Nutopia Forum Index
Bay Area Forum for Asians
Log in to check your private messages
Advanced Search traditional simplified
star FAQ Search Memberlist Usergroups Register Log in star
青鳥   聖域回音 (全)   回音(全)   洛克人小說   寵物貼圖   Bay Area Happenings   素菜食譜   Free Medical Info   Random things   每日一女   牆紙桌布下載   流行音樂  
家常食譜   簡易微波爐食譜   小電影   免費軟硬電腦教學   IBM Content Manager  
Username:    Password:    Log me on automatically each visit   
                                                      
Nutopia Forum Index
Nutopia Forum Index 免費軟硬電腦教學 識別病毒文件的四個非常不錯的方法
View previous topic :: View next topic
Post new topic     Reply to topic Page 1 of 1
識別病毒文件的四個非常不錯的方法 Fri Jul 01, 2011 12:30 pm
Author Message
silverrain
國際巨星
國際巨星

Joined: 07 Dec 2006
Posts: 778
Reply with quote

Post subject: 識別病毒文件的四個非常不錯的方法

Bookmark and Share
URL
Embed
Link
BBCode


識別病毒文件的四個非常不錯的方法


我們在使用殺毒軟件殺毒的時候,常常會檢測出很多“病毒”,許多朋友抱著“寧可錯殺一堆,絕不放過一個”的態度,將檢測出的“病毒”全部刪掉。其實全刪是不可取的,有的是被感染的系統文件,是不能刪的。筆者在這裡介紹幾個識別病毒文件的方法,希望對大家有所幫助。

  一、文件時間

如果你覺得電腦不對勁,用殺毒軟件檢查後,沒什麼反映或清除一部分病毒後還是覺得不對勁,可以根據文件時間檢查可疑對象。

文件時間分為創建時間、修改時間(還有一個訪問時間,不用管),可以從文件的屬性中看到,點選文件,右擊,選擇菜單中的屬性就可以在“常規”那頁看到這些時間了。

通常病毒、木馬文件的創建時間和修改時間都比較新,如果你發現的早,基本就是近幾日或當天。 c:\windows和c:\windows \system32,有時還有c:\windows\system32\drivers,如果是2000系統,就把上面的windows改成winnt,這些地方都是病毒木馬常呆的地方,按時間排下序(查看-詳細資料,再點下標題欄上的“修改時間”),查看下最新幾日的文件,特別注意exe和dll文件,有時還有dat、ini、cfg文件,不過後面這些正常的文件也有比較新的修改時間,不能確認就先放一邊,重點找exe和dll,反正後三個也不是執行文件。一般來說系統文件特別是exe和dll)不會有如此新的修改時間。

當然更新或安裝的其它應用軟件可能會有新的修改時間,可以再對照下創建時間,另外自己什麼時間有沒裝過什麼軟件應該知道,實在不知道用搜索功能,在全硬盤上找找相關時間有沒建立什麼文件夾,看看是不是安裝的應用軟件,只要時間對得上就是正常的。如果都不符合,就是病毒了,刪除。
說明一點,正如不是所有最新的文件都是病毒一樣,也不是說所有病毒的時間都是最新的,有的病毒文件的日期時間甚至會顯示是幾年前。

  當然我們還有其他的分辨方法。

  二、文件名

文件名是第一眼印象,通過文件名來初步判斷是否可疑是最直接的方法,之所以放在時間判斷後面,實在是從一大堆文件中分揀可疑分子太難了,還是用時間排下序方便些。

我們常說的隨機字母(有時還有數字,較少)組合的文件名,病毒最愛用它(曾經發現某些正常軟件也有使用這種奇怪組合的習慣,比如雅虎上網助手,每次文件名都不一樣,動機可疑,還有某貓的驅動程序也看似隨機組合,不過幸好有廠商信息可以協​​助分辨,這個下一點再說)。

還有文件名的長度,有的嚴重超出8位文件名的標準,有10幾位之多,這都應列為可疑對象,尤其是IE插件中有這些的文件名出現。

當然光說文件名古怪、隨機組合,似乎沒有一個標準,不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的排列組合,所以真要依靠文件名判斷,還是要對系統文件夾下的文件、常規文件有一定了解後才能比較好的掌握。初步來說,結合上面的時間還有其它手段共同判斷,還是可以發現點東西的。

還有一種就是假冒正常文件、系統文件的文件名,這倒比較好識別,比如svchost.exe和svch0st.exe,很明顯後者在假冒前者,這種欲蓋彌彰倒更容易暴露,前提是你對系統文件名比較熟悉,有事沒事打開任務管理器學習一下吧。

對應於文件名,還有服務名、驅動名、註冊表啟動項名,相對而言,這些項目的名字如果沒有表示出一定含義,倒真是病毒了,還沒幾個廠商會不負責任地給自己的軟件要用到的服務、驅動、啟動項起個無意義、隨便組合的名字,如果服務、驅動、啟動項名是有問題的,那麼下面使用的文件一定是有問題的。
實在沒把握,把文件名(有時要包括完整文件路徑,不同路徑下的同名文件可不一樣,這個以後說)、服務名、驅動名、啟動項名放到網上搜索一下,看看別人怎麼說的,特別是對查不到的、還有服務、驅動、啟動項與文件名對不上的(如同一服務名在網上查出有不同文件與之對應,或相反情況),都可以列為可疑對象。

  三、版本信息

檢查文件時間有不確定性,再加一個檢查項目文件版本,也是在文件的屬性中查看,有文件版本、廠商信息等。首先明確一下,不是所有文件都有版本信息,也不是所有無版本信息的文件都是病毒文件,更不是所有顯示微軟信息的文件都真是微軟的。

