計算機病毒是客觀存在的，客觀存在的事物總有它的特性，計算機病毒也不例外。從實質上說，計算機病毒是一段程序代碼，雖然它可能隱藏得很好，但也會留下許多痕跡。通過對這些蛛絲馬跡的判別，我們就能發現計算機病毒的存在了。

　　根據計算機病毒感染和發作的階段，可以將計算機病毒的表現現象分為三大類，即：計算機病毒發作前、發作時和發作后的表現現象。

　　計算機病毒發作前的表現現象

　　計算機病毒發作前，是指從計算機病毒感染計算機系統，潛伏在系統內開始，一直到激發條件滿足，計算機病毒發作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發現同時，又自我復制，以各種手段進行傳播。

　　以下是一些計算機病毒發作前常見的表現現象：

　　1、 平時運行正常的計算機突然經常性無緣無故地死機。 病毒感染了計算機系統后，將自身駐留在系統內并修改了中斷處理程序等，引起系統工作不穩定，造成死機現象發生。

　　2、操作系統無法正常啟動。 關機后再啟動，操作系統報告缺少必要的啟動文件，或啟動文件被破壞，系統無法啟動。這很可能是計算機病毒感染系統文件后使得文件結構發生變化，無法被操作系統加載、引導。

　　3、 運行速度明顯變慢。 在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統資源，并且自身的運行占用了大量的處理器時間，造成系統資源不足，運行變慢。

　　4、 以前能正常運行的軟件經常發生內存不足的錯誤。 某個以前能夠正常運行的程序，程序啟動的時候報系統內存不足，或者使用應用程序中的某個功能時報說內存不足。這可能是計算機病毒駐留后占用了系統量的內存空間，使得可用內存空間減校需要注意的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節，如果用"復制/粘貼"操作粘貼一段很大的文字到記事本程序時，也會報"內存不足，不能完成操作"的錯誤，但這不是計算機病毒在作怪。

　　5、 打印和通訊發生異常。 硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發現無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，比如調制解調器不撥號。這很可能是計算機病毒駐留內存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。

　　6、 無意中要求對軟盤進行寫操作。 沒有進行任何讀、寫軟盤的操作，操作系統提示軟驅中沒有插入軟盤，或者要求在讀娶復制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅中的時候引起的系統異常。需要注意的是有些編輯軟件需要在打開文件的時候創建一個臨時文件，也有的安裝程序(如Office 97)對軟盤有寫的操作。

　　7、 以前能正常運行的應用程序經常發生死機或者非法錯誤。 在硬件和操作系統沒有進行改動的情況下，以前能夠正常運行的應用程序產生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的?

　　8、 系統文件的時間、日期、大小發生變化。 這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。尤其是對那些系統文件，絕大多數情況下是不會修改它們的，除非是進行系統升級或打補叮對應用程序使用到的數據文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。

　　9、 運行Word，打開Word文檔后，該文件另存時只能以模板方式保存。 無法另存為一個DOC文檔，只能保存成模板文檔(DOT)。這往往是打開的Word文檔中感染了Word宏病毒的緣故。

　　10、 磁盤空間迅速減少。 沒有安裝新的應用程序，而系統可用的可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經常瀏覽網頁、回收站中的文件過多、臨時文件夾下的文件數量過多過大、計算機系統有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內存交換文件的增長，在Windows 95/98下內存交換文件會隨著應用程序運行的時間和進程的數量增加而增長，一般不會減少，而且同時運行的應用程序數量越多，內存交換文件就越大。

　　11、 網絡驅動器卷或共享目錄無法調用。 對于有讀權限的網絡驅動器卷、共享目錄等無法打開、瀏覽，或者對有寫權限的網絡驅動器卷、共享目錄等無法創建、修改文件。雖然目前還很少有純粹地針對網絡驅動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網絡驅動器卷和共享目錄的正常訪問。

　　12、 基本內存發生變化。 在DOS下用mem /c/p命令查看系統中內存使用狀況的時候可以發現基本內存總字節數比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統感染了引導型計算機病毒所造成的。

　　13、 陌生人發來的電子函件。 收到陌生人發來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產品介紹;垃圾電子函件的內容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節，多的有幾十兆甚至上百兆字節，而電子函件計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。

　　14、 自動鏈接到一些陌生的網站。 沒有在上網，計算機會自動撥號并連接到因特網上一個陌生的站點，或者在上網的時候發現網絡特別慢，存在陌生的網絡鏈接。這種聯接大多是黑客程序將收集到的計算機系統的信息"悄悄地"發回某個特定的網址，可以通過netstat命令查看當前建立的網絡鏈接，再比照訪問的網站來發現。需要注意的是有些網頁中有一些腳本程序會自動鏈接到一些網頁評比站點，或者是廣告站點，這時候也會有陌生的網絡鏈接出現。當然，這種情況也可以認為是非法的。 一般的系統故障是有別與計算機病毒感染的。系統故障大多只符合上面的一點或二點現象，而計算機病毒感染所出現的現象會多的多。根據上述幾點，就可以初步判斷計算機和網絡是否感染上了計算機病毒。

