计算机维修技术.pdf
一,分区误删后如何巧妙恢复(一)文件或文件夹的恢复不向目标分区写入新文件,从概念上容易理解,但实际要做到却不是那么容易的。因为Windows会在各个分区多多少少生成一些临时文件,加上还有在启动时自动扫描分区的功能,如果设置不当或操作上稍不留意,可能已经写入了新文件而您还不知道。1.注意Windows扫描和报告的设置默认状态下,Windows会在启动的时候检测分区有没有错误,如果上次是非正常关机,您就会看到一个扫描的任务及进度条,这种扫描对解决交叉链接错误有用,但对于要恢复的文件可能会造成致命的破坏一因为扫描完毕后,Windows会生成信息报告,有可能刚刚(占用)破坏目标文件的关键字节,如果是可执行文件,就算勉强恢复过来也用不了。进入Windows后,也请您不要在该目标分区进行磁盘扫描,因为默认状态下,Windows会把交叉链接文件和把文件碎片转化成*.CH K,也有可能破坏您的目标文件。如果您用的是Windows 9 8,建议您在MSDOS.SYS里设置一下,在O ption组加入一句AutoScan=0,把启动的扫描屏蔽掉;如果是Windows 2000或X P,就按回车条国磁盘检测直接进入Windows。2.不要安装新软件或运行新任务特别是不要向恢复目标分区安装新的软件,即使是恢复软件本身。例如您要恢复的是C盘被误删除的数据,而工具软件的默认指向都是C盘的,您一路回车安装的话,可能就万事休矣;如果您的虚拟内存设在了 C盘,此时也不要打开新的任务,以免因为虚拟内存的更新变化覆盖数据。您应该在“系统”里更改虚拟内存的指向路径,然后重新启动W indows,再安装恢复软件到目标以外的分区。3.操作恢复的技巧(1)恢复工具的扫描技巧。一般来说,误删除文件都是马上发现自己的误操作,所以刚删除的文件在磁盘里的文件分配表处于较靠前的位置,我们可以利用这一点,加快恢复的速度。例如您运行了 Easy R ecover,在选定了目标分区后,只要扫描5%左右的目录树,大概在3000个 到5000个文件左右,就可终止扫描,然后进入下一步,一般都能找到。这种方式比完全扫描后再找恢复文件要容易,如果您扫描所有的文件,可能会有数万个甚至10多万个已经删除的列表,此时您要找自己想恢复的目标就比较困难了一因为在您的机器里,不同时期可能产生过同一个文件名的几个文件,为了防止混乱,恢复软件一般会把这些类似的文件标记为一开头,数字编号结尾的文件,您无法按首字母来找,要靠眼睛一个个识别,太多的选择会让您眼花缭乱。可以在终止扫描时,选择保存当前扫描进度,如果5%的数量没找到您的目标,可以按此进度继续扫描,不必从头开始一次。注意这个保存操作也不要放到目标分区里,要另外指定路径存盘。DOS时代的UNDELETE软件,只能处理FAT的格式,而且对于长文件名结构无能为力。(2)字处理软件相关文件的技巧象W P S 或 W O R D 这类字处理软件,除了用恢复工具,还可以进入其安装目录,找到隐藏的临时文件直接恢复。因为这类软件都会对您当前操作的文件生成一个后备文件,而且不自动删除,所 以 您 可 以 在 D O S 状态下,在目标目录键入A T T R I B*.*-h 消除临时文件的隐臧状态,然后把后缀名改为*.D O C*或是.W P S,就可能已经成功恢复了。当然,得到的临时文件可能会有1 0 多个,名字也是千奇百怪的,您微一个个打开看看是哪一个吧。用 F D I S K 命令删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。如果您了解F d i s k 的工作原理,就会知道F d i s k 只是重新改写了硬盘的主引导扇区(0 面 0道 1 扇区)中的内容,具体地说就是删除了硬盘的分区表信息,而硬盘中任何分区的数据均没改动。可 仿 照“分区表错误”的修复方法,即想办法恢复分区即数据,但这只限于删除分区或重建分区之后;如果已经对分区用F o r m a t命令格式化,需在恢复分区之后,再恢复分区数据。针对以上介绍的几种误删除类恢复,为了提高恢复成功率,我们应遵循如下几点:(-)恢复分区的注意事项此处说的主要是没有正确备份分区表的情况下,对分区的恢复;己经有分区表备份的恢复很简单,这里不再重复。1.NT F S 的格式不要急于重装系统如果您使用的是NT F S 格式,但 W in d o ws运行出了问题。即使分区表没有损坏,还能看到该分区,也不要急急忙忙地重装系统。因为NT F S 是有权限加密的,而且在一个操作系统下面加密的密钥是唯一的,如果您重装了系统,即使是同一个2 0 0 0 或 X P 版本,也有可能会读不出NT F S 加密的文件夹。低级格式化更是不要轻易尝试。3.如果是误格式化了分区,有条件的话,最好先用G ho st备份镜像全盘到另外一个硬盘,再尝试各种工具进行恢复操作。一般来说,完全无损恢复是不太可能的了,只能恢复象MP 3,文档,邮件等等独立的文件,对于一些要V X D 设备文件,D LL动态链接对话框运行的软件,完好地恢复不太可能。所以,对分区的操作一定要小心谨慎!2.在用ND D 等工具重建分区表之前,先备份现在的分区表状态在用K V 或 No r to n 这类具有检测和重建分区表功能的软件操作前,请先把当前的分区表备份下来,即使目前是不正常的状态。这样是为了防止操作失败,导致更多的损失。在正常状态下,小心不要在杀毒软件里随便点“恢复分区表”,象 K V 系列,没 事 乱“恢复”的话有时会导致系统崩溃。二,光驱的日常保养与维修光驱不能正常开关仓门,主要是光驱机械故障或光驱内有异物导致。