二、觀察法

　　這一方法只有在了解了一些病毒發作的癥狀及常棲身的地方才能準確地觀察到。如硬盤引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬盤、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬件出現故障同樣也可能出現那些癥狀嘛！對于如屬病毒引起的我們可以從以下幾個方面來觀察：

　　1、內存觀察

　　這一方法一般用在DOS下發現的病毒，我們可用DOS下的“mem/c/p”命令來查看各程序占用內存的情況，從中發現病毒占用內存的情況（一般不單獨占用，而是依附在其它程序之中），有的病毒占用內存也比較隱蔽，用“mem/c/p”發現不了它，但可以看到總的基本內存640K之中少了那么區區1k或幾K。

  2、系統配置文件觀察法

　　這類方法一般也是適用于黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個'shell=”項，而在wini.ini文件中有“load= ”、“run= ”項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。

　　3、特征字符串觀察法

　　這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特征代碼，如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現，當然編輯之前 好還要要備份，畢竟是主要系統文件。

　　4、硬盤空間觀察法

　　有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網絡維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什么在C盤之中幾個G的硬盤空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。
【看看這篇文章在百度的收錄情況】

相關文章

• 上一篇： 電腦安全：防范病毒常識
• 下一篇： 如何保證上網安全的底線