|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
有很多人遇到这样的状况,当你不慎点击了网络上的病毒连接,中毒之后我们选择杀毒软件对病毒进行查杀。杀毒软件对病毒进行查杀之后,我们的电脑启动不了,提示丢失文件。这样我们之后重新恢复系统或者重装,为了避免这种状况,笔者总结了一些识别病毒文件的方法,以免杀毒软件误操作删除我们的系统文件。
! w) [' P/ |+ O! D9 t) o) s( P2 \* d0 }, j3 r7 f$ H
1 G7 `% E9 O8 ]' ]2 q9 V- g- O文件名
- ]0 t7 w9 {0 D$ F) t
0 R$ J% ~) F0 ^0 Q文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
' g- n! s' t0 o" f6 w7 a2 ^2 m0 B; m. }( u+ ~
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
/ \1 x3 b; ? B$ u0 u0 J2 l
r$ k, V' f) `还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
, F: _ U$ M) A# |3 ? Z
' x. W8 x( X; |. x% h* ~8 S0 x4 h+ t1 e当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。+ T& D. T e5 {" l7 P, K+ |6 g4 I! w
- E5 S, C( n5 J8 V1 |- L" S6 O还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。8 {4 [5 b0 E, N4 h3 T
3 x& `- g. \9 g+ q6 ?
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
5 u1 l. _8 I1 K9 O. ~7 P( V. ^
- z ~# ^# }( t实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。& U9 Y; m1 l. C* y% E% `/ w
% P; I' q- ]7 d; H2 m4 p- w5 w# G0 V3 w- C( ?4 f
文件时间
( B$ o' Y' V9 b1 t" S+ w2 u
, F- O' V" I# H+ x如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。- s/ {( p7 O+ \
: P. ~5 k' q3 @1 |( u o
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
% F, r" A; v& A% C3 m& T( z
% d/ k. ?2 x0 `/ Z7 g( n通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows /system32,有时还有c:/windows/system32/drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
$ H; w& F( h7 `
& a k) A+ D; U当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。; N) J# W6 f1 F4 A/ u
/ T5 l. X6 q. W说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
8 X2 Y6 V0 A" V9 m+ ~$ {
. |+ C2 ?+ M" J& ?% ?9 R! T当然我们还有其他的分辨方法。' _& i1 x9 R' y' \3 x
9 }* F$ Y; u4 ^* \* F # a: |! O3 D* `% y6 r" B* E
E3 D3 r# i+ \ ?/ f
文章转载:浏阳河酒业(www.lyhjy.com ) |
手机扫码浏览
|
窥视卡
雷达卡
发表于 2008-6-16 17:13:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