如果不是碰撞等意外导致仓门变形就应检查光驱内部是否有异物堵塞或机械部分出现问题导致。最后要提醒大家的是,光驱是精密设备,拆卸光驱时稍有不慎就会造成严重的后果,所以如果不是光驱故障严重最好不要轻易打开光驱。日常保养保持光驱清洁光驱出现读盘速度变慢或不读盘的故障,主要是激光头出现问题所致。除了激光头自身寿命有限的原因外,无孔不入的灰尘也是影响激光头寿命的主要因素。灰尘不仅影响激光头的读盘质量和寿命,还会影响光驱内部各机械部件的精度。所以保持光驱的清洁显得尤为重要。首先要尽可能保持室内的清洁,减少灰尘。清洁光驱内部组件和激光头。对于光驱的机械部件一般使用棉签擦拭即可,而激光头的清洁有很高的危险性,稍不留意就会造成激光头的损坏,所以如果光驱在保修期内最好交由经销商处理。如果过了保修期也要找个有过拆卸光驱经验的人来指导。另外清洁激光头不能使用酒精和其他清洁剂,可以使用气囊对准激光头吹掉灰尘。注意光盘质量光驱的工作就是读取光盘上的内容,如果经常使用质量较差的光盘必定会使光驱寿命减少。另外也要注意光盘的清洁和保持盘面的完好,大家都知道激光头是在光盘的下方读取光盘的,所以如果光盘上有大量的灰尘,那么在光驱读盘时灰尘就会落到激光头上。我经常看到一些朋友的光盘被划的面目全非,放到光驱中很久才能读出内容,如果光驱经常读取这样的光盘,会加速光驱的机械磨损,寿命就会降低。所以保护好光盘也就是间接的保护光驱。多使用虚拟光驱最好的延长光驱寿命的方法就是尽可能少地使用光驱。许多人喜欢用光驱听C D,看 V C D,这样必然造成光驱磨损,好在现在的硬盘都很大,完全可以利用虚拟光驱软件将C D、V C D 和光盘游戏虚拟到硬盘中,虚拟光驱不但速度比真正的光驱快许多也可以延长光驱的寿命,何乐而不为呢。现在比较出色也是比较常用的虚拟光驱软件是V i r t u a l D r i v e r 2 0 0 0。最新的6.1版本可以在W i n d o w s 2 0 0 0 下使用。用我的阿帕奇4 8 x 光驱拷贝一部影片(两张光盘)到硬盘上只需要十几分钟,而使用直接从光盘读取的方式观看影片需要9 0 分钟,这样就可以节省7 0 分钟的光驱寿命。养成正确使用光驱的习惯我发现许多朋友不注意光驱的正确使用,比如直接用手关闭仓门、在光盘高速旋转时出仓、关闭或重起计算机时不取出光盘等。这些不好的习惯直接影响光驱的使用寿命。如光盘不用时.,最好将它从光驱中拿出来,因为只要是开着电脑,即使你不使用光驱,光驱也一直处于工作状态。除非你想一年换一个新光驱,否则就要养成正确使用光驱的习惯。这里我向大家介绍一个保护光驱的小软件:“光驱护理2001”对你保护光驱很有帮助,“光驱护理2001”同时也是一款很好的光驱工具。它可以避免手动进仓、出仓给光驱带来的伤害,在弹出仓门时会自动延迟确保光盘完全停止旋转,而且具有CD播放、停止功能。光驱用久了便会经常出现这样或那样的问题,给大家带来许多麻烦。大家经常会选择更换,其实光驱的故障并不是很严重,如果你掌握一些光驱故障判断维修的方法加上适当的工具,完全可以自己亲手修好光驱。故障排除挑盘或不读盘挑盘或不读盘是光驱经常遇到的故障,造成此故障的原因很多,但主要是因为激光头老化或灰尘太多导致。光驱挑盘,问题主要出在光驱的压盘机构,部分光盘的盘片很薄,而光驱的设计是以标准盘片为基准的,光驱压盘机构夹不紧光盘,盘片在光驱里打滑,这样就造成光驱挑盘。解决的方法就是把光驱的压盘机构调的紧些,或加厚光盘.就是在光盘孔周围贴上不干胶,以增加压盘机构同盘片的接触。如果还是不行,就要调整激光头的发射功率了,不同品牌光驱的调节电位器的位置是不同的,但大部分在激光头的前侧面,如Acer50 x、源兴40 x。在调节前先记住原来的位置,如果不行再调回来。光驱不读盘首先观察主导电机的工作情况,如果主导电机无动作,就要先检查主导电机的电源供给是否正常、电机的传动皮带是否打滑、断裂。状态开关是否开关臼如,因为如果开关不到位,主导电机得不到启动信号也不能启动;光驱读盘主要是激光头的问题,一般来说清洁激光头后情况会有所改善。如果是激光头或其他元器件老化的原因除了更换没别的办法。光驱不能正常开关仓门,主要是光驱机械故障或光驱内有异物导致。如果不是碰撞等意外导致仓门变形就应检查光驱内部是否有异物堵塞或机械部分出现问题导致。最后要提醒大家的是,光驱是精密设备,拆卸光驱时稍有不慎就会造成严重的后果,所以如果不是光驱故障严重最好不要轻易打开光驱。三,机箱去静电法在咱们DIY漫漫“征机”路 匕 有否碰到过静电之灾呢,本人就是深受静电之害,苦苦探索,才找到让静电消除的办法,下面这篇文章讲讲俺如何消灭静电的“苦难”经历,希望能给大家一点点帮助。记得电脑刚组装回时,使用都很正常,一次不小心手碰到机箱后部面板上(机箱除了后部面板裸露,其它部位都被油漆涂上了基本感觉不出静电)被静电狠狠击了一下。第二天一早跑到经销商那儿评理去,但是商家说这是正常现象,让俺在使用时注意就可以了。因为普通家庭般都使用两相电源,无地线,机箱不能很好地接地,只好忍耐着尽量小心不碰到机箱后部裸露部位,将就着用吧!后来一次事故,不小心将音箱给弄“下岗”了,只好用耳机替代着用,刚一带上,就被电得一弹,这下可完了,连耳机都不能听,你说说要是碰上这种情况,要多痛苦就有多痛苦,俺下定决心一定要“铲除”机箱上静电。俺找来一根电线(普通电线即可,但不能用漆包线),一头接地,另一头连在机箱后部裸露处,这办法一试还行,但还是带一点静电,不行!要弄就弄最好,要是从电源入口处接地,那不有更好的效果吗?俺家墙上固定电源插座是两孔的,不行,顺着线往下看,咦!