識别病毒文件 四個好方法 我們在使用殺毒軟件殺毒的(de)時候,常常會檢測出很多“病毒”,許多朋(péng)友抱着“甯可(kě)錯殺一(yī)堆,絕不放過一(yī)個”的(de)态度,将檢測出的(de)“病毒”全部删掉。其實全删是不可(kě)取的(de),有的(de)是被感染的(de)系統文件,是不能删的(de)。筆(bǐ)者在這裏介紹幾個識别病毒文件的(de)方法,希望對大家有所幫助。
一(yī)、文件時間
如(rú)果你覺得電腦不對勁,用殺毒軟件檢查後,沒什麽反映或清除一(yī)部分病毒後還是覺得不對勁,可(kě)以根據文件時間檢查可(kě)疑對象。
文件時間分為(wèi)創建時間、修改時間(還有一(yī)個訪問時間,不用管),可(kě)以從文件的(de)屬性中看到,點選文件,右擊,選擇菜單中的(de)屬性就可(kě)以在“常規”那頁看到這些時間了。
通常病毒、木馬文件的(de)創建時間和(hé)修改時間都比較新,如(rú)果你發現的(de)早,基本就是近幾日或當天。c:/windows和(hé)c:/windows/system32,有時還有c:/windows/system32/drivers,如(rú)果是2000系統,就把上面的(de)windows改成winnt,這些地(dì)方都是病毒木馬常呆的(de)地(dì)方,按時間排下序(查看-詳細資料,再點下标題欄上的(de)“修改時間”),查看下最新幾日的(de)文件,特别注意exe和(hé)dll文件,有時還有dat、ini、cfg文件,不過後面這些正常的(de)文件也有比較新的(de)修改時間,不能确認就先放一(yī)邊,重點找exe和(hé)dll,反正後三個也不是執行文件。一(yī)般來說系統文件特别是exe和(hé)dll)不會有如(rú)此新的(de)修改時間。
當然更新或安裝的(de)其它應用軟件可(kě)能會有新的(de)修改時間,可(kě)以再對照下創建時間,另外自(zì)己什麽時間有沒裝過什麽軟件應該知道(dào),實在不知道(dào)用搜索功能,在全硬盤上找找相關時間有沒建立什麽文件夾,看看是不是安裝的(de)應用軟件,隻要時間對得上就是正常的(de)。如(rú)果都不符合,就是病毒了,删除。
說明一(yī)點,正如(rú)不是所有最新的(de)文件都是病毒一(yī)樣,也不是說所有病毒的(de)時間都是最新的(de),有的(de)病毒文件的(de)日期時間甚至會顯示是幾年(nián)前。
當然我們還有其他的(de)分辨方法。
二、文件名
文件名是第一(yī)眼印象,通過文件名來初步判斷是否可(kě)疑是最直接的(de)方法,之所以放在時間判斷後面,實在是從一(yī)大堆文件中分揀可(kě)疑分子(zǐ)太難了,還是用時間排下序方便些。
我們常說的(de)随機字母(有時還有數字,較少)組合的(de)文件名,病毒最愛用它(曾經發現某些正常軟件也有使用這種奇怪組合的(de)習慣,比如(rú)雅虎上網助手,每次文件名都不一(yī)樣,動機可(kě)疑,還有某貓的(de)驅動程序也看似随機組合,不過幸好有廠商信息可(kě)以協助分辨,這個下一(yī)點再說)。
還有文件名的(de)長(cháng)度,有的(de)嚴重超出8位文件名的(de)标準,有10幾位之多,這都應列為(wèi)可(kě)疑對象,尤其是IE插件中有這些的(de)文件名出現。
當然光說文件名古怪、随機組合,似乎沒有一(yī)個标準,不熟悉電腦的(de)人看所有的(de)英文文件名都可(kě)能認為(wèi)是奇怪的(de)、無意義的(de)排列組合,所以真要依靠文件名判斷,還是要對系統文件夾下的(de)文件、常規文件有一(yī)定了解後才能比較好的(de)掌握。初步來說,結合上面的(de)時間還有其它手段共同判斷,還是可(kě)以發現點東西的(de)。
還有一(yī)種就是假冒正常文件、系統文件的(de)文件名,這倒比較好識别,比如(rú) svchost.exe和(hé)svch0st.exe,很明顯後者在假冒前者,這種欲蓋彌彰倒更容易暴露,前提是你對系統文件名比較熟悉,有事沒事打開任務管理(lǐ)器學(xué)習一(yī)下吧(ba)。
對應于文件名,還有服務名、驅動名、注冊表啓動項名,相對而言,這些項目的(de)名字如(rú)果沒有表示出一(yī)定含義,倒真是病毒了,還沒幾個廠商會不負責任地(dì)給自(zì)己的(de)軟件要用到的(de)服務、驅動、啓動項起個無意義、随便組合的(de)名字,如(rú)果服務、驅動、啓動項名是有問題的(de),那麽下面使用的(de)文件一(yī)定是有問題的(de)。
實在沒把握,把文件名(有時要包括完整文件路徑,不同路徑下的(de)同名文件可(kě)不一(yī)樣,這個以後說)、服務名、驅動名、啓動項名放到網上搜索一(yī)下,看看别人怎麽說的(de),特别是對查不到的(de)、還有服務、驅動、啓動項與文件名對不上的(de)(如(rú)同一(yī)服務名在網上查出有不同文件與之對應,或相反情況),都可(kě)以列為(wèi)可(kě)疑對象。
三、版本信息
檢查文件時間有不确定性,再加一(yī)個檢查項目文件版本,也是在文件的(de)屬性中查看,有文件版本、廠商信息等。首先明确一(yī)下,不是所有文件都有版本信息,也不是所有無版本信息的(de)文件都是病毒文件,更不是所有顯示微軟信息的(de)文件都真是微軟的(de)。
文件名、文件時間,再對上文件版本,基本可(kě)以得出一(yī)個結果,比如(rú)一(yī)個奇怪的(de)文件名,顯示微軟的(de)廠商信息,明顯可(kě)疑;或者本來應該是正常的(de)系統文件(如(rú)explorer.exe或userinit.exe)卻沒有版本信息,可(kě)能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是1,可(kě)以考慮删除了,應該不是聲卡的(de)程序了。
版本信息中除了廠商以外,還有原文件名,有時你會在這裏發現一(yī)個與檢查文件不同的(de)名字,真是别有天地(dì)。
四、位置
病毒木馬喜歡呆的(de)地(dì)方是系統文件夾,windows、windows/system32、windows/system32/drivers,還有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,還有就是臨時文件夾、IE緩存
首先臨時文件夾c:/documents and settings/你的(de)用戶名/local settings/temp和(hé)c:/windows/temp是一(yī)定要清的(de),而且可(kě)以大膽地(dì)删除,不管好壞,删了沒事,IE緩存也要清的(de),不是直接進文件夾删除,而從IE的(de)菜單工具-internet選項進入,删除文件-删除所有脫機文件,最好在高(gāo)級那設成關閉浏覽器時自(zì)動清空臨時文件,就省事了。
其它文件夾,主要看是否有不該存在的(de)文件存在,比如(rú)windows文件夾中多了什麽瑞星的(de)文件(卡卡的(de)倒是有在那)、realplayer的(de)文件,絕對可(kě)疑,還有比如(rú)svchost.exe、ctfmon.exe突然出現在windows或其它文件夾中,而不是在它們應該在的(de)system32中,也可(kě)以确定是病毒。當然可(kě)以結合上面的(de)幾個方法一(yī)起判斷。有的(de)時候是得靠經驗,相對而言文件比較少的(de)文件夾比較好判斷,多出什麽很容易發覺,比如(rú)windows、ie文件夾,多看看,就知道(dào)基本就是那些,多一(yī)兩個exe或dll,馬上可(kě)以發現(很多**軟件是會在這裏安身)。
還有就是結合注冊表啓動項,一(yī)般啓動項引用到windws中的(de)不多,基本是輸入法、聲卡管理(lǐ),更多的(de)就可(kě)疑了,指到system32下的(de)了多看兩眼,實在拿不準,老辦法,到網上查文件名。如(rú)果發現啓動項指向font字體文件夾的(de),那不用想了,一(yī)定有問題。
服務驅動也是如(rú)此,不是在system32或driver中的(de)就要多檢查下(自(zì)然在它們下面的(de)也要檢查,何況不在)。
除了文件夾位置,還有注冊表位置,除了幾個RUN的(de)啓動項,還有映像劫持(IFEO)要檢查,值有window的(de)都要注意一(yī)下,除了最後一(yī)個your image file name here without a path有個window=ntsd -d,其它的(de)是都沒有的(de),隻要有發現就是被劫持(免疫的(de)除外,免疫是把已知病毒程序名劫持到不存在的(de)文件上,使其不能運行),然後就找劫持文件,就是window後面的(de)文件,找到後連同注冊表項一(yī)起删除。但注意,現在的(de)劫持有的(de)用的(de)不是病毒文件,是系統文件或命令,比如(rú)svchost.exe或ntsd -d,這就不要删除文件了,隻要把注冊表項删除。
還有要注意的(de)注冊表項有appinit_dlls,一(yī)般為(wèi)空值(例外,卡卡的(de)一(yī)個文件會放這),如(rú)果多出值就是病毒,按名字找到删除。還有一(yī)個就是userinit,一(yī)般也是空的(de),多東西修改就要查查是否正常。
推薦用SREng來檢查,比較方便,也會自(zì)動提示以上修改。
結語:
說真的(de),真要從一(yī)堆英文名中找出可(kě)疑的(de)文件名挺難的(de),綜合使用各個方法,配合工具軟件分類顯示才是捷徑,比如(rú)SREng,把服務驅動列出來,名字、文件、路徑一(yī)擺,就很明顯了,有的(de)名字就是亂寫的(de),對照後面的(de)文件名就很清楚了,有的(de)細心的(de)會冒充系統服務名,不過與正常的(de)一(yī)對比,連網也不用上,也可(kě)以找出問題(隐藏微軟服務後非微軟的(de)服務就露出來了,如(rú)果還頂個系統服務名或接近系統服務的(de)名字,就一(yī)定有問題,不是把正常服務改了,就是額外加進來的(de)李鬼)。
