正常的非病毒程序區,不然就會出現「假報、誤報」。
特徵字識別法
這是基於特徵串掃描法發展起來的一種方式,運行速度較快、誤報頻率較低。特徵字識別法只須從病毒體內抽取很少的幾個關鍵特徵字,組成特徵字型檔。由於需要處理的位元組很少,又不必進行串匹配,因此大大加快了識別速度,當被處理的程序很大時,用這種辦法比較合適。由於特徵字識別法更注意電腦病毒的「程序活性」,因此減少了錯報的可能性。使用基於特徵串掃描法的查病毒軟體方法與使用基於特徵字識別法的查病毒軟體方法是一樣的,只要運行查毒程序,就能將已知的病毒檢查出來。這兩種方法的使用,都須要不斷地對病毒庫進行擴充,一旦捕捉到病毒,經過提取特徵並加入到病毒庫,就能使查病毒程序多檢查出一種新病毒來。
分析法這種方法一方面可以確認被觀察的磁碟引導區和程序中是否含有病毒,另一方面可以辨認病毒的類型和種類,判定是否為一種新病毒,另外還可以搞清楚病毒體的大致結構,提取用於特徵識別的位元組串或特徵字,增添到病毒代碼庫中供病毒掃描和識別程序使用。同時,詳細地分析病毒代碼,還有助於制定相應的反病毒方案。與前三種檢測病毒的方法不同,使用分析法檢測病毒,除了要具有相關的知識外,還需要使用Debug、Proview等分析工具程序和專用的試驗用計算機。因為即使是很精通病毒的技術人員,使用性能完善的分析軟體,也不能完全保證在短時間內將病毒代碼分析清楚;而病毒則有可能在被分析階段繼續傳染甚至發作,把軟盤、硬碟內的數據完全毀壞掉,所以分析工作必須在專門的試驗用PC機上進行,不怕其中的數據被破壞。
不具備必要的條件,不要輕易開始分析工作。很多電腦病毒採用了自加密、抗跟蹤等技術,使得分析病毒的工作經常是冗長枯燥的。特別是某些文件型病毒的源代碼可達10KB以上,與系統的牽扯層次很深,使詳細的剖析工作十分復雜。病毒檢測的分析法是反病毒工作中不可或缺的重要技術,任何一個性能優良的反病毒系統的研製和開發都離不開專門人員對各種病毒詳盡、認真的分析。分析法分為靜態和動態兩種。靜態分析是指利用Debug等反匯編程序將病毒代碼列印成反匯編後的程序清單進行分析,看病毒分成哪些模塊,使用了哪些系統調用,採用了哪些技巧,如何將病毒感染文件的過程翻轉為清除病毒、修復文件的過程,哪些代碼可被用做特徵碼以及如何防禦這種病毒等等。分析人員的素質越高,分析過程就越快,理解也就越深;動態分析則是指利用Debug等程序調試工具在內存帶毒的情況下,對病毒作動態跟蹤,觀察病毒的具體工作過程,以進一步在靜態分析的基礎上理解病毒工作的原理。在病毒編碼比較簡單的情況下,動態分析不是必須的。但是,當病毒採用了較多的技術手段時,就必須使用動、靜相結合的分析方法才能完成整個分析過程。
Ⅱ 如何檢測iso系統安裝包是否有病毒
ISO文件實際上可以理解為一種特殊的壓縮文件,也是一種光碟映像文件,所以要仔細檢查其中的內容是否有毒,可以用WinRAR 或者虛擬光碟機工具進行檢查。
可以用WinRAR打開ISO文件,或者直接將ISO文件解壓至硬碟文件夾,然後對其進行病毒掃描即可。
也可以用虛擬光碟機軟體,將ISO文件載入為光碟,對光碟進行病毒掃描也可以實現殺毒。
Ⅲ 你好,請問一個安裝包,怎麼判斷它是不是攜帶病毒類似sql server2008,網上有很多下載鏈
最簡單的方法就是軟禁,安裝工具來安裝。
比如電腦安裝360安全衛士。軟體管家然後搜索安裝就可以。
Ⅳ 怎麼檢查自己安裝的電腦系統包有沒有自帶病毒之類的
下載的版本是GHSOT版本的 使用GHOST程序打開並查看系統目錄下的安裝程序與防毒軟體掃描一遍。下載的是鏡像版本的 載入虛擬光碟機 打開並查看系統目錄下的安裝程序與防毒軟體掃描一遍。有能力的可以直接使用虛擬機測試運行並判斷與掃描查詢,,,
Ⅳ 怎麼看安裝包有沒有毒
具體方法如下。
1.一般我們如果是從論壇等地方下載APK安裝包的話,都是從電腦上下載的,所以在手機安裝之前呢,我們最好是用電腦上先檢測一下。____
2.打開哈勃文件分析系統的官網,在裡面有一個上傳文件。____
3.然後點擊上傳APK安裝包,根據網速不同,大概等個1-2分鍾,就會顯示你上傳的APK是否是安全的還是帶病毒,如果是安全的就可以放心安裝了。
Ⅵ 如何才能知道自己的電腦是否有病毒
我們可以按以下幾個方法來判斷。
一、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!