计算机的电源插头为三头,一般使用者都是用计算机专用插座来转接,仔细一研究,这种插座中间部位为地线插孔,两侧分别是火线和零线。马上将接在机箱上接地的电线拆下,装上一小插头,将其插入专用插座中间部位,这样一来,计算机电源的地线就被接地,静电完完全全被导出了。一试效果还真行,没一丁点静电了,既美观又实用。哦!对了,还有一个小技巧忘了告诉大家,也许有许多朋友都在用显示器保护屏,这种装置能起到防止辐射和静电伤害的作用,显示器保护屏有根引线来导出接收到的静电,你可将引线的另一头连在刚刚制作出的导静电线路的任意部位,只需将导静电线路割开一个小口,露出金属即可,这样就可以将显示器保护屏上的静电也导出(注:也许有的“虾友”误以为静电是因为主板和机箱没有很好地进行绝缘,才导致机箱上有静电,其实是因为机箱电源内部的地线与电源外壳相连,才导致有静电出现。静电对微机的危害是众所周知的,弄不好会损坏机箱内部板卡上各种集成芯片,虽然是“可能”,但还是有这种几率存在。总之,俺还是希望各位虾友远离静电,少一些危险,多一份安全)。四,如何判断你的电脑是否含病毒各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到 元凶 誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又一张,还是未见 元凶”的踪影,其实这未必就是病毒在作怪。这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下儿个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别 真毒 有一定帮助!病毒与软、硬件故障的区别和联系电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。症状病毒的入侵的可能性软、硬件故障的可能性经常死机:病毒打开了许多文件或占用了大量内存;不 稳 定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多B U G);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件:系统配置不正确;内存本就不够(目前基本内存要求为1 2 8 M)等。提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近1 0 G 硬盘安装了一个W I N 9 8 或 W I N N T 4.0 系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的 私人盘”使用空间限制,因查看的是整个网络盘的大小,其实 私人盘”上容量已用完了。软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。出现大量来历不明的文件:病毒复制文件:可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。启动黑屏:病毒感染(记得最深的是9 8 年 的 4.2 6,我为C I H 付出了好几千元的代价,那天我第一次开机到了 W i n d o w s 画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;C P U 损坏等等数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。键盘或鼠标无端地锁死:病毒作怪,特别要留意 木马;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。系统运行速度慢:病毒占用了内存和CP U 资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。病毒的分类及各自的特征要真正地识别病毒,及时的查杀病毒,我们还有必要对病毒有一番较详细的了解,而且越详细越好!病毒因为由众多分散的个人或组织单独编写,也没有一个标准去衡量、去划分,所以病毒的分类可按多个角度大体去分。如按传染对象来分,病毒可以划分为以下几类:a、引导型病毒这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如 K V 3 0 0、K I L L 系列等。b、文件型病毒早期的这类病毒一般是感染以ex e、c o m 等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dl l、o v K s y s 等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如 C I H 病毒就是把自一拆分成9 段嵌入到P E 结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。c、网络型病毒这种病毒是近几来网络的高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的O F F I C E 文件进行感染,如 W O R D,E X C E L,电子邮件等。其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。d、复合型病毒把它归为 复合型病毒”,是因为它们同时具备了 引导型 和 文件型”病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。以上是按照病毒感染的对象来分,如果按病毒的破坏程度来分,我们又可以将病毒划分为以下几种:a、良性病毒:这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统,只是想玩一玩而已,多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统,只是发出某种声音,或出现一些提示,除了占用一定的硬盘空间和C P U处理时间外别无其它坏处。如一些木马病毒程序也是这样,只是想窃取你电脑中的一些通讯信息,如密码、I P 地址等,以备有需要时用。b、恶性病毒我们把只对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数据丢失等严重后果的病毒归之为恶性病毒,这类病毒入侵后系统除了不能正常使用之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复,当然还是要杀掉这些病毒之后重装系统。c、极恶性病毒这类病毒比上述b类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系统就要彻底崩溃,根本无法正常启动,你保分留在硬盘中的有用数据也可能随之不能获取,轻一点的还只是删除系统文件和应用程序等。d、灾难性病毒这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。如果一旦染上这类病毒,你的系统就很难恢复T,保留在硬盘中的数据也就很难获取了,所造成的损失是非常巨大的,所以我们进化论什么时候应作好最坏的打算,特别是针对企业用户,应充分作好灾难性备份,还好现在大多数大型企业都已认识到备份的意义所在,花巨资在每天的系统和数据备份上,虽然大家都知道或许几年也不可能遇到过这样灾难性的后果,但是还是放松这 万一”。我所在的雀巢就是这样,而且还非常重视这个问题。如 98年 4.26发作的CIH病毒就可划归此类,因为它不仅对软件造成破坏,更直接对硬盘、主板的BIOS等硬件造成破坏。如按其入侵的方式来分为以下儿种:a、源代码嵌入攻击型从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。b、代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。c、系统修改型这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。d、外壳附加型这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。有了病毒的-些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断。1、反病毒软件的扫描法这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件,如金山毒霸等。至于这些反病毒软件的使用在此就不必说叙了,我相信大家都有这个水平!2、观察法这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡洞走到底,上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛!对于如属病毒引起的我们可以从以下儿个方面来观察:a、内存观察这一方法一般用在D O S 下发现的病毒,我们可用D O S 下的 me m/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其它程序之中),有的病毒占用内存也比较隐蔽,用 me m/c/p”发现不了它,但可以看到总的基本内存6 4 0 K 之中少了那么区区1 k或儿K。b、注册表观察法这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下儿个地方实现:H K E Y _ C U R R E N T _ U S E R S O F T W A R E M ic ros of t W ind ow s C u rre nt V e rs ion等等,具体可参考我的另一篇文章一 通通透透看木马,在其中对注册表中可能出现的地方会有一个比较详尽的分析。c、系统配置文件观察法这类方法一般也是适用于黑客类程序,这类病毒一般在隐臧在s y s t e m.ini,w ini.ini(W in9 x/W inM E)和启动组中,在s y s t e m.ini文件中有一个 s he ll=项,而在w ini.ini文件中有 loa d=、ru n=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行W in9 x/W inM E 中的ms c onf ig.e x e 程序来一项一项查看。具体也可参考我的 通通透透看木马一文。d、特征字符串观察法这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如 C I H病毒就会在入侵的文件中写入“C I H 这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如 E x p l o r e r,e x e)运 用 1 6 进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,毕竟是主要系统文件。