1.經(jīng)常死機(jī)：病毒打開(kāi)了許多文件或占用了大量?jī)?nèi)存；不穩(wěn)定（如內(nèi)存質(zhì)量差，硬件超頻性能差 等）；運(yùn)行了大容量的軟件占用了大量的內(nèi)存和磁盤(pán)空間；使用了一些測(cè)試軟件（有許多BUG）；硬盤(pán)空間不夠等等；運(yùn)行網(wǎng)絡(luò)上的軟件時(shí)經(jīng)常死機(jī)也許是由于網(wǎng) 絡(luò)速度太慢，所運(yùn)行的程序太大，或者自己的工作站硬件配置太低。

2.系統(tǒng)無(wú)法啟動(dòng)：病毒修改了硬盤(pán)的引導(dǎo)信息，或刪除了某些啟動(dòng)文件。如引導(dǎo)型病毒引導(dǎo)文件損壞；硬盤(pán)損壞或參數(shù)設(shè)置不正確；系統(tǒng)文件人為地誤刪除等。

3. 文件打不開(kāi)：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬盤(pán)損壞；文件快捷方式對(duì)應(yīng)的鏈接位置發(fā)生了變化；原來(lái)編輯文件的軟件刪除了；如果 是在局域網(wǎng)中多表現(xiàn)為服務(wù)器中文件存放位置發(fā)生了變化，而工作站沒(méi)有及時(shí)涮新服器的內(nèi)容（長(zhǎng)時(shí)間打開(kāi)了資源管理器）。

4.經(jīng)常報(bào)告內(nèi)存不夠：病毒非法占用了大量?jī)?nèi)存；打開(kāi)了大量的軟件；運(yùn)行了需內(nèi)存資源的軟件；系統(tǒng)配置不正確；內(nèi)存本就不夠（目前基本內(nèi)存要求為128M）等。

5. 提示硬盤(pán)空間不夠：病毒復(fù)制了大量的病毒文件（這個(gè)遇到過(guò)好幾例，有時(shí)好端端的近10G硬盤(pán)安裝了一個(gè)WIN98或WINNT4.0系統(tǒng)就說(shuō)沒(méi)空間了，一 安裝軟件就提示硬盤(pán)空間不夠。硬盤(pán)每個(gè)分區(qū)容量太小；安裝了大量的大容量軟件；所有軟件都集中安裝在一個(gè)分區(qū)之中；硬盤(pán)本身就??；如果是在局域網(wǎng)中系統(tǒng)管 理員為每個(gè)用戶設(shè)置了工作站用戶的“私人盤(pán)”使用空間限制，因查看的是整個(gè)網(wǎng)絡(luò)盤(pán)的大小，其實(shí)“私人盤(pán)”上容量已用完了。

6.軟盤(pán)等設(shè)備未訪問(wèn)時(shí)出讀寫(xiě)信號(hào)：病毒感染；軟盤(pán)取走了還在打開(kāi)曾經(jīng)在軟盤(pán)中打開(kāi)過(guò)的文件。

7.出現(xiàn)大量來(lái)歷不明的文件：病毒復(fù)制文件；可能是一些軟件安裝中產(chǎn)生的臨時(shí)文件；也或許是一些軟件的配置信息及運(yùn)行記錄。

8.啟動(dòng)黑屏：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價(jià)，那天我第一次開(kāi)機(jī)到了Windows畫(huà)面就死機(jī)了，第二次再開(kāi)機(jī)就什么也沒(méi)有了）；顯示器故障；顯示卡故障；主板故障；超頻過(guò)度；CPU損壞等等

9.數(shù)據(jù)丟失：病毒刪除了文件；硬盤(pán)扇區(qū)損壞；因恢復(fù)文件而覆蓋原文件；如果是在網(wǎng)絡(luò)上的文件，也可能是由于其它用戶誤刪除了。

10.鍵盤(pán)或鼠標(biāo)無(wú)端地鎖死：病毒作怪，特別要留意“木馬”；鍵盤(pán)或鼠標(biāo)損壞；主板上鍵盤(pán)或鼠標(biāo)接口損壞；運(yùn)行了某個(gè)鍵盤(pán)或鼠標(biāo)鎖定程序，所運(yùn)行的程序太大，長(zhǎng)時(shí)間系統(tǒng)很忙，表現(xiàn)出按鍵盤(pán)或鼠標(biāo)不起作用。

11. 系統(tǒng)運(yùn)行速度慢：病毒占用了內(nèi)存和CPU資源，在后臺(tái)運(yùn)行了大量非法操作；硬件配置低；打開(kāi)的程序太多或太大；系統(tǒng)配置不正確；如果是運(yùn)行網(wǎng)絡(luò)上的程序時(shí) 多數(shù)是由于你的機(jī)器配置太低造成，也有可能是此時(shí)網(wǎng)路上正忙，有許多用戶同時(shí)打開(kāi)一個(gè)程序；還有一種可能就是你的硬盤(pán)空間不夠用來(lái)運(yùn)行程序時(shí)作臨時(shí)交換數(shù) 據(jù)用。

12.系統(tǒng)自動(dòng)執(zhí)行操作：病毒在后臺(tái)執(zhí)行非法操作；用戶在注冊(cè)表或啟動(dòng)組中設(shè)置了有關(guān)程序的自動(dòng)運(yùn)行；某些軟件安裝或升級(jí)后需自動(dòng)重啟系統(tǒng)。

通過(guò)以上的分析對(duì)比，我們知道其實(shí)大多數(shù)故障都可能是由于人為或軟、硬件故障造成的，當(dāng)我們發(fā)現(xiàn)異常后不要急于下斷言，在殺毒還不能解決的情況下，應(yīng)仔細(xì)分析故障的特征，排除軟、硬件及人為的可能性。
 

要真正地識(shí)別病毒，及時(shí)的查殺病毒，我們還有必要對(duì)病毒有一番較詳細(xì)的了解，而且越詳細(xì)越好！

病毒因?yàn)橛杀姸喾稚⒌膫€(gè)人或組織單獨(dú)編寫(xiě)，也沒(méi)有一個(gè)標(biāo)準(zhǔn)去衡量、去劃分，所以病毒的分類可按多個(gè)角度大體去分。

如按傳染對(duì)象來(lái)分，病毒可以劃分為以下幾類：

a、引導(dǎo)型病毒

這 類病毒攻擊的對(duì)象就是磁盤(pán)的引導(dǎo)扇區(qū)，這樣就能使系統(tǒng)在啟動(dòng)時(shí)獲得優(yōu)先的執(zhí)行權(quán)，從而達(dá)到控制整個(gè)系統(tǒng)的目的，這類病毒因?yàn)楦腥镜氖且龑?dǎo)扇區(qū)，所以造成的 損失也就比較大，一般來(lái)說(shuō)會(huì)造成系統(tǒng)無(wú)法正常啟動(dòng)，但查殺這類病毒也較容易，多數(shù)殺毒軟件都能查殺這類病毒，如KV300、KILL系列等。

b、文件型病毒

早 期的這類病毒一般是感染以exe、com等為擴(kuò)展名的可執(zhí)行文件，這樣的話當(dāng)你執(zhí)行某個(gè)可執(zhí)行文件時(shí)病毒程序就跟著激活。近期也有一些病毒感染以dll、 ovl、sys等為擴(kuò)展名的文件，因?yàn)檫@些文件通常是某程序的配置、鏈接文件，所以執(zhí)行某程序時(shí)病毒也就自動(dòng)被子加載了。它們加載的方法是通過(guò)插入病毒代 碼整段落或分散插入到這些文件的空白字節(jié)中，如CIH病毒就是把自己拆分成9段嵌入到PE結(jié)構(gòu)的可執(zhí)行文件中，感染后通常文件的字節(jié)數(shù)并不見(jiàn)增加，這就是 它的隱蔽性的一面。

c、網(wǎng)絡(luò)型病毒

這 種病毒是近幾來(lái)網(wǎng)絡(luò)的高速發(fā)展的產(chǎn)物，感染的對(duì)象不再局限于單一的模式和單一的可執(zhí)行文件，而是更加綜合、更加隱蔽?，F(xiàn)在一些網(wǎng)絡(luò)型病毒幾乎可以對(duì)所有的 OFFICE文件進(jìn)行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉(zhuǎn)變，從原始的刪除、修改文件到現(xiàn)在進(jìn)行文件加密、竊取用戶有用信息（如 黑客程序）等，傳播的途經(jīng)也發(fā)生了質(zhì)的飛躍，不再局限磁盤(pán)，而是通過(guò)更加隱蔽的網(wǎng)絡(luò)進(jìn)行，如電子郵件、電子廣告等。

d、復(fù)合型病毒

把 它歸為“復(fù)合型病毒”，是因?yàn)樗鼈兺瑫r(shí)具備了“引導(dǎo)型”和“文件型”病毒的某些特點(diǎn)，它們即可以感染磁盤(pán)的引導(dǎo)扇區(qū)文件，也可以感染某此可執(zhí)行文件，如果 沒(méi)有對(duì)這類病毒進(jìn)行全面的清除，則殘留病毒可自我恢復(fù)，還會(huì)造成引導(dǎo)扇區(qū)文件和可執(zhí)行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟件要同時(shí)具備查 殺兩類病毒的功能。

