電腦病毒為什么殺不掉

電腦病毒為什么殺不掉

　　有時候會出現這樣的現象，病毒軟件報告殺掉了某某病毒，可是重新啟動后該病毒仍舊存在，無法殺死。下面就讓學習啦小編給大家說說電腦病毒為什么殺不掉吧。

　　電腦病毒殺不掉的原因

　　病毒正在運行。由于Windows保護正在運行的程序，所以殺毒軟件是無法殺掉正在運行的病毒。即使是真的殺掉了病毒，電腦正常關機時內存中活動的病毒還會再復制一個病毒到硬盤上。

　　病毒隱藏在系統還原的文件夾“_restore”中。

　　那么，我們該怎么樣來處理這種問題呢?下面是筆者為大家列出的幾條建議：

　　1.在Windows中殺毒前首先得中止病毒進程。對于WindowsXp/2000，可以使用任務管理器(Ctrl+Alt+Del三鍵齊按)來查看當前所有的進程，而對于Windows98/Me，則可以使用“黑客入門工具箱”或ATM來查看進程。確定哪個是來歷不明的就停止掉或者看哪個不順眼就停止哪個，該過程俗稱“殺進程”。

　　不要怕出錯，因為不會對電腦造成任何損壞，最多就是死機。注意，殺進程的操作有時得進行兩次才成功。有的病毒有兩個進程，互相保護，殺掉一個則會被另一個發現并恢復。此時應先把該病毒在注冊表中的啟動項去掉，然后用突然斷電的方式重啟電腦，再殺毒。

　　2.在Windows中使用專殺工具殺毒。得使用最新的殺毒版本。

　　禁用系統還原。在WindowsMe中禁用方法是∶鼠標右鍵點擊“我的電腦”-屬性-性能-文件系統-疑難解答-禁止系統還原。在WindowsXP中禁用方法是∶控制面板-系統-系統屬性-系統還原-在所有驅動器上關閉系統還原。然后用軟盤或U盤啟動電腦，在dos下刪除_RESTORE文件夾。

　　在Dos下殺毒不存在殺不掉的問題。一般的殺毒軟件都可以制作軟盤版(含至少3張軟盤)，用第一張盤啟動(CMOS中必須設定軟盤啟動在前)后按提示陸續放入其它盤就可以直接殺毒了。瑞星的軟盤版需要用鼠標確定殺毒的驅動器，而金山毒霸的軟盤版則默認全機查殺。

　　實際上用金山毒霸在DOS下殺毒還可以更簡單，用普通軟盤啟動盤或U盤啟動盤啟動電腦后，先換到C盤，然后進入金山毒霸的目錄(命令:cd kav或cd kav5，與版本有關)，然后輸入KAVDX，回車就開始殺毒了。

　　補充操作。病毒殺掉后還應該修復注冊表，只有將注冊表修復以后，才算是徹底刪除了病毒。

　　電腦病毒查殺方法

　　一般對硬盤進行病毒檢測時，要求內存中不帶病毒,因為某些電腦病毒會向檢測者報告假情況。例如“4096”病毒在內存中時，查看被它感染的文件，不會發現該文件的長度已發生變化，而當在內存中沒有病毒時,才會發現文件長度已經增lk了4096字節;又例如，“DIR2”病毒在內存中，用Debug程序查看被感染文件時，根本看不到“DIR2”病毒的代碼，很多檢測程序因此而漏過了被感染的文件;還有引導區型的“巴基斯坦智囊”病毒，當它活躍在內存中時，檢查引導區就看不到病毒程序而只看到正常的引導扇區。因此，只有在要求確認某種病毒的類型和對其進行分析、研究時，才能在內存中帶毒的情況下作檢測工作。

　　從原始的、未受病毒感染的DOS系統軟盤啟動，可以保證內存中不帶病毒。啟動必須是上電啟動而不是按鍵盤上的“Alt+Ctrl+Del”三鍵的那種熱啟動，因為某些病毒可以通過截取鍵盤中斷，將自己駐留在內存中。檢測硬盤中的病毒，啟動系統軟盤的DOS版本號應該等于或高于硬盤內DOS系統的版本號。如果硬盤上使用了硬盤管理軟件DM、ADM，硬盤壓縮存儲管理軟件Stacker、DoubleSpace等，啟動系統軟盤時應把這些軟件的驅動程序包括在軟盤上,并把它們寫入config.sys文件中，否則用系統軟盤引導啟動后，將不能訪問硬盤上的所有分區，使躲藏在其中的病毒逃過檢查。

　　檢測硬盤中的病毒可分成檢測引導區型病毒和檢測文件型病毒。這兩種檢測的原理上相同，但由于病毒的存儲方式不同，檢測方法還是有差別的。主要是基于下列四種方法:比較被檢測對象與原始備份的比較法;利用病毒特征代碼串進行查找的搜索法;搜索病毒體內特定位置的特征字識別法;運用反匯編技術分析被檢測對象，確證是否為病毒的分析法。

　　比較法

　　這是用原始備份與被檢測的引導扇區或被檢測的文件進行比較的方法，可以用打印的代碼清單(比如Debug的D命令輸出格式)進行比較，也可用程序來進行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。比較法不需要專用的查病毒程序，只要用常規DOS軟件和PCTOOLS等工具軟件就可以進行，而且還可以發現那些尚不能被現有的殺毒軟件發現的計算機病毒。因為病毒傳播得很快，新病毒層出不窮，而目前還沒有能查出一切病毒的通用程序，或通過代碼分析，可以判定某個程序中是否含有病毒的查毒程序，所以只有靠比較法和分析法，或這兩種方法相結合來發現新病毒。

　　對硬盤的主引導區或對DOS的引導扇區作檢查，用比較法能發現其中的程序源代碼是否發生了變化。由于要進行比較，因此保留好原始備份是非常重要的。制作備份時必須在無電腦病毒的環境里進行，制作好的備份必須妥善保管，寫好標簽，貼好寫保護。比較法的好處是簡單、方便，不用專用軟件;缺點是無法確認病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是電腦病毒造成的，還是DOS數據被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質，以此來確認是否存在病毒。

　　搜索法

　　這種方法主要是對每一種病毒含有的特定字符串進行掃描，如果在被檢測對象內部發現了某一種特定字節串，就表明發現了該字節串所代表的病毒。國外稱這種按搜索法工作的病毒掃描軟件為“Scanner”。這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫,含有經過特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫進行掃描的掃描程序，病毒掃描程序能識別的電腦病毒的數目完全取決于病毒代碼庫內所含病毒種類的多少。病毒代碼串的選擇是非常重要的，短小的病毒代碼只有一百多個字節，長的也只有10KB字節。一定要在仔細分析程序之后選出最具代表特性的，足以將該病毒區別于其它病毒和該病毒的其它變種的代碼串。一般情況下,代碼串是由連續若干個字節組成的，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節。掃描軟件遇到這種串時，只要除“模糊”字節之外的字串都能完好匹配，就也能夠判別出病毒。另外，特征串還必須能將病毒與正常的非病毒程序區，不然就會出現“假報、誤報”。

　　分析法

　　這種方法一方面可以確認被觀察的磁盤引導區和程序中是否含有病毒，另一方面可以辨認病毒的類型和種類，判定是否為一種新病毒，另外還可以搞清楚病毒體的大致結構，提取用于特征識別的字節串或特征字，增添到病毒代碼庫中供病毒掃描和識別程序使用。同時，詳細地分析病毒代碼，還有助于制定相應的反病毒方案。與前三種檢測病毒的方法不同，使用分析法檢測病毒，除了要具有相關的知識外，還需要使用Debug、Proview等分析工具程序和專用的試驗用計算機。因為即使是很精通病毒的技術人員，使用性能完善的分析軟件，也不能完全保證在短時間內將病毒代碼分析清楚;而病毒則有可能在被分析階段繼續傳染甚至發作，把軟盤、硬盤內的數據完全毀壞掉，所以分析工作必須在專門的試驗用PC機上進行，不怕其中的數據被破壞。不具備必要的條件，不要輕易開始分析工作。很多電腦病毒采用了自加密、抗跟蹤等技術，使得分析病毒的工作經常是冗長枯燥的。特別是某些文件型病毒的源代碼可達10KB以上，與系統的牽扯層次很深，使詳細的剖析工作十分復雜。病毒檢測的分析法是反病毒工作中不可或缺的重要技術，任何一個性能優良的反病毒系統的研制和開發都離不開專門人員對各種病毒詳盡、認真的分析。

　　分析法分為靜態和動態兩種。靜態分析是指利用Debug等反匯編程序將病毒代碼打印成反匯編后的程序清單進行分析，看病毒分成哪些模塊，使用了哪些系統調用，采用了哪些技巧，如何將病毒感染文件的過程翻轉為清除病毒、修復文件的過程，哪些代碼可被用做特征碼以及如何防御這種病毒等等。分析人員的素質越高，分析過程就越快，理解也就越深;動態分析則是指利用Debug等程序調試工具在內存帶毒的情況下，對病毒作動態跟蹤，觀察病毒的具體工作過程，以進一步在靜態分析的基礎上理解病毒工作的原理。在病毒編碼比較簡單的情況下，動態分析不是必須的。但是，當病毒采用了較多的技術手段時，就必須使用動、靜相結合的分析方法才能完成整個分析過程。

　　綜上所述，利用原始備份和被檢測程序相比較的方法適合于不用專用軟件，可以發現異常情況的場合，是一種簡單、基本的病毒檢測方法;掃描特征串和識別特性字的方法更適用于廣大PC機用戶使用，方便而又迅速;但對新出現的病毒會出現漏檢的情況，須要與分析和比較法結合使用。

電腦病毒為什么殺不掉相關文章：

1.電腦中了病毒殺不掉怎么辦

2.電腦病毒殺不掉的原因都有哪些

3.電腦病毒殺不完怎么辦

4.電腦木馬殺不掉怎么辦

5.電腦病毒殺不干凈怎么辦