瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 处理病毒过程中的一些常见问题答疑

1   1  /  1  页   跳转

[转载] 处理病毒过程中的一些常见问题答疑

处理病毒过程中的一些常见问题答疑

处理病毒过程中的一些常见问题

  发布此文是想让大家更多了解在杀毒过程中的一些不解与疑问,希望此文对让大家对杀毒过程中的问题有更多了解。
1. 为什么有些病毒清除不了(非运行中),只能隔离而不能清除?   
所谓的杀病毒,就防毒软件而言有两种情况   一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案),这就是所谓的清除;   一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒,这种状况就是采取的隔离措施。
  
2. 对于病毒清除后的残余文件,是否会随着病毒清除后自动删除?   
不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件,用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据,与通常的纯数据文件并没有什么差别,其本身并不具备执行的能力,因此并不会被检测,相应的该文件也不会被采取一些自动的措施进行处理。   

3. 为什么有时候其他软件认为一个文件是病毒,而你用的却认为不是病毒?   
各防病毒厂商在对病毒的认定标准上存在一些细小的差异,导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说,如果一个程序在执行时需要客户认可其最终用户许可协议,趋势科技即不将其检测为病毒,而其他厂家则可能会检测该程序为病毒。   

4. 当发现一个未知病毒时,防毒软件是怎么处理的?除了隔离还会怎么处理?

发现病毒时,防毒软件通常可以采取的措施有:   清除   隔离   删除   重命名   通过(即不做处置)   如果客户怀疑自己的系统中感染了未知病毒,可以请他将可疑文件压缩成zip文件,并且在压缩时使用密码virus,然后发送至病毒上报邮箱进行分析   

5. 病毒不断的被发现,那是不是我们的病毒码会不断的增大?    
就目前情况而言,随着新病毒的不断被发现,新的病毒特征将被添加病毒码中,我们的病毒码会继续增大。   
6. 病毒码更新,扫描引擎不更新的话,会不会继续中病毒?   

病毒码中包含的是病毒的具体特征,而扫描引擎就是使用这些特征对文件进行比对,以确定被扫描的文件是否为病毒。因此,理论上只要病毒码包含了相关病毒的特征,则该病毒即可被检测到。  

 
7. 对于被隔离的病毒文件如果是系统文件的话,客户要删除的话,怎么办?  
由于系统文件是操作系统的一部分,建议客户使用原始的操作系统安装盘恢复相应的文件。 

8. 对于隔离区的清除不了病毒的文件,是否可以等到新的解药出来后,清除文件中的病毒就可以了?   

清除不了病毒的文件可能有以下两种情况:该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施,因为文件中包含的只有病毒代码,不存在清除的问题。病毒在感染文件时采取了一些特殊的方法,对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是,并不排除随着防病毒软件的改进而可以清除的可能。  
 
9. 病毒常见的有多少种类?   

根据病毒的感染文件的类型,常见病毒有:宏病毒 脚本病毒 文件型病毒(感染可执行文件)  

 
10. 病毒发作有的有周期的,是否本机时间改掉就可以了?   
修改系统时间确实可以阻止一些周期性发作的病毒的发作,但是并不是绝对可行。有些病毒由于其触发机制的复杂性,修改系统时间并不能完全阻止其发作。  

11. 蠕虫病毒的特征和区别   
计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。   

12. 有客户说,在电脑上装个恢复盘,中毒后,马上就可以恢复。那么所谓恢复盘是什么    
恢复盘可能是客户采取的一些数据备份措施,当系统出现问题时,相对对系统的重新安装,使用之前的数据备份将系统还原是一种比较便捷的方式。   
13. 为什么现在有很多客户都说杀不掉木马程序   

造成这个问题可能是以下原因:在Windows操作系统下运行的程序,其执行的原始文件往往会处在一个受保护的状态,使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目,因此往往系统已启动木马已在系统中运行,造成防病毒软件无法对木马程序进行有效处理。   

