新闻详情

安全常识 怎样辨别电脑病毒

 二维码 107

安全常识 怎样辨别电脑病毒

 我们在运用杀毒软件杀毒的时刻,每常会检验测定出众多“病毒”,很多朋友抱着“宁愿错杀一堆,绝不放过一个”的举止神情,将检验测定出的“病毒”所有删掉。实际上全删是不可以取的,多的很被感染的系统文件,是不可以删的。作者在这处绍介几个辨别病毒文件的办法,期望对大家有所帮忙。

  一、文件时间

  假如你感到电脑不称心,用杀毒软件查缉后,没关系反映或扫除净尽一小批病毒后仍然感到不称心,可以依据文件时间查缉可疑对象。

  文件时间分为开创时间、改正时间(还有一个过访时间,无须管),可以从文件的属性入眼见,点选文件,右击,挑选点菜单中的属性就可以在“常理”那页看见这些个时间了。

  一般病毒、木马文件的开创时间和改正时间都比较新,假如你发觉的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时候还有c:\windows\system32\drivers,若是2000系统,就把上头的windows改成winnt,这些个地方都是病毒木马常呆的地方,按照规定的时间间排下序(检查-周密资料,再点下题目栏上的“改正时间”),检查下最新几日的文件,加意exe和dll文件,有时候还有dat、ini、cfg文件,然而后面这些个正常的文件也有比较新的改正时间,不可以明确承认就先放一边儿,重点找exe和dll,横竖后三个也不是执行文件。普通来说系统文件尤其是exe和dll)不会有这么新的改正时间。

  当然更新或安装的其他应用软件有可能会有新的改正时间,可以再对照下开创时间,额外自个儿啥子时间有没装过啥子软件应当晓得,真的不晓得用搜索功能,在全硬盘上找找有关时间有没树立啥子文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。假如都不合,就是病毒了,删去。

 解释明白一点儿,正如不是全部最新的文件都是病毒同样,也不是说所抱病毒的时间都是最新的,有的病毒文件的日子时间甚至于会显露是几年初。

  当然我们还有其它的辩白办法。

  二、文件名

  文件名是第1眼印象,经过文件名来开始阶段的判断是否可疑是最直接的办法,之所以放在时间判殿后面,真的是从一大堆文件中分拣可疑分子太难了,仍然用时间排下序便捷些。

  我们常说的随机字母(有时候还有数码,较少)组合的文件名,病毒最爱用它(以前发觉某些正常软件也有运用这种奇怪组合的习性,譬如雅虎上网帮办,每每文件名都不同,动因可疑,还有某猫的驱动手续也看似随机组合,然而幸亏有厂商信息可以辅佐辩白,这个下一点儿再说)。

  还有文件名的长度,有的严重越过8位文件名的标准,有10几位之多,这都应列为可疑对象,特别是IE插件中有这些个的文件名显露出来。

  当然光说文件名古怪、随机组合,仿佛好象没有一个标准,人地生疏电脑的人看全部的英文文件名都有可能觉得是奇怪的、无意义的排列组合,所以真要有赖文件名判断,仍然要对系统文件夹下的文件、常理文件有一定理解后能力比较好的掌握。开始阶段的来说,接合上头的时间还有其他手眼并肩判断,仍然可以发觉点物品的。

  还有一种就是假冒正常文件、系统文件的文件名,这倒比较好辨别,譬如 svchost.exe和svch0st.exe,很表面化后者在假冒前者,这种欲盖弥彰倒更容易显露,前提是你对系统文件名比较知道得清楚,有事没事敞开担任的工作管理器学习一下子吧。

  对应于文件名,还有服务名、驱动名、注册表开始工作项名,相对而言,这些个项目标姓名假如没有表达出一定涵义,倒真是病毒了,还没几个厂商人团体不负责任地给自个儿的软件要用到的服务、驱动、开始工作项起个无意义、轻易组合的姓名,假如服务、驱动、开始工作项名是有问题的,那末下边运用的文件一定是有问题的。

 真的没把握,把文件名(有时候要涵盖完整文件途径,不一样途径下的重名文件可不同,这个往后说)、服务名、驱动名、开始工作项名放到网上搜索一下子,看看另外的人怎么说的,尤其是对查不到的、还有服务、驱动、开始工作项与文件名对不上的(犹如一服务名在网上查出有不一样文件与之对应,或相反事情状况),都可以列为可疑对象。

  三、版本信息

  查缉文件时间有不确认性,再加一个查缉项目文件版本,也是在文件的属性中检查,有文件版本、厂商信息等。首先明确一下子,不是全部文件都有版本信息,也不是全部无版本信息的文件都是病毒文件,更不是全部显露微软信息的文件都真是微软的。

  文件名、文件时间,再对上文件版本,基本可以得出一个最后结果,譬如一个奇怪的文件名,显露微软的厂商信息,表面化可疑;还是压根儿应当是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,有可能是被病毒调换或毁伤了;还有soundman.exe厂商信息竟至是 1,可以思索问题删去开,应当不是声卡的手续了。

  版本信息中除开厂商之外,还有原文件名,有时候你会在这处发觉一个与查缉文件不一样的姓名,真是别有天和地。

  四、位置

  病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32 \drivers,还有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,还有就是临应试文章件夹、IE缓存

  首先临应试文章件夹c:\documents and settings\你的用户名\local settings\temp和c:\windows\temp是必须要清的,并且可以胆量大地删去,无论好坏,删了没事,IE缓存也要清的,不是直接进文件夹删去,而从IE的点菜单工具-internet选项进入了,删去文件-删去全部脱机文件,最好在高级那设成关闭浏览器时半自动清空临应试文章件,就省事了。

  其他文件夹,主要看是否有不该存在的文件存在,譬如windows文件夹中多了啥子瑞星的文件(卡卡的倒是有在那)、realplayer的文件,完全可疑,还有譬如svchost.exe、ctfmon.exe忽然显露出来在windows或其他文件夹中,而不是在他们应当在的system32 中,也可以确认是病毒。当然可以接合上头的几个办法一块儿判断。有的时刻是得靠经验,相对而言文件比较少的文件夹比较好判断,多出啥子很容易发现,譬如 windows、ie文件夹,多看看,就晓得基本就是那一些,多一两个exe或dll,立刻可以发觉(众多流氓软件是会在这处居身)。

  还有就是接合注册表开始工作项,普通开始工作项援用到windws中的无几,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,真的拿不准,老方法,到网上查文件名。假如发觉开始工作项指向font字体文件夹的,那无须想了,一定有问题。

  服务驱动也是这么,不是在system32或driver中的就要多查缉下(天然在他们下边的也要查缉,何况不在)。

  除开文件夹位置,还有注册表位置,除开几个RUN的开始工作项,还有映像要挟(IFEO)要查缉,值有debugger的都要注意一下子,除开最终一个your image file name here without a path有个debugger=ntsd -d,其他的是都没有的,只要有发觉就是被要挟(抵抗力的不计算在内,抵抗力是把已知病毒手续名要挟到不存在的文件上,使其不可以运行),而后就找要挟文件,就是 debugger后面的文件,找到后连同注册表项一块儿删去。但注意,如今的要挟有的用的不是病毒文件,是系统文件或指示,譬如svchost.exe或 ntsd -d,这就不要删去文件了,只要把注册表项删去。

  还有要注意的注册表项有appinit_dlls,普通为空值(例外,卡卡的一个文件会放这),假如多出值就是病毒,按姓名找到删去。还有一个就是userinit,普通也是空的,多物品改正就要查查是否正常。


文章分类: 技术文章
分享到: