識(shí)別病毒文件四個(gè)好方法
識(shí)別病毒文件 四個(gè)好方法 我們?cè)谑褂脷⒍拒浖⒍镜臅r(shí)候,常常會(huì)檢測(cè)出很多“病毒”,許多朋友抱著“寧可錯(cuò)殺一堆,絕不放過一個(gè)”的態(tài)度,將檢測(cè)出的“病毒”全部刪掉。其實(shí)全刪是不可取的,有的是被感染的系統(tǒng)文件,是不能刪的。筆者在這里介紹幾個(gè)識(shí)別病毒文件的方法,希望對(duì)大家有所幫助。
一、文件時(shí)間
如果你覺得電腦不對(duì)勁,用殺毒軟件檢查后,沒什么反映或清除一部分病毒后還是覺得不對(duì)勁,可以根據(jù)文件時(shí)間檢查可疑對(duì)象。
文件時(shí)間分為創(chuàng)建時(shí)間、修改時(shí)間(還有一個(gè)訪問時(shí)間,不用管),可以從文件的屬性中看到,點(diǎn)選文件,右擊,選擇菜單中的屬性就可以在“常規(guī)”那頁看到這些時(shí)間了。
通常病毒、木馬文件的創(chuàng)建時(shí)間和修改時(shí)間都比較新,如果你發(fā)現(xiàn)的早,基本就是近幾日或當(dāng)天。c:/windows和c:/windows/system32,有時(shí)還有c:/windows/system32/drivers,如果是2000系統(tǒng),就把上面的windows改成winnt,這些地方都是病毒木馬常呆的地方,按時(shí)間排下序(查看-詳細(xì)資料,再點(diǎn)下標(biāo)題欄上的“修改時(shí)間”),查看下最新幾日的文件,特別注意exe和dll文件,有時(shí)還有dat、ini、cfg文件,不過后面這些正常的文件也有比較新的修改時(shí)間,不能確認(rèn)就先放一邊,重點(diǎn)找exe和dll,反正后三個(gè)也不是執(zhí)行文件。一般來說系統(tǒng)文件特別是exe和dll)不會(huì)有如此新的修改時(shí)間。
當(dāng)然更新或安裝的其它應(yīng)用軟件可能會(huì)有新的修改時(shí)間,可以再對(duì)照下創(chuàng)建時(shí)間,另外自己什么時(shí)間有沒裝過什么軟件應(yīng)該知道,實(shí)在不知道用搜索功能,在全硬盤上找找相關(guān)時(shí)間有沒建立什么文件夾,看看是不是安裝的應(yīng)用軟件,只要時(shí)間對(duì)得上就是正常的。如果都不符合,就是病毒了,刪除。
說明一點(diǎn),正如不是所有最新的文件都是病毒一樣,也不是說所有病毒的時(shí)間都是最新的,有的病毒文件的日期時(shí)間甚至?xí)@示是幾年前。
當(dāng)然我們還有其他的分辨方法。
二、文件名
文件名是第一眼印象,通過文件名來初步判斷是否可疑是最直接的方法,之所以放在時(shí)間判斷后面,實(shí)在是從一大堆文件中分揀可疑分子太難了,還是用時(shí)間排下序方便些。
我們常說的隨機(jī)字母(有時(shí)還有數(shù)字,較少)組合的文件名,病毒最愛用它(曾經(jīng)發(fā)現(xiàn)某些正常軟件也有使用這種奇怪組合的習(xí)慣,比如雅虎上網(wǎng)助手,每次文件名都不一樣,動(dòng)機(jī)可疑,還有某貓的驅(qū)動(dòng)程序也看似隨機(jī)組合,不過幸好有廠商信息可以協(xié)助分辨,這個(gè)下一點(diǎn)再說)。
還有文件名的長(zhǎng)度,有的嚴(yán)重超出8位文件名的標(biāo)準(zhǔn),有10幾位之多,這都應(yīng)列為可疑對(duì)象,尤其是IE插件中有這些的文件名出現(xiàn)。
當(dāng)然光說文件名古怪、隨機(jī)組合,似乎沒有一個(gè)標(biāo)準(zhǔn),不熟悉電腦的人看所有的英文文件名都可能認(rèn)為是奇怪的、無意義的排列組合,所以真要依靠文件名判斷,還是要對(duì)系統(tǒng)文件夾下的文件、常規(guī)文件有一定了解后才能比較好的掌握。初步來說,結(jié)合上面的時(shí)間還有其它手段共同判斷,還是可以發(fā)現(xiàn)點(diǎn)東西的。
還有一種就是假冒正常文件、系統(tǒng)文件的文件名,這倒比較好識(shí)別,比如 svchost.exe和svch0st.exe,很明顯后者在假冒前者,這種欲蓋彌彰倒更容易暴露,前提是你對(duì)系統(tǒng)文件名比較熟悉,有事沒事打開任務(wù)管理器學(xué)習(xí)一下吧。
對(duì)應(yīng)于文件名,還有服務(wù)名、驅(qū)動(dòng)名、注冊(cè)表啟動(dòng)項(xiàng)名,相對(duì)而言,這些項(xiàng)目的名字如果沒有表示出一定含義,倒真是病毒了,還沒幾個(gè)廠商會(huì)不負(fù)責(zé)任地給自己的軟件要用到的服務(wù)、驅(qū)動(dòng)、啟動(dòng)項(xiàng)起個(gè)無意義、隨便組合的名字,如果服務(wù)、驅(qū)動(dòng)、啟動(dòng)項(xiàng)名是有問題的,那么下面使用的文件一定是有問題的。
實(shí)在沒把握,把文件名(有時(shí)要包括完整文件路徑,不同路徑下的同名文件可不一樣,這個(gè)以后說)、服務(wù)名、驅(qū)動(dòng)名、啟動(dòng)項(xiàng)名放到網(wǎng)上搜索一下,看看別人怎么說的,特別是對(duì)查不到的、還有服務(wù)、驅(qū)動(dòng)、啟動(dòng)項(xiàng)與文件名對(duì)不上的(如同一服務(wù)名在網(wǎng)上查出有不同文件與之對(duì)應(yīng),或相反情況),都可以列為可疑對(duì)象。
三、版本信息
檢查文件時(shí)間有不確定性,再加一個(gè)檢查項(xiàng)目文件版本,也是在文件的屬性中查看,有文件版本、廠商信息等。首先明確一下,不是所有文件都有版本信息,也不是所有無版本信息的文件都是病毒文件,更不是所有顯示微軟信息的文件都真是微軟的。
文件名、文件時(shí)間,再對(duì)上文件版本,基本可以得出一個(gè)結(jié)果,比如一個(gè)奇怪的文件名,顯示微軟的廠商信息,明顯可疑;或者本來應(yīng)該是正常的系統(tǒng)文件(如explorer.exe或userinit.exe)卻沒有版本信息,可能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是1,可以考慮刪除了,應(yīng)該不是聲卡的程序了。
版本信息中除了廠商以外,還有原文件名,有時(shí)你會(huì)在這里發(fā)現(xiàn)一個(gè)與檢查文件不同的名字,真是別有天地。
四、位置
病毒木馬喜歡呆的地方是系統(tǒng)文件夾,windows、windows/system32、windows/system32/drivers,還有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,還有就是臨時(shí)文件夾、IE緩存
首先臨時(shí)文件夾c:/documents and settings/你的用戶名/local settings/temp和c:/windows/temp是一定要清的,而且可以大膽地刪除,不管好壞,刪了沒事,IE緩存也要清的,不是直接進(jìn)文件夾刪除,而從IE的菜單工具-internet選項(xiàng)進(jìn)入,刪除文件-刪除所有脫機(jī)文件,最好在高級(jí)那設(shè)成關(guān)閉瀏覽器時(shí)自動(dòng)清空臨時(shí)文件,就省事了。
其它文件夾,主要看是否有不該存在的文件存在,比如windows文件夾中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,絕對(duì)可疑,還有比如svchost.exe、ctfmon.exe突然出現(xiàn)在windows或其它文件夾中,而不是在它們應(yīng)該在的system32中,也可以確定是病毒。當(dāng)然可以結(jié)合上面的幾個(gè)方法一起判斷。有的時(shí)候是得靠經(jīng)驗(yàn),相對(duì)而言文件比較少的文件夾比較好判斷,多出什么很容易發(fā)覺,比如windows、ie文件夾,多看看,就知道基本就是那些,多一兩個(gè)exe或dll,馬上可以發(fā)現(xiàn)(很多**軟件是會(huì)在這里安身)。
還有就是結(jié)合注冊(cè)表啟動(dòng)項(xiàng),一般啟動(dòng)項(xiàng)引用到windws中的不多,基本是輸入法、聲卡管理,更多的就可疑了,指到system32下的了多看兩眼,實(shí)在拿不準(zhǔn),老辦法,到網(wǎng)上查文件名。如果發(fā)現(xiàn)啟動(dòng)項(xiàng)指向font字體文件夾的,那不用想了,一定有問題。
服務(wù)驅(qū)動(dòng)也是如此,不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查,何況不在)。
除了文件夾位置,還有注冊(cè)表位置,除了幾個(gè)RUN的啟動(dòng)項(xiàng),還有映像劫持(IFEO)要檢查,值有debugger的都要注意一下,除了最后一個(gè)your image file name here without a path有個(gè)debugger=ntsd -d,其它的是都沒有的,只要有發(fā)現(xiàn)就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能運(yùn)行),然后就找劫持文件,就是debugger后面的文件,找到后連同注冊(cè)表項(xiàng)一起刪除。但注意,現(xiàn)在的劫持有的用的不是病毒文件,是系統(tǒng)文件或命令,比如svchost.exe或ntsd -d,這就不要?jiǎng)h除文件了,只要把注冊(cè)表項(xiàng)刪除。
還有要注意的注冊(cè)表項(xiàng)有appinit_dlls,一般為空值(例外,卡卡的一個(gè)文件會(huì)放這),如果多出值就是病毒,按名字找到刪除。還有一個(gè)就是userinit,一般也是空的,多東西修改就要查查是否正常。
推薦用SREng來檢查,比較方便,也會(huì)自動(dòng)提示以上修改。
結(jié)語:
說真的,真要從一堆英文名中找出可疑的文件名挺難的,綜合使用各個(gè)方法,配合工具軟件分類顯示才是捷徑,比如SREng,把服務(wù)驅(qū)動(dòng)列出來,名字、文件、路徑一擺,就很明顯了,有的名字就是亂寫的,對(duì)照后面的文件名就很清楚了,有的細(xì)心的會(huì)冒充系統(tǒng)服務(wù)名,不過與正常的一對(duì)比,連網(wǎng)也不用上,也可以找出問題(隱藏微軟服務(wù)后非微軟的服務(wù)就露出來了,如果還頂個(gè)系統(tǒng)服務(wù)名或接近系統(tǒng)服務(wù)的名字,就一定有問題,不是把正常服務(wù)改了,就是額外加進(jìn)來的李鬼)。
關(guān)鍵詞:病毒,病毒文件
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0