e、硬盘空间观察法有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不到它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的文件(这方法应不需要我来说吧?),相信这个庞然大物一定会到时显形的,因为病毒般把它设置成隐藏属性的。到时删除它即可,这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例,明明只安装了几个常用程序,为什么在C盘之中几个G的硬盘空间显示就没有了,经过上述方法一般能很快地让病毒显形的。五,恶意网页病毒十三大症状分析及简单修复方法恶意网页病毒十三大症状分析及简单修复方法一、对 I E 浏览器产生破坏的网页病毒:(一).默认主页被修改1 .破坏特性:默认主页被自动改为某网站的网址。2 .表现形式:浏览器的默认主页被自动设为如*.C O M 的网址。3 .清除方法:采用手动修改注册表法,开始菜单一 运行一r e g e d i t-确定,打开注册表编 辑 工 具,按 顺 序 依 次 打 开:H K E Y L O C A L _ U S E R S o f t w a r e M i c r o s o f t I n t e r n e tE x p l o r e r M a i n 分支,找到D e f a u l t _ P a g e _ U R L 键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按 F 5 键刷新生效。危害程度:般(二).默认首页被修改1 .破坏特性:默认首页被自动改为某网站的网址。2.表现形式:浏览器的默认主页被自动设为如*.C O M 的网址。3 .清除方法:采用手动修改注册表法,开始菜单一 运行一re ge d it-确定,打开注册表编 辑 工 具,按 如 下 顺 序 依 次 打 开:H K E Y_ L O C AL USE R Softwa re M ic rosoft I nte rne tE xplore r M a in分支,找 到 Sta rtP a ge 键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按 F 5 键刷新生效。危害程度:一般(三).默认的微软主页被修改1 .破坏特性:默认微软主页被自动改为某网站的网址。2.表现形式:默认微软主页被篡改。3 .清除方法:(1)手动修改注册表法:开始菜单一 运行一re ge d it-确定,打开注册表编辑工具,按如下顺序依次打开:H K E Y_ L O C AL _ M AC H I N E Softwa re M ic rosoft I nte rne tE xplore r M a in 分支,找到D e fa ult_ P a ge _ UR L 键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为 http:/www.mic rosoft.c om/wind ows/ie _ intl/c n/sta rt/即可。按 F 5 键刷新生效。(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为re g的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。R E G E D I T4 H K E Y_ L O C AL _ M AC H I N E Softwa re M ic rosoft I nte rne t E xplore r M a in“d e fa ult_ pa ge _ url=http:www.mic rosoft.c om/wind ows/ie _ intl/c n/sta rt/危害程度:一般(四).主页设置被屏蔽锁定,且设置选项无效不可更改1 .破坏特性:主页设置被禁用。2.表现形式:主页地址栏变灰色被屏蔽。3 .清除方法:(1)手动修改注册表法:开始菜单一 运行一 re ge d it-确定,打开注册表编 辑 工 具,按 如 下 顺 序 依 次 打 开:H K E Y_ C UR R E N T_ USE R Softwa re M ic rosoft I nte rne tE xplore r 分支,新 建“C ontrolP a ne l”主键,然后在此主键下新建键值名为 H ome P a ge”的 D WO R D 值,值 为“0 0 0 0 0 0 0 0”,按F 5 键刷新生效。(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为re g的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。R E G E D I T4 H K E Y_ C UR R E N T_ USE R Sof twa re P oli c i e s M ic rosoft I nte rne t E xplore r C ontrolP a ne lz/H ome P a ge/=d word:0 0 0 0 0 0 0 0危害程度:轻度(五).默认的I E 搜索引擎被修改1 .破坏特性:将 I E 的默认微软搜索引擎更改。2.表现形式:搜索引擎被篡改。3 .清除方法:(1)手动修改注册表法:开始菜单一 运行一 re ge d it-确定,打开注册表编辑工具,第一,按如下顺序依次打开:H K E Y L O C AL M AC H I N E Softwa re M ic rosoft I nte rne tE xplore r Se a rc h分 支,找 到 Se a rc hAssista nt”键值名,在右面窗口点击 修改,即可对 其 键 值 进 行 输 入 为:.se a rc h,msn.c om/(SUB _ R F C 1 7 6 6 /src ha sst/src ha sst.htm,然 后 再 找 到“C ustomize Se a rc h”键值名,将其键值修改为:.se a rc h,msn.c om/SUB _ R F C 1 7 6 6)/src ha sst/src ha sst.htm,按 F 5 键刷新生效。http:/iehttp:/ie(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为re g的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。R E G E D I T4 H K E Y L O C AL _ M AC H I N E Softwa re M ic rosoft I nte rne tE xplore r Se a rc h“Se a rc hAssista nt=http:ie.se a rc h,msn.c om/SUB R F C 1 7 6 6 /src ha sst/src ha sst.htm”“C ustomize Se a rc h=http:/ie.se a rc h,msn.c om/SUB R F C 1 7 6 6 /src ha sst/src ha sst.htm”危害程度:一般(六).I E 标题栏被添加非法信息1 .破坏特性:通过修改注册表,使 I E 标题栏被强行添加宣传网站的广告信息。2.表 现 形 式:在 IE顶 端 蓝 色 标 题 栏 上 多 出 了 什 么“正 点 网,即 使 正 点 网!h t t p:w w w.z h e n gd i a n.c o n i “尾巴。3 .清除方法:(1)手动修改注册表法:开始菜单一 运行一 r e ge d i t-确定,打开注册表编辑工具,第一,按如下顺序依次打开:H KE Y_C URRE NT_USE R So f t w a r e Mi c r o s o f t In t e r n e tE x p l o r e r Ma i n 分支,找到“Wi n d o w Ti t l e”键值名,输入键值为Mi c r o s o f t In t e r n e t E x p l o r e r,按 F5刷新。第 二,按 如 下 顺 序 依 次 打 开:HKEY CURRENT MACHINESoftwareMicrosoftInternetExplorerMain 分支,找 到“WindowTitle”键值名,输入键值为Microsoft Internet Explorer,按 F5刷新生效。(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C 盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain“Window Title=Microsoft Internet Explorer”HKEY LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain“Window Title=Microsoft Internet Explorer”危害程度:般(七).OE标题栏被添加非法信息破坏特性:破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。清除方法:(1)手动修改注册表法:开始菜单一 运行一 regedit-确定,打开注册表编辑工具,按如下顺序依次打开:HKEY LOCAL USERSoftwareMicrosoftOutlook Express 分支,找到WindowTitle以及Store Root键值名,将其键值均设为空。按 F5键刷新生效。(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C 盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftOutlook ExpressWindowTitle=Store Root=危害程度:般(A).鼠标右键菜单被添加非法网站链接:1 .破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。2 .表现形式:添 加“网址之家”等诸如此类的链接信息。3 .清除方法:(1)手动修改注册表法:开始菜单一 运行一r e ge d i t-确定,打开注册表编 辑 工 具,按 如 下 顺 序 依 次 打 开:Il KE Y_C URRE NTUSE R So f t w a r e Po l i c i e s Mi c r o s o f t In t e r n e t E x p l o r e r Me n u E x t 分支,在左边窗口凡是属于非法链接的主键一律删除,按 F 5 键刷新生效。4 .危害程度:一般(九).鼠标右键弹出菜单功能被禁用失