今后地位: 首页 宁静防护 注释

用户分辩木马病毒文件的小方式

作者:时辰:2018-05-20点击数:

一、文件时辰

若是你感觉电脑错误劲,用杀毒软件查抄后,没甚么反应或断根一局部病毒后仍是感觉错误劲,能够按照文件时辰查抄可疑东西。

文件时辰分为成立时辰、点窜时辰(另有一个拜候时辰,不必管),能够从文件的属性中看到,点选文件,右击,挑选菜单中的属性就能够在“惯例”那页看到这些时辰了。

凡是病毒、木马文件的成立时辰和点窜时辰都比拟新,若是你发明的早,根基便是近几日或当天。c:/windows和c:/windows/system32,偶然另有c:/windows/system32/drivers,若是是2000体系,就把下面的windows改成winnt,这些处所都是病毒木马常呆的处所,定时辰排下序(查抄-具体材料,再点下标题栏上的“点窜时辰”),查抄下最新几日的文件,出格注重exe和dll文件,偶然另有dat、ini、cfg文件,不过前面这些普通的文件也有比拟新的点窜时辰,不能确认就先放一边,重点找exe和dll,归正后三个也不是履行文件。普通来讲体系文件出格是exe和dll)不会有如斯新的点窜时辰。

固然更新或装置的别的利用软件能够会有新的点窜时辰,能够再对比下成立时辰,别的本身甚么时辰有没装过甚么软件应当晓得,其实不晓得用搜刮功效,在全硬盘上找找相干时辰有没成立甚么文件夹,看看是不是是装置的利用软件,只需时辰对得上便是普通的。若是都不合适,便是病毒了,删除。

二、文件名

文件名是第一眼印象,经由过程文件名来开端判定是不是可疑是最间接的方式,之以是放在时辰判定前面,其实是从一大堆文件平分拣可疑份子太难了,仍是用时辰排下序便利些。

咱们常说的随机字母(偶然另有数字,较少)组合的文件名,病毒最爱用它(曾发明某些普通软件也有利用这类奇异组合的习气,比方雅虎上彀助手,每次文件名都不一样,念头可疑,另有某猫的驱动法式也看似随机组合,不过幸亏有厂商信息能够辅佐分辩,这个下一点再说)。

另有文件名的长度,有的严峻超越8位文件名的规范,有10几位之多,这都应列为可疑东西,出格是IE插件中有这些的文件名呈现。

固然光说文件名怪僻、随机组合,仿佛不一个规范,不熟习电脑的人看一切的英文文件名都能够以为是奇异的、有意义的摆列组合,以是真要依托文件名判定,仍是要对体系文件夹下的文件、惯例文件有必然领会后能力比拟好的掌握。开端来讲,连系下面的时辰另有别的手腕配合判定,仍是能够发明点东西的。

另有一种便是冒充普通文件、体系文件的文件名,这倒比拟好辨认,比方 svchost.exe和svch0st.exe,很较着后者在冒充前者,这类此地无银三百两倒更轻易裸露,条件是你对体系文件名比拟熟习,有事没事翻开使命办理器进修一下吧。

对应于文件名,另有办事名、驱动名、注册表启动项名,绝对而言,这些名目的名字若是不表现出必然寄义,倒真是病毒了,还没几个厂商会不负义务地给本身的软件要用到的办事、驱动、启动项起个有意义、随意组合的名字,若是办事、驱动、启动项名是有题目的,那末下面利用的文件必然是有题目的。

其实没掌握,把文件名(偶然要包含完全文件途径,差别途径下的同名文件可不一样,这个今后说)、办事名、驱动名、启动项名放到网上搜刮一下,看看别人怎样说的,出格是对查不到的、另有办事、驱动、启动项与文件名对不上的(犹如一办事名在网上查出有差别文件与之对应,或相反环境),都能够列为可疑东西。

三、版本信息

查抄文件时辰有不肯定性,再加一个查抄名目文件版本,也是在文件的属性中查抄,有文件版本、厂商信息等。起首明白一下,不是一切文件都有版本信息,也不是一切无版本信息的文件都是病毒文件,更不是一切显现微软信息的文件都真是微软的。

文件名、文件时辰,再对上文件版本,根基能够得出一个成果,比方一个奇异的文件名,显现微软的厂商信息,较着可疑;或原来应当是普通的体系文件(如explorer.exe或userinit.exe)却不版本信息,能够是被病毒替代或粉碎了;另有soundman.exe厂商信息居然是1,能够斟酌删除,应当不是声卡的法式了。

四、地位

病毒木马喜好呆的处所是体系文件夹,windows、windows/system32、windows/system32/drivers,另有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,另有便是姑且文件夹、IE缓存。

起首姑且文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是必然要清的,并且能够斗胆地删除,不论黑白,删了没事,IE缓存也要清的,不是间接进文件夹删除,而从IE的菜单东西-internet选项进入,删除文件-删除一切脱机文件,最好在高等那设成封闭阅读器时主动清空姑且文件,就费事了。

别的文件夹,首要看是不是有不该存在的文件存在,比方windows文件夹中多了甚么瑞星的文件(卡卡的却是有在那)、realplayer的文件,绝对可疑,另有比方svchost.exe、ctfmon.exe俄然呈此刻windows或别的文件夹中,而不是在它们应当在的system32中,也能够肯定是病毒。固然能够连系下面的几个方式一路判定。有的时辰是得靠经历,绝对而言文件比拟少的文件夹比拟好判定,多出甚么很轻易觉察,比方windows、ie文件夹,多看看,就晓得根基便是那些,多一两个exe或dll,顿时能够发明(良多地痞软件是会在这里立足)。

另有便是连系注册表启动项,普通启动项援用到windws中的未几,根基是输出法、声卡办理,更多的便可疑了,指到system32下的了多看两眼,其实拿不准,老方法,到网上查文件名。

除文件夹地位,另有注册表地位,除几个RUN的启动项,另有映像挟制(IFEO)要查抄,值有debugger的都要注重一下,除最初一个your image file name here without a path有个debugger=ntsd -d,别的的是都不的,只需有发明便是被挟制(免疫的除外,免疫是把已知病毒法式名挟制到不存在的文件上,使其不能运转),而后就找挟制文件,便是debugger前面的文件,找到后连同注册表项一路删除。但注重,此刻的挟制有的用的不是病毒文件,是体系文件或号令,比方svchost.exe或ntsd -d,这就不要删除文件了,只需把注册表项删除。