我们在使用杀毒软件杀毒的时候,常常会检测出很多“病毒”,许多朋友抱着“宁可错杀一堆,绝不放过一个”的态度,将检测出的“病毒”全部删掉。其实全删是不可取的,有的是被感染的系统文件,是不能删的。笔者在这里介绍几个识别病毒文件的方法,希望对大家有所帮助。
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows\system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位置
病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32\drivers,还有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:\documents and settings\你的用户名\local settings\temp和c:\windows\temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
推荐用SREng来检查,比较方便,也会自动提示以上修改。
结语:
说真的,真要从一堆英文名中找出可疑的文件名挺难的,综合使用各个方法,配合工具软件分类显示才是捷径,比如SREng,把服务驱动列出来,名字、文件、路径一摆,就很明显了,有的名字就是乱写的,对照后面的文件名就很清楚了,有的细心的会冒充系统服务名,不过与正常的一对比,连网也不用上,也可以找出问题(隐藏微软服务后非微软的服务就露出来了,如果还顶个系统服务名或接近系统服务的名字,就一定有问题,不是把正常服务改了,就是额外加进来的李鬼)。
分享到:
相关推荐
- **创建空的AUTORUN.INF文件**:在每个磁盘分区根目录下创建一个名为`AUTORUN.INF`的文件夹,这可以阻止病毒文件的自动复制。 - **定期更新杀毒软件**:保持杀毒软件的病毒库最新,以便及时识别并清除新出现的病毒...
### 解决NSIS病毒方法 #### 一、NSIS病毒简介与危害 NSIS(Nullsoft Scriptable Install System)是一种开源的Windows安装系统脚本语言,用于创建安装程序。然而,由于其灵活性和广泛的应用范围,NSIS也被黑客利用...
在IT行业中,多媒体文件的识别方法与装置是至关重要的技术领域,特别是在数字内容处理、信息检索、媒体播放和内容安全等方面。本主题聚焦于如何高效、准确地识别各种类型的多媒体文件,包括音频、视频、图像和动画等...
本文将通过一个具体的案例来探讨电脑病毒如何导致U盘异常以及由此引发的WORD文件丢失问题,并介绍相应的文件恢复方法。 **案例背景**: - **事件概述**:一位用户在使用U盘与外部单位交换文件的过程中,遭遇了...
在手机病毒检测领域,BP神经网络可以用来识别病毒的行为特征,从而实现对已知和未知病毒的有效检测。 1. **数据预处理**:收集大量的病毒样本和正常样本,对其进行特征提取和标准化处理。 2. **构建神经网络模型**...
病毒感染的对象非常广泛,既包括可执行文件(如PE、ELF等格式),也包括文本文件、图像文件等多种类型。 **可执行文件感染**是一种常见的病毒感染方式。例如,在Windows环境下,PE(Portable Executable)文件是最...
标题中的“常用三种病毒清理方法”意味着我们将探讨的是在计算机安全领域中,针对病毒感染的预防和清除策略。这篇博文可能提供了实用的技术细节和步骤,帮助用户保护他们的系统免受恶意软件的侵害。以下是对这个主题...
Word文件在遭受病毒感染后可能会导致数据丢失或文件损坏,这时需要采取特定的修复方法来恢复文件的正常状态。本文将详细介绍Word文件被病毒感染后的修复策略,以及如何利用工具如"DocMechanic"进行修复。 一、病毒...
四、如何识别计算机病毒 计算机病毒的命名规则大体上都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>。病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。比如木马病毒...
ClamAV项目分发了多个CVD文件,包括`main.cvd`和`daily.cvd`等,这些文件包含了最新的病毒定义。 #### 三、调试信息与签名创建 为了创建有效的ClamAV签名,了解ClamAV引擎如何处理输入文件至关重要。最佳的方法是...
7. **监控系统行为**:使用行为监控工具可以帮助识别异常系统行为,比如突然增加的网络流量、未经授权的文件修改等,这些都是病毒活动的迹象。 #### 四、总结 计算机病毒是一种常见的网络安全威胁,了解其特征和...
首先,分析过程中提到的“感染样本与正常文件的十六进制比较”是逆向工程师常用的一种方法,通过对比被病毒感染的文件和未受感染的原始文件在二进制层面上的差异,可以识别出病毒添加的代码段或修改的部分。...
在IT领域,遇到无法删除的病毒是常有的事情。这些恶意软件往往隐藏得...从识别病毒、隔离病毒、使用专业工具清除,到深入分析文件权限问题,每一个步骤都非常重要。希望本文提供的方法能帮助大家有效地处理这些难题。
### 知识点详解 #### 一、木马程序的基础概念 木马程序是一种恶意软件,通常被设计成看似合法...通过这些实验步骤的学习和实践,不仅可以深入了解木马病毒的工作原理,还能掌握基本的木马查杀技巧,提高网络安全意识。
### 隐藏文件夹病毒清除方法 #### 一、前言 在日常使用电脑的过程中,我们可能会遇到一些安全问题,比如电脑被病毒感染。其中一种较为常见的病毒类型就是隐藏文件夹病毒,这种病毒会隐藏用户的文件夹,并且创建一...
#### 三、杀毒软件识别病毒的方法 文档强调了杀毒软件在识别病毒时所采取的不同命名规则。这种命名规则有助于用户快速了解病毒的特性和来源。 ##### 1. 病毒名称结构 - **组成部分**:病毒名称通常由几个部分组成,...
该测试文件由欧洲计算机防病毒协会开发,并被广泛认可为一种有效的测试手段,用于评估杀毒软件对于已知病毒特征的识别能力。 - **目的与意义**: - **验证杀毒软件的有效性**:通过模拟病毒特征,确保杀毒软件能够...
#### 第三步:删除病毒文件 根据部分文本提示,需要定位并删除以下三个可能被感染的LISP文件: - `acad.lsp` - `acadappp.lsp` - `acadapp.lsp` 这些文件通常位于CAD软件的安装目录下或系统注册表中。在删除前,...