14.哪些病毒有潜伏期的   

病毒是否具有潜伏期要视病毒的具体触发条件而定,只有那些触发条件是使用时间的病毒才具有潜伏期。   
15.不同的病毒生成的文件是什么样的   
要视病毒具体感染的文件类型而定,宏病毒通常会感染Word文档文件以及Excel电子数据表文件;脚本病毒通常会感染网页类型文件;文件型病毒通常感染可执行程序,如exe文件。   

16.感染病毒的具体表现,主要是哪些后缀名形式的,还有一些命名规则   

一般 病毒格式通常为  
  TYPE为病毒类型:   常见类型   WORM 蠕虫   TROJ 木马   BKDR 后门   
  PE 文件型     NAME为病毒名称   VARIANT为病毒某一变种  

 例如:WORM_KLEZ.H,该病毒为蠕虫类型,名称为KLEZ,变种   

17.各类病毒的传播方式   病毒的常见传播方式有:  
通过电子邮件   通过网络共享   通过点对点的文件共享软件   以U盘之类的介质

18. 几个破坏性强的病毒(eg: red code;nimuda;troj等)产生的时间,第一次出现时已什么名称出现?   

Codered最早发现于2001年7月   Nimda最早发现于2001年9月   


19. 比方说,我的机器突然运行速度缓慢或有时查看不到其他的客户端,过了几周之后有公布说这是病毒造成的后果,那请问一下在此之前,是否有什么办法可进行判断?   
如果怀疑系统中有未知的病毒,请将可疑文件压缩成zip文件,并且在压缩时使用密码virus,然后发送至至你所使用杀软件的上报邮箱进行分析   

20. 如果遇到病毒感染了系统文件怎么办?
如果删除了或者杀死病毒造成系统不稳定,但不想重新装系统,怎么解决?碰到这种情况,请记录相关的文件名称,并使用原始的操作系统安装盘进行相关文件的恢复   

21. 现在的杀毒软件全是WINDOWS平台的,特别是XP等操作系统,如果电脑自身感染了病毒,再装杀毒软件好象没有治根,有没有什么方法向过去比如在DOS平台下用软盘进行杀毒操作?
(因为现在大多都是NTFS分区或者是WIN2000,所以它根本不识别FAT FAT32的分区结构,也就是说没有了DOS ,那这样的情况如何解决)   对于硬盘分区使用NTFS的客户,如果一定要使用传统的用软盘引导的方式进行病毒的清除工作,可以借助第三方的在DOS下读取NTFS分区的工具进行操作。但推荐在Windows环境下使用Wsyscheck工具进行查杀病毒操作。 此工具易懂一般稍有电脑基础知识的用户都会使用,此工具也很少可以在百度上查找下载。 
 
22.何为邮件地址欺骗?
 
邮件地址欺骗指通过修改邮件头的方式,篡改发件人地址,以伪装电子邮件实际发送的地址。通常病毒等恶意程序会采用这一技术,修改发件人地址,以达到隐藏自己的目的。修改时使用的地址通常取自被感染系统的地址簿或是随机生成。所以有时候会发生这样的情况,用户B收到一封标明来自用户A的病毒邮件。于是用户B可能会通知用户A,说收到来自他的病毒邮件,但用户A在扫描整个系统后并没有发现病毒。事实这封病毒邮件的发件人地址经过了伪造,可能是用户C的系统中感染了病毒,然后利用其系统中记录的用户A的邮件地址进行了伪装。   例如求职信等病毒都会利用该种技术。
最后编辑梦幻の星oо 最后编辑于 2009-11-21 18:47:29
多抽出一分钟时间回帖,让你的卡卡生活更加精彩~
SREng工具http://bbs.ikaka.com/showtopic-8442813.aspx
分享到:
gototop
 

回复:处理病毒过程中的一些常见问题答疑

楼主辛苦了,学习了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT