大家在使用殺毒軟件殺毒的時候����,常常會檢測出很多病毒�����,許多朋友抱著寧可錯殺一堆,絕不放過一個的態(tài)
度���,將檢測出的病毒全部刪掉�����。其實全刪是不可取的,有的是被感染的系統(tǒng)文件,是不能刪的���。筆者在這里介紹
幾個識別病毒文件的方法�,希望對大家有所幫助。
一、文件時間
如果你覺得電腦不對勁���,用殺毒軟件檢查后��,沒什么反映或清除一部分病毒后還是覺得不對勁�,可以根據(jù)文件時
間檢查可疑對象�。
文件時間分為創(chuàng)建時間���、修改時間(還有一個訪問時間����,不用管)�,可以從文件的屬性中看到����,點選文件,右擊
���,選擇菜單中的屬性就可以在常規(guī)那頁看到這些時間了�����。
通常病毒���、木馬文件的創(chuàng)建時間和修改時間都比較新,如果你發(fā)現(xiàn)的早�,基本就是近幾日或當天。c:/windows和
c:/windows/system32���,有時還有c:/windows/system32/drivers����,如果是2000系統(tǒng)����,就把上面的windows改成winnt,
這些地方都是病毒木馬常呆的地方�����,按時間排下序(查看-詳細資料�����,再點下標題欄上的修改時間)�����,查看下最新
幾日的文件�,特別注意exe和dll文件,有時還有dat��、ini�����、cfg文件���,不過后面這些正常的文件也有比較新的修改時間
����,不能確認就先放一邊,重點找exe和dll��,反正后三個也不是執(zhí)行文件�����。一般來說系統(tǒng)文件特別是exe和dll)不會有
如此新的修改時間����。
當然更新或安裝的其它應(yīng)用軟件可能會有新的修改時間,可以再對照下創(chuàng)建時間����,另外自己什么時間有沒裝過什
么軟件應(yīng)該知道,實在不知道用搜索功能�����,在全硬盤上找找相關(guān)時間有沒建立什么文件夾��,看看是不是安裝的應(yīng)用軟
件���,只要時間對得上就是正常的���。如果都不符合�,就是病毒了�����,刪除���。
說明一點,正如不是所有最新的文件都是病毒一樣��,也不是說所有病毒的時間都是最新的�����,有的病毒文件的日期
時間甚至會顯示是幾年前���。
當然我們還有其他的分辨方法���。
二、文件名
文件名是第一眼印象���,通過文件名來初步判斷是否可疑是最直接的方法���,之所以放在時間判斷后面�,實在是從一
大堆文件中分揀可疑分子太難了����,還是用時間排下序方便些。
我們常說的隨機字母(有時還有數(shù)字����,較少)組合的文件名,病毒最愛用它(曾經(jīng)發(fā)現(xiàn)某些正常軟件也有使用這
種奇怪組合的習慣��,比如雅虎上網(wǎng)助手���,每次文件名都不一樣��,動機可疑��,還有某貓的驅(qū)動程序也看似隨機組合�,不
過幸好有廠商信息可以協(xié)助分辨�,這個下一點再說)。
還有文件名的長度���,有的嚴重超出8位文件名的標準����,有10幾位之多,這都應(yīng)列為可疑對象���,尤其是IE插件中有這
些的文件名出現(xiàn)�����。
當然光說文件名古怪、隨機組合����,似乎沒有一個標準,不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的
��、無意義的排列組合��,所以真要依靠文件名判斷���,還是要對系統(tǒng)文件夾下的文件�����、常規(guī)文件有一定了解后才能比較好
的掌握��。初步來說�����,結(jié)合上面的時間還有其它手段共同判斷����,還是可以發(fā)現(xiàn)點東西的。
還有一種就是假冒正常文件����、系統(tǒng)文件的文件名,這倒比較好識別�,比如 svchost.exe和svch0st.exe,很明顯后
者在假冒前者�����,這種欲蓋彌彰倒更容易暴露��,前提是你對系統(tǒng)文件名比較熟悉��,有事沒事打開任務(wù)管理器學習一下吧
����。
對應(yīng)于文件名�����,還有服務(wù)名�、驅(qū)動名��、注冊表啟動項名�����,相對而言�����,這些項目的名字如果沒有表示出一定含義���,
倒真是病毒了,還沒幾個廠商會不負責任地給自己的軟件要用到的服務(wù)����、驅(qū)動、啟動項起個無意義����、隨便組合的名字
��,如果服務(wù)����、驅(qū)動���、啟動項名是有問題的����,那么下面使用的文件一定是有問題的���。
實在沒把握��,把文件名(有時要包括完整文件路徑��,不同路徑下的同名文件可不一樣�����,這個以后說)����、服務(wù)名、
驅(qū)動名���、啟動項名放到網(wǎng)上搜索一下�����,看看別人怎么說的�����,特別是對查不到的����、還有服務(wù)�����、驅(qū)動���、啟動項與文件名對