　　計算機病毒發作時的表現現象

　　1、 提示一些不相干的話。 最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發作條件的話，它就會彈出對話框顯示"這個世界太黑暗了!"，并且要求你輸入"太正確了"后按確定按鈕。

　　2、發出一段的音樂。 惡作劇式的計算機病毒，最著名的是外國的"楊基"計算機病毒(Yangkee)和中國的"瀏陽河"計算機病毒。"楊基"計算機病毒發作是利用計算機內置的揚聲器演奏《楊基》音樂，而"瀏陽河"計算機病毒更絕，當系統時鐘為9月9日時演奏歌曲《瀏陽河》，而當系統時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于"良性"計算機病毒，只是在發作時發出音樂和占用處理器資源。

　　3、 產生特定的圖象。 另一類惡作劇式的計算機病毒，比如小球計算機病毒，發作時會從屏幕上方不斷掉落下來小球圖形。單純地產生圖象的計算機病毒大多也是"良性"計算機病毒，只是在發作時破壞用戶的顯示界面，干擾用戶的正常工作。

　　4、 硬盤燈不斷閃爍。 硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候對某個硬盤扇區或文件反復讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發作的時候對硬盤進行格式化，或者寫入許多垃圾文件，或反復讀取某個文件，致使硬盤上的數據遭到損失。具有這類發作現象的計算機病毒大多是"惡性"計算機病毒。

　　5、 進行游戲算法。 有些惡作劇式的計算機病毒發作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續他的工作。比如曾經流行一時的"中國臺灣一號"宏病毒，在系統日期為13日時發作，彈出對話框，要求用戶做算術題。這類計算機病毒一般是屬于"良性"計算機病毒，但也有那種用戶輸了后進行破壞的"惡性"計算機病毒。

　　6、 Windows桌面圖標發生變化。 這一般也是惡作劇式的計算機病毒發作時的表現現象。把Windows缺省的圖標改成其他樣式的圖標，或者將其他應用程序、快捷方式的圖標改成Windows缺省圖標樣式，起到迷惑用戶的作用。

　　7、 計算機突然死機或重啟。 有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發作時會造成意想不到情況;或者是計算機病毒在Autoexec.bat文件中添加了一句：Format c：之類的語句，需要系統重啟后才能實施破壞的。

　　8、 自動發送電子函件。 大多數電子函件計算機病毒都采用自動發送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務器發送大量無用的信件，以達到阻塞該郵件服務器的正常服務功能。

　　9、鼠標自己在動。 沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，而屏幕上的鼠標自己在動，應用程序自己在運行，有受遙控的現象。大多數情況下是計算機系統受到了黑客程序的控制，從廣義上說這也是計算機病毒發作的一種現象。 需要指出的是，有些是計算機病毒發作的明顯現象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。有些現象則很難直接判定是計算機病毒的表現現象，比如硬盤燈不斷閃爍，當同時運行多個內存占用大的應用程序，比如3D MAX，Adobe Premiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍。

　　計算機病毒發作后的表現現象

　　大多數計算機病毒都是屬于"惡性"計算機病毒。"惡性"計算機病毒發作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發作后所造成的后果：

　　1、硬盤無法啟動，數據丟失 計算機病毒破壞了硬盤的引導扇區后，就無法從硬盤啟動計算機系統了。有些計算機病毒修改了硬盤的關鍵內容(如文件分配表，根目錄區等)，使得原先保存在硬盤上的數據幾乎完全丟失。

　　2、系統文件丟失或被破壞 通常系統文件是不會被刪除或修改的，除非對計算機操作系統進行了升級。但是某些計算機病毒發作時刪除了系統文件，或者破壞了系統文件，使得以后無法法正常啟動計算機系統.通常容易受攻擊的系統文件Command.com，Emm386.exe，Win.com，Kernel.exe，User.exe等等。

　　3、文件目錄發生混亂 目錄發生混亂有兩種情況。一種就是確實將目錄結構破壞，將目錄扇區作為普通扇區，填寫一些無意義的數據，再也無法恢復。另一種情況將真正的目錄區轉移到硬盤的其他扇區中，只要內存中存在有該計算機病毒，它能夠將正確的目錄扇區讀出，并在應用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區。這種破壞還是能夠被恢復的。

　　4、部分文檔丟失或被破壞 類似系統文件的丟失或被破壞，有些計算機病毒在發作時會刪除或破壞硬盤上的文檔，造成數據丟失。

　　5、部分文檔自動加密碼 還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內或其他隱蔽的地方，而被感染的文件被加密，如果內存中駐留有這種計算機病毒，那么在系統訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復了。

　　6、修改Autoexec.bat文件，增加Format C：一項，導致計算機重新啟動時格式化硬盤。 在計算機系統穩定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統的目的。

　　7、使部分可軟件升級主板的BIOS程序混亂，主板被破壞。 類似CIH計算機病毒發作后的現象，系統主板上的BIOS被計算機病毒改寫、破壞，使得系統主板無法正常工作，從而使計算機系統報廢。

　　8、網絡癱瘓，無法提供正常的服務。 由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統時要立即報警并清除，這樣才能確保系統安全，待計算機病毒發作后再去殺毒，實際上已經為時已晚。