安全常识 怎样辨别电脑病毒

安全常识 怎样辨别电脑病毒

　我们在运用杀毒软件杀毒的时刻，每常会检验测定出众多“病毒”，很多朋友抱着“宁愿错杀一堆，绝不放过一个”的举止神情，将检验测定出的“病毒”所有删掉。实际上全删是不可以取的，多的很被感染的系统文件，是不可以删的。作者在这处绍介几个辨别病毒文件的办法，期望对大家有所帮忙。

　　一、文件时间

　　假如你感到电脑不称心，用杀毒软件查缉后，没关系反映或扫除净尽一小批病毒后仍然感到不称心，可以依据文件时间查缉可疑对象。

　　文件时间分为开创时间、改正时间(还有一个过访时间，无须管)，可以从文件的属性入眼见，点选文件，右击，挑选点菜单中的属性就可以在“常理”那页看见这些个时间了。

　　一般病毒、木马文件的开创时间和改正时间都比较新，假如你发觉的早，基本就是近几日或当天。c:\windows和c:\windows \system32，有时候还有c:\windows\system32\drivers，若是2000系统，就把上头的windows改成winnt，这些个地方都是病毒木马常呆的地方，按照规定的时间间排下序(检查-周密资料，再点下题目栏上的“改正时间”)，检查下最新几日的文件，加意exe和dll文件，有时候还有dat、ini、cfg文件，然而后面这些个正常的文件也有比较新的改正时间，不可以明确承认就先放一边儿，重点找exe和dll，横竖后三个也不是执行文件。普通来说系统文件尤其是exe和dll)不会有这么新的改正时间。

　　当然更新或安装的其他应用软件有可能会有新的改正时间，可以再对照下开创时间，额外自个儿啥子时间有没装过啥子软件应当晓得，真的不晓得用搜索功能，在全硬盘上找找有关时间有没树立啥子文件夹，看看是不是安装的应用软件，只要时间对得上就是正常的。假如都不合，就是病毒了，删去。

　解释明白一点儿，正如不是全部最新的文件都是病毒同样，也不是说所抱病毒的时间都是最新的，有的病毒文件的日子时间甚至于会显露是几年初。

　　当然我们还有其它的辩白办法。

　　二、文件名

　　文件名是第1眼印象，经过文件名来开始阶段的判断是否可疑是最直接的办法，之所以放在时间判殿后面，真的是从一大堆文件中分拣可疑分子太难了，仍然用时间排下序便捷些。

　　我们常说的随机字母(有时候还有数码，较少)组合的文件名，病毒最爱用它(以前发觉某些正常软件也有运用这种奇怪组合的习性，譬如雅虎上网帮办，每每文件名都不同，动因可疑，还有某猫的驱动手续也看似随机组合，然而幸亏有厂商信息可以辅佐辩白，这个下一点儿再说)。

　　还有文件名的长度，有的严重越过8位文件名的标准，有10几位之多，这都应列为可疑对象，特别是IE插件中有这些个的文件名显露出来。

　　当然光说文件名古怪、随机组合，仿佛好象没有一个标准，人地生疏电脑的人看全部的英文文件名都有可能觉得是奇怪的、无意义的排列组合，所以真要有赖文件名判断，仍然要对系统文件夹下的文件、常理文件有一定理解后能力比较好的掌握。开始阶段的来说，接合上头的时间还有其他手眼并肩判断，仍然可以发觉点物品的。

　　还有一种就是假冒正常文件、系统文件的文件名，这倒比较好辨别，譬如 svchost.exe和svch0st.exe，很表面化后者在假冒前者，这种欲盖弥彰倒更容易显露，前提是你对系统文件名比较知道得清楚，有事没事敞开担任的工作管理器学习一下子吧。

　　对应于文件名，还有服务名、驱动名、注册表开始工作项名，相对而言，这些个项目标姓名假如没有表达出一定涵义，倒真是病毒了，还没几个厂商人团体不负责任地给自个儿的软件要用到的服务、驱动、开始工作项起个无意义、轻易组合的姓名，假如服务、驱动、开始工作项名是有问题的，那末下边运用的文件一定是有问题的。