不上的(如同一服務(wù)名在網(wǎng)上查出有不同文件與之對應(yīng),或相反情況)��,都可以列為可疑對象���。
三����、版本信息
檢查文件時間有不確定性,再加一個檢查項目文件版本���,也是在文件的屬性中查看�����,有文件版本����、廠商信息等���。
首先明確一下����,不是所有文件都有版本信息��,也不是所有無版本信息的文件都是病毒文件����,更不是所有顯示微軟信息
的文件都真是微軟的�。
文件名���、文件時間��,再對上文件版本��,基本可以得出一個結(jié)果�,比如一個奇怪的文件名�����,顯示微軟的廠商信息�,
明顯可疑;或者本來應(yīng)該是正常的系統(tǒng)文件(如explorer.exe或userinit.exe)卻沒有版本信息�,可能是被病毒替換
或破壞了;還有soundman.exe廠商信息竟然是1����,可以考慮刪除了,應(yīng)該不是聲卡的程序了��。
版本信息中除了廠商以外�����,還有原文件名��,有時你會在這里發(fā)現(xiàn)一個與檢查文件不同的名字�����,真是別有天地���。
四�����、位置
病毒木馬喜歡呆的地方是系統(tǒng)文件夾���,windows、windows/system32�����、windows/system32/drivers���,還有
c:/program files/internet explorer/c:/program files/internet explorer/plugin����、c:/program files/common
files/miscrosoft shared,還有就是臨時文件夾���、IE緩存
首先臨時文件夾c:/documents and settings/你的用戶名/local settings/temp和c:/windows/temp是一定要清的
�,而且可以大膽地刪除���,不管好壞�,刪了沒事���,IE緩存也要清的����,不是直接進文件夾刪除���,而從IE的菜單工具-
internet選項進入�,刪除文件-刪除所有脫機文件�,最好在高級那設(shè)成關(guān)閉瀏覽器時自動清空臨時文件,就省事了���。
其它文件夾�����,主要看是否有不該存在的文件存在����,比如windows文件夾中多了什么瑞星的文件(卡卡的倒是有在那
)���、realplayer的文件��,絕對可疑��,還有比如svchost.exe��、ctfmon.exe突然出現(xiàn)在windows或其它文件夾中��,而不是
在它們應(yīng)該在的system32中���,也可以確定是病毒。當然可以結(jié)合上面的幾個方法一起判斷�����。有的時候是得靠經(jīng)驗�����,相
對而言文件比較少的文件夾比較好判斷,多出什么很容易發(fā)覺�,比如windows、ie文件夾����,多看看,就知道基本就是那
些���,多一兩個exe或dll��,馬上可以發(fā)現(xiàn)(很多流氓軟件是會在這里安身)�����。
還有就是結(jié)合注冊表啟動項����,一般啟動項引用到windws中的不多��,基本是輸入法�����、聲卡管理,更多的就可疑了���,
指到system32下的了多看兩眼��,實在拿不準,老辦法����,到網(wǎng)上查文件名。如果發(fā)現(xiàn)啟動項指向font字體文件夾的��,那
不用想了���,一定有問題�����。
服務(wù)驅(qū)動也是如此����,不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查���,何況不在)�����。
除了文件夾位置�����,還有注冊表位置��,除了幾個RUN的啟動項�����,還有映像劫持(IFEO)要檢查�,值有debugger的都要
注意一下,除了最后一個your image file name here without a path有個debugger=ntsd -d����,其它的是都沒有的,
只要有發(fā)現(xiàn)就是被劫持(免疫的除外�����,免疫是把已知病毒程序名劫持到不存在的文件上�����,使其不能運行),然后就找
劫持文件���,就是debugger后面的文件���,找到后連同注冊表項一起刪除。但注意�����,現(xiàn)在的劫持有的用的不是病毒文件�,
是系統(tǒng)文件或命令����,比如svchost.exe或ntsd -d,這就不要刪除文件了�����,只要把注冊表項刪除���。
還有要注意的注冊表項有appinit_dlls�����,一般為空值(例外���,卡卡的一個文件會放這)����,如果多出值就是病毒�,
按名字找到刪除。還有一個就是userinit��,一般也是空的�����,多東西修改就要查查是否正常�����。
