识别病毒文件的四个好方法当我们使用杀毒软件查杀病毒时,往往会检测出很多‘病毒’。很多朋友抱着‘误杀一堆,绝不放过一个’的态度,把检测到的‘病毒’全部删除。实际上,删除所有文件是不可取的。一些受感染的系统文件无法删除。在此,笔者介绍几种识别病毒文件的方法,希望对大家有所帮助。
首先,文件时间
如果你觉得你的电脑有问题,用杀毒软件检查后,没有任何反映或者清除了部分病毒后,还是感觉不对。您可以根据文件时间检查可疑对象。
文件的时间分为创建时间和修改时间(也有访问时间,不用管这个),从文件的属性就能看出来。单击文件,右键单击并选择菜单中的属性,以在“常规”页面上查看这些时间。
通常病毒和木马文件的创建时间和修改时间都比较新。如果发现的早的话,基本都是最近几天或者当天。C:/windows和c:/windows/system32,有时c:/windows/system32/drivers。如果是2000系统,把上面的windows改成winnt。这些地方都是病毒木马经常停留的地方,按时间顺序排列(查看-详情,然后点击标题栏上的'修改时间')。检查最近几天的文件,特别注意exe和dll文件,有时还有dat、ini和cfg文件。不过后面这些正常文件也有比较新的修改时间。如果不能确认,先放一边,重点看exe和dll。反正最后三个文件都不是可执行文件。一般来说,系统文件,尤其是exe和dll,不会有这么新的修改时间。
当然,其他更新或安装的应用软件可能会有新的修改时间,可以再查看一下创建时间。另外,你应该知道你什么时候安装了什么软件。我真的不知道怎么用搜索功能。在整个硬盘上查找相关时间,看有没有建立文件夹,看有没有安装应用软件。只要时间吻合,就很正常。如果都不匹配,那就是病毒。删除它。
注意,就像不是所有最新的文件都是病毒一样,也不代表所有病毒的时间都是最新的,有些病毒文件的日期和时间甚至会显示为几年前。
当然,我们还有其他的区分方式。
第二,文件名
文件名是第一印象,通过文件名初步判断是否可疑是最直接的方法。之所以放在时间判断的后面,是因为从大量的卷宗中整理出可疑分子太难了,按时间排序更方便。
我们常说的随机字母(有时是数字,少一些)是文件名的组合,病毒最喜欢用。(发现一些正常的软件也有使用这种奇怪组合的习惯,比如雅虎上网助手。每次文件名都不一样,动机可疑,某猫的驱动好像是随机组合的,幸好有厂商信息帮助分辨。接下来就说这一点。)
还有就是文件名的长度,有些严重超过了8位文件名的标准,文件多达10个,应该列为可疑对象,尤其是在IE插件中。
当然,说到文件名的奇奇怪怪的随机组合,似乎也没有什么标准。不熟悉计算机的人可能会认为所有的英文文件名都是奇怪的、没有意义的排列。所以确实需要通过文件名来判断,或者对系统文件夹下的文件和常规文件有一定的了解,才能有更好的把握。初步结合以上时间和其他手段一起判断,还是能有所发现的。
还有一种是伪造正常文件和系统文件的文件名,很容易识别。例如,svchost.exe和svch0st.exe,很明显,后者是在作伪前者。这种碎玻璃比较容易暴露,前提是你熟悉系统的文件名。如果有事,打开任务管理器学习。
与文件名相对应,还有服务名、驱动程序名和注册表启动项名。相对来说,如果这些物品的名称没有表现出某种含义,那就真的是病毒了。很少有厂商会不负责任的给自己软件要用的服务、驱动、启动项命名,随便组合。如果服务、驱动程序和启动密钥名称有问题,那么下面使用的文件肯定有问题。
我真的不确定。放文件名(有时候包括完整的文件路径,但是不同路径下的同名文件是不一样的。这个后面再说),服务名,驱动名,启动项在网上搜一下,看看别人怎么说,特别是那些找不到的,和服务,驱动,启动项文件名不匹配的(就像一个服务名在网上被发现有不同的文件与之对应,反之亦然)。
三。版本信息
查档案的时间有不确定性。增加一个检查项文件版本,也在文件属性中查看,包括文件版本、供应商信息等。首先明确一点,不是所有的文件都有版本信息,不是所有没有版本信息的文件都是病毒文件,也不是所有显示微软信息的文件都真的是微软的。