如果按病毒的破壞程度來(lái)分，我們又可以將病毒劃分為以下幾種：

a、良性病毒：

這 些病毒之所以把它們稱之為良性病毒，是因?yàn)樗鼈內(nèi)肭值哪康牟皇瞧茐哪愕南到y(tǒng)，只是想玩一玩而已，多數(shù)是一些初級(jí)病毒發(fā)燒友想測(cè)試一下自己的開(kāi)發(fā)病毒程序的 水平。它們并不想破壞你的系統(tǒng)，只是發(fā)出某種聲音，或出現(xiàn)一些提示，除了占用一定的硬盤(pán)空間和CPU處理時(shí)間外別無(wú)其它壞處。如一些木馬病毒程序也是這 樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時(shí)用。

b、惡性病毒

我 們把只對(duì)軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息，不會(huì)造成硬件損壞、數(shù)據(jù)丟失等嚴(yán)重后果的病毒歸之為“惡性病毒”，這類病毒入侵后系統(tǒng)除了不能正常使 用之外，別無(wú)其它損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個(gè)部分文件后即可恢復(fù)，當(dāng)然還是要?dú)⒌暨@些病毒之后重裝系統(tǒng)。

c、極惡性病毒

這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統(tǒng)就要徹底崩潰，根本無(wú)法正常啟動(dòng)，你保分留在硬盤(pán)中的有用數(shù)據(jù)也可能隨之不能獲取，輕一點(diǎn)的還只是刪除系統(tǒng)文件和應(yīng)用程序等。

d、災(zāi)難性病毒

這 類病毒從它的名字我們就可以知道它會(huì)給我們帶來(lái)的破壞程度，這類病毒一般是破壞磁盤(pán)的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤(pán)分區(qū)表，造成系統(tǒng)根本無(wú)法啟動(dòng)， 有時(shí)甚至?xí)袷交蜴i死你的硬盤(pán)，使你無(wú)法使用硬盤(pán)。如果一旦染上這類病毒，你的系統(tǒng)就很難恢復(fù)了，保留在硬盤(pán)中的數(shù)據(jù)也就很難獲取了，所造成的損失是非 常巨大的，所以我們進(jìn)化論什么時(shí)候應(yīng)作好最壞的打算，特別是針對(duì)企業(yè)用戶，應(yīng)充分作好災(zāi)難性備份，還好現(xiàn)在大多數(shù)大型企業(yè)都已認(rèn)識(shí)到備份的意義所在，花巨 資在每天的系統(tǒng)和數(shù)據(jù)備份上，雖然大家都知道或許幾年也不可能遇到過(guò)這樣災(zāi)難性的后果，但是還是放松這“萬(wàn)一”。我所在的雀巢就是這樣，而且還非常重視這 個(gè)問(wèn)題。如98年4.26發(fā)作的CIH病毒就可劃歸此類，因?yàn)樗粌H對(duì)軟件造成破壞，更直接對(duì)硬盤(pán)、主板的BIOS等硬件造成破壞。
 

如按病毒的入侵的方式來(lái)分為以下幾種：

a、源代碼嵌入攻擊型

從 它的名字我們就知道這類病毒入侵的主要是高級(jí)語(yǔ)言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件 就是帶毒文件。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@些病毒開(kāi)發(fā)者不可能輕易得到那些軟件開(kāi)發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編 程水平。

b、代碼取代攻擊型

這類病毒主要是用它自身的病毒代碼取代某個(gè)入侵程序的整個(gè)或部分模塊，這類病毒也少見(jiàn)，它主要是攻擊特定的程序，針對(duì)性較強(qiáng)，但是不易被發(fā)現(xiàn)，清除起來(lái)也較困難。

c、系統(tǒng)修改型

這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來(lái)達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見(jiàn)的一種病毒類型，多為文件型病毒。

d、外殼附加型

這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當(dāng)于給程序添加了一個(gè)外殼，在被感染的程序執(zhí)行時(shí)，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。

有了病毒的一些基本知識(shí)后現(xiàn)在我們就可以來(lái)檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個(gè)方法來(lái)判斷。

1、反病毒軟件的掃描法

這 恐怕是我們絕大數(shù)朋友首選，也恐怕是唯一的選擇，現(xiàn)在病毒種類是越來(lái)越多，隱蔽的手段也越來(lái)越高明，所以給查殺病毒帶來(lái)了新的難度，也給反病毒軟件開(kāi)發(fā)商 帶來(lái)挑戰(zhàn)。但隨著計(jì)算機(jī)程序開(kāi)發(fā)語(yǔ)言的技術(shù)性提高、計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越普及，病毒的開(kāi)發(fā)和傳播是越來(lái)越容易了，因而反病毒軟件開(kāi)發(fā)公司也是越來(lái)越多了。但目 前比較有名的還是那么幾個(gè)系統(tǒng)的反病毒軟件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至于這些反病毒軟件的使用在 此就不必說(shuō)敘了，我相信大家都有這個(gè)水平！

2、觀察法

這 一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準(zhǔn)確地觀察到。如硬盤(pán)引導(dǎo)時(shí)經(jīng)常出現(xiàn)死機(jī)、系統(tǒng)引導(dǎo)時(shí)間較長(zhǎng)、運(yùn)行速度很慢、不能訪問(wèn)硬盤(pán)、出現(xiàn) 特殊的聲音或提示等上述在第一大點(diǎn)中出現(xiàn)的故障時(shí)，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬件出現(xiàn)故障同樣也可能出 現(xiàn)那些癥狀嘛！對(duì)于如屬病毒引起的我們可以從以下幾個(gè)方面來(lái)觀察：

a、內(nèi)存觀察

這 一方法一般用在DOS下發(fā)現(xiàn)的病毒，我們可用DOS下的“mem/c/p”命令來(lái)查看各程序占用內(nèi)存的情況，從中發(fā)現(xiàn)病毒占用內(nèi)存的情況（一般不單獨(dú)占 用，而是依附在其它程序之中），有的病毒占用內(nèi)存也比較隱蔽，用“mem/c/p”發(fā)現(xiàn)不了它，但可以看到總的基本內(nèi)存640K之中少了那么區(qū)區(qū)1k或幾 K。

b、注冊(cè)表觀察法

這類方法一般適用于近來(lái)出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過(guò)修改注冊(cè)表中的啟動(dòng)、加載配置來(lái)達(dá)到自動(dòng)啟動(dòng)或加載的，一般是在如下幾個(gè)地方實(shí)現(xiàn)：

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

c、系統(tǒng)配置文件觀察法

這 類方法一般也是適用于黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動(dòng)組中，在system.ini文件中有一個(gè)"shell=”項(xiàng)，而在wini.ini文件中有 “load= ”、“run= ”項(xiàng)，這些病毒一般就是在這些項(xiàng)目中加載它們自身的程序的，注意有時(shí)是修改原有的某個(gè)程序。我們可以運(yùn)行Win9x/WinME中的 msconfig.exe程序來(lái)一項(xiàng)一項(xiàng)查看。

d、特征字符串觀察法

這 種方法主要是針對(duì)一些較特別的病毒，這些病毒入侵時(shí)會(huì)寫(xiě)相應(yīng)的特征代碼，如CIH病毒就會(huì)在入侵的文件中寫(xiě)入“CIH”這樣的字符串，當(dāng)然我們不可能輕易 地發(fā)現(xiàn)，我們可以對(duì)主要的系統(tǒng)文件（如Explorer.exe)運(yùn)用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現(xiàn)，當(dāng)然編輯之前最好還要要備份，畢竟是主要系統(tǒng) 文件。

e、硬盤(pán)空間觀察法

有 些病毒不會(huì)破壞你的系統(tǒng)文件，而僅是生成一個(gè)隱藏的文件，這個(gè)文件一般內(nèi)容很少，但所占硬盤(pán)空間很大，有時(shí)大得讓你的硬盤(pán)無(wú)法運(yùn)行一般的程序，但是你查又 看不到它，這時(shí)我們就要打開(kāi)資源管理器，然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件（這方法應(yīng)不需要我來(lái)說(shuō)吧？），相信這個(gè)龐然大物一定會(huì)到時(shí)顯 形的，因?yàn)椴《疽话惆阉O(shè)置成隱藏屬性的。到時(shí)刪除它即可，這方面的例子在我進(jìn)行電腦網(wǎng)絡(luò)維護(hù)和個(gè)人電腦維修過(guò)程中見(jiàn)到幾例，明明只安裝了幾個(gè)常用程序， 為什么在C盤(pán)之中幾個(gè)G的硬盤(pán)空間顯示就沒(méi)有了，經(jīng)過(guò)上述方法一般能很快地讓病毒顯形的