文件名、文件時間,再對上文件版本,基本可以得出一個結果,比如一個奇怪的文件名,顯示微軟的廠商信息,明顯可疑;或者本來應該是正常的系統文件(如explorer.exe或userinit .exe)卻沒有版本信息,可能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是1,可以考慮刪除了,應該不是聲卡的程序了。

版本信息中除了廠商以外,還有原文件名,有時你會在這裡發現一個與檢查文件不同的名字,真是別有天地。

  四、位置

病毒木馬喜歡呆的地方是系統文件夾,windows、windows\system32、windows/system32 \drivers,還有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files \common files\miscrosoft shared,還有就是臨時文件夾、IE緩存

首先臨時文件夾c:\documents and settings\你的用戶名\local settings\temp和c:\windows\temp是一定要清的,而且可以大膽地刪除,不管好壞,刪了沒事,IE緩存也要清的,不是直接進文件夾刪除,而從IE的菜單工具-internet選項進入,刪除文件-刪除所有脫機文件,最好在高級那設成關閉瀏覽器時自動清空臨時文件,就省事了。
其它文件夾,主要看是否有不該存在的文件存在,比如windows文件夾中多了什麼瑞星的文件(卡卡的倒是有在那)、realplayer的文件,絕對可疑,還有比如svchost.exe、 ctfmon.exe突然出現在windows或其它文件夾中,而不是在它們應該在的system32 中,也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗,相對而言文件比較少的文件夾比較好判斷,多出什麼很容易發覺,比如windows、ie文件夾,多看看,就知道基本就是那些,多一兩個exe或dll,馬上可以發現(很多流氓軟件是會在這里安身)。

還有就是結合註冊表啟動項,一般啟動項引用到windws中的不多,基本是輸入法、聲卡管理,更多的就可疑了,指到system32下的了多看兩眼,實在拿不准,老辦法,到網上查文件名。如果發現啟動項指向font字體文件夾的,那不用想了,一定有問題。

服務驅動也是如此,不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查,何況不在)。

除了文件夾位置,還有註冊表位置,除了幾個RUN的啟動項,還有映像劫持(IFEO)要檢查,值有debugger的都要注意一下,除了最後一個your image file name here without a path有個debugger=ntsd -d,其它的是都沒有的,只要有發現就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能運行),然後就找劫持文件,就是debugger後面的文件,找到後連同註冊表項一起刪除。但注意,現在的劫持有的用的不是病毒文件,是系統文件或命令,比如svchost.exe或ntsd -d,這就不要刪除文件了,只要把註冊表項刪除。

還有要注意的註冊表項有appinit_dlls,一般為空值(例外,卡卡的一個文件會放這),如果多出值就是病毒,按名字找到刪除。還有一個就是userinit,一般也是空的,多東西修改就要查查是否正常。


推薦用SREng來檢查,比較方便,也會自動提示以上修改。

  結語:

說真的,真要從一堆英文名中找出可疑的文件名挺難的,綜合使用各個方法,配合工具軟件分類顯示才是捷徑,比如SREng,把服務驅動列出來,名字、文件、路徑一擺,就很明顯了,有的名字就是亂寫的,對照後面的文件名就很清楚了,有的細心的會冒充系統服務名,不過與正常的一對比,連網也不用上,也可以找出問題(隱藏微軟服務後非微軟的服務就露出來了,如果還頂個系統服務名或接近系統服務的名字,就一定有問題,不是把正常服務改了,就是額外加進來的李鬼)。
View user's profile Send private message
Back to top
識別病毒文件的四個非常不錯的方法 Fri Jul 01, 2011 12:30 pm
Author Message
Special Offers!
國際巨星
國際巨星

Joined: 07 Dec 2006
Posts: 778
Reply with quote

Post subject:


Medical Info Blog








識別病毒文件的四個非常不錯的方法




識別病毒文件的四個非常不錯的方法
caobiwaog 灏?濡??╃??绗???ㄨ?濡?绋?濯? 杜棋峰@18P2P 巨娘 跑車 
sex88 春暖花开 亚洲无码区大于500m 向日葵 ??娣? yanzaomen 無碼ㄥ 
www,aimeizhi.com Makoto Ishikawa ? Love Body 李曉雯 美腿美女 爱田由 BISI 
小泉彩全裸寫真 Company Logos with a woman image 寮???涓 榛??诲?ㄧ嚎??璇 sksdy 小野纱丽娜 ed2k 
?剁??濠? ? 愛田由裸照 搴锋? 璁稿?? 姣??? morena baccarin photos 三井加奈子性爱 
Most Beautiful Desktop 炎狼事务 春暖花开 亚洲无码区 ClubBox Exeem 刘可颖张慧敏 入江紗綾 
赵己晨 超級 熟女 王雅娟 torrent 大波 edk2 松岛枫 
moko cc a trip?茬?版???? ktv女 赵奕欢合成图 woman 
?剁??濠?瑁哥?у? 熟女援交 春暖花开 冢本友希无码BT http://www.kk44kk.net/ 模特毛明人体 
yinnvzuoai Abigaile Johnson 快播 www.sex8.cc @gmail.com 王君平 槟榔西施 
View user's profile Send private message
Back to top
Post new topic     Reply to topic Page 1 of 1
Display posts from previous:
Back to top
Related Links:

識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法 識別病毒文件的四個非常不錯的方法

Powered by phpBB 2001, 2002 phpBB Group
Powered by SO Software Online
Theme designed by What Is Real!? 2005
Register your domain name and build your site at UNI.CC
All times are GMT + 8 Hours