　真的没把握，把文件名(有时候要涵盖完整文件途径，不一样途径下的重名文件可不同，这个往后说)、服务名、驱动名、开始工作项名放到网上搜索一下子，看看另外的人怎么说的，尤其是对查不到的、还有服务、驱动、开始工作项与文件名对不上的(犹如一服务名在网上查出有不一样文件与之对应，或相反事情状况)，都可以列为可疑对象。

　　三、版本信息

　　查缉文件时间有不确认性，再加一个查缉项目文件版本，也是在文件的属性中检查，有文件版本、厂商信息等。首先明确一下子，不是全部文件都有版本信息，也不是全部无版本信息的文件都是病毒文件，更不是全部显露微软信息的文件都真是微软的。

　　文件名、文件时间，再对上文件版本，基本可以得出一个最后结果，譬如一个奇怪的文件名，显露微软的厂商信息，表面化可疑;还是压根儿应当是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息，有可能是被病毒调换或毁伤了;还有soundman.exe厂商信息竟至是 1，可以思索问题删去开，应当不是声卡的手续了。

　　版本信息中除开厂商之外，还有原文件名，有时候你会在这处发觉一个与查缉文件不一样的姓名，真是别有天和地。

　　四、位置

　　病毒木马喜欢呆的地方是系统文件夹，windows、windows\system32、windows/system32 \drivers，还有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared，还有就是临应试文章件夹、IE缓存

　　首先临应试文章件夹c:\documents and settings\你的用户名\local settings\temp和c:\windows\temp是必须要清的，并且可以胆量大地删去，无论好坏，删了没事，IE缓存也要清的，不是直接进文件夹删去，而从IE的点菜单工具-internet选项进入了，删去文件-删去全部脱机文件，最好在高级那设成关闭浏览器时半自动清空临应试文章件，就省事了。

　　其他文件夹，主要看是否有不该存在的文件存在，譬如windows文件夹中多了啥子瑞星的文件(卡卡的倒是有在那)、realplayer的文件，完全可疑，还有譬如svchost.exe、ctfmon.exe忽然显露出来在windows或其他文件夹中，而不是在他们应当在的system32 中，也可以确认是病毒。当然可以接合上头的几个办法一块儿判断。有的时刻是得靠经验，相对而言文件比较少的文件夹比较好判断，多出啥子很容易发现，譬如 windows、ie文件夹，多看看，就晓得基本就是那一些，多一两个exe或dll，立刻可以发觉(众多流氓软件是会在这处居身)。

　　还有就是接合注册表开始工作项，普通开始工作项援用到windws中的无几，基本是输入法、声卡管理，更多的就可疑了，指到system32下的了多看两眼，真的拿不准，老方法，到网上查文件名。假如发觉开始工作项指向font字体文件夹的，那无须想了，一定有问题。

　　服务驱动也是这么，不是在system32或driver中的就要多查缉下(天然在他们下边的也要查缉，何况不在)。

　　除开文件夹位置，还有注册表位置，除开几个RUN的开始工作项，还有映像要挟(IFEO)要查缉，值有debugger的都要注意一下子，除开最终一个your image file name here without a path有个debugger=ntsd -d，其他的是都没有的，只要有发觉就是被要挟(抵抗力的不计算在内，抵抗力是把已知病毒手续名要挟到不存在的文件上，使其不可以运行)，而后就找要挟文件，就是 debugger后面的文件，找到后连同注册表项一块儿删去。但注意，如今的要挟有的用的不是病毒文件，是系统文件或指示，譬如svchost.exe或 ntsd -d，这就不要删去文件了，只要把注册表项删去。

　　还有要注意的注册表项有appinit_dlls，普通为空值(例外，卡卡的一个文件会放这)，假如多出值就是病毒，按姓名找到删去。还有一个就是userinit，普通也是空的，多物品改正就要查查是否正常。