文件名,文件时间,然后文件版本,基本可以得到一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者应该是正常的系统文件(如explorer.exe或userinit.exe)但没有版本信息,可能被病毒替换或破坏;还有soundman.exe的厂家信息原来是1,可以删除。应该不是声卡程序。
版本信息中除了厂商,还有原始文件名。有时您会发现这里有一个不同于检查文件的名称。真的很独特。
四。位置
木马喜欢呆在系统文件夹里,比如windows,windows/system32,windows/system32/drivers,有c:/program files/internet explorer/c:/program files/internet explorer/plugin,c:/program files/common files/miscrosoft shared,临时文件夹和IE缓存。
首先必须清除临时文件夹c:/documents and settings/your username/local settings/temp和c:/windows/temp,可以大胆删除。不管它们是好是坏,IE缓存都必须清除。不用直接删除,可以从IE的菜单工具-互联网选项,删除文件-删除所有离线文件进入。最好在高级关闭浏览器时自动清除临时文件。
其他文件夹主要看有没有不应该存在的文件,比如windows文件夹里的瑞星(卡卡的在那里)和realplayer的文件,绝对可疑,比如svchost.exe和ctfmon.exe,突然出现在windows或者其他文件夹里,而不是出现在应该在的system32里,也可以认定为病毒。当然也可以结合以上方法来判断。有时候要看经验。相对来说,文件少的文件夹更容易判断,也容易发现哪些是多余的,比如windows和ie文件夹。看多了就知道了,基本就是那些。如果你多了一两个exe或者dll,马上就能找到(很多* *软件都会在这里)。
还有注册表启动项的组合。一般windws引用的启动项不多,基本都是输入法和声卡管理,更多的是可疑。如果参考system32,肯定看不出来。老办法,上网查文件名。如果发现启动项指向字体文件夹,就不要想了。一定有什么不对劲。
司机也是如此。不在system32或driver中的要多检查(自然低于它们的也要检查,更别说没有了)。
除了文件夹位置,还有注册表位置。除了RUN的几个启动项,还有图像劫持(IFEO)要检查。注意debugger的所有值,除了这里最后一个没有路径的图像文件名有debugger=ntsd -d,其他什么都没有。只要找到就会被劫持(免疫的除外,免疫的是把已知的病毒程序名劫持到一个不存在的文件让它无法运行),然后寻找被劫持的文件,也就是调试器背后的文件,找到后连同注册表项一起删除。不过注意,现在的一些劫持使用的是系统文件或命令,而不是病毒文件,比如svchost.exe或ntsd -d,所以不要删除文件,只删除注册表项。
还要注意注册表项appinit _ dlls一般为null(除了卡卡的一个文件会放在这里)。如果额外的值是一个病毒,通过名字找到它并删除它。另一个是userinit,一般是空的。如果修改很多东西,要检查一下是否正常。
建议使用SREng检查,比较方便,会自动提示上述修改。
结论:
说真的,从一堆英文名字中找出可疑的文件名真的很难。综合运用各种方法,配合工具软件分类展示,不失为一条捷径。例如,SREng,列出服务驱动程序,当名称、文件和路径被放置时,这是很明显的。有些名字是潦草的,对比后面的文件名就清楚了。有些细心的会伪装成系统服务名,但是和正常的相比,联网是不必要的。也可以找出问题(微软服务隐藏后非微软服务暴露。如果给出了系统服务名或接近系统服务的名称,那肯定是有问题,要么是正常服务被更改,要么是李鬼被添加)。