二、觀察法
這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
1、內存觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的「mem/c/p」命令來查看各程序佔用內存的情況,從中發現病毒佔用內存的情況(一般不單獨佔用,而是依附在其它程序之中),有的病毒佔用內存也比較隱蔽,用「mem/c/p」發現不了它,但可以看到總的基本內存640K之中少了那麼區區1k或幾K。
2、系統配置文件觀察法
這類方法一般也是適用於黑客類程序,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個"shell=」項,而在wini.ini文件中有「load= 」、「run= 」項,這些病毒一般就是在這些項目中載入它們自身的程序的,注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。
3、特徵字元串觀察法
這種方法主要是針對一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的文件中寫入「CIH」這樣的字元串,當然我們不可能輕易地發現,我們可以對主要的系統文件(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統文件。
4、硬碟空間觀察法
有些病毒不會破壞你的系統文件,而僅是生成一個隱藏的文件,這個文件一般內容很少,但所佔硬碟空間很大,有時大得讓你的硬碟無法運行一般的程序,但是你查又看不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的文件(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程序,為什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。
Ⅶ 怎麼查看電腦是否有病毒
1. 最簡單,最有效,最直觀用殺毒軟體。
2. 用系統自帶的命令,netstat -an。查看下是否有向外的連接。這里要注意看得時候要把所有聯網的東西都關了,包括QQ,瀏覽器,還有一些下載軟體等。查看到有向外聯接的IP不一定就是中病毒了。可以到網上查詢下IP的來源,可以簡單判斷,但不一定準的。
3. 用網路抓包工具,看是否向外發送不明數據包。
4. 查看啟動項,運行msconfig,然後在啟動里看看有沒有可疑的啟動項,有的話去看看源文件。
5. 右擊「我的電腦」在里選「管理」然後再點服務,看下有沒有可疑的服務存在,大部分服務只要去大的搜索網站搜一下就知道存在不存在了,是什麼作用等等都很詳細。如果確定了服務是個病毒服務,那麼就可以右擊該服務,看下屬性里,是不是有可執行文件路徑,這是病毒的路徑,刪掉就行了,再到注冊表裡刪掉相應的服務就可以了
Ⅷ 如何檢查exe文件是否帶病毒
最簡單的方法,用殺毒軟體掃描一下,一般都可以查出來...如果沒裝,可以把文件打包上傳到http://www.virscan.org/這里提供全世界37家殺毒軟體同時掃描...如果有毒,不可能37家都掃描不出來...
如果,該網站提供有你下載的exe文件的MD5值,你可以下載一個MD5查詢軟體,查詢後比對該程序的MD5值是否與網站給定的值相同...(因為每個程序都有唯一的一個MD5值...如果程序被修改,MD5值會變)...
最強大的方法,是對這個程序進行反匯編或反編譯來檢查其中是否包含惡意代碼...這個...需要找高手了...
Ⅸ 如何檢測iso系統安裝包是否有病毒
ISO文件實際上可以理解為一種特殊的壓縮文件,也是一種光碟映像文件,所以要仔細檢查其中的內容是否有毒,可以用WinRAR
或者虛擬光碟機工具進行檢查。
可以用WinRAR打開ISO文件,或者直接將ISO文件解壓至硬碟文件夾,然後對其進行病毒掃描即可。
也可以用虛擬光碟機軟體,將ISO文件載入為光碟,對光碟進行病毒掃描也可以實現殺毒。
Ⅹ 怎麼掃描電腦文件有沒有病毒
首先,找到你需要掃描的文件。
2
右鍵點擊這個文件,用金山毒霸進行掃描(其他殺毒軟體也可以),如圖所示。
3
掃描完成後,會提示有沒有危險或者病毒文件等,如圖所示。
4
電腦上裝的其他殺毒軟體,也可以進行文件掃描,不管是從哪個位置進行掃描。
END
喜歡+投票
經驗由Love00KG生活中積累,絕無抄襲,喜歡請投票或者分享,還可以為小編留言,圖片均為真是拍攝或網路截圖,如有轉載請說明。