識別病毒檔案的四個非常不錯的方法

來源:互聯網
上載者:User

我們在使用殺毒軟體殺毒的時候,常常會檢測出很多“病毒”,許多朋友抱著“寧可錯殺一堆,絕不放過一個”的態度,將檢測出的“病毒”全部刪掉。其實全刪是不可取的,有的是被感染的系統檔案,是不能刪的。筆者在這裡介紹幾個識別病毒檔案的方法,希望對大家有所協助。

一、檔案時間

如果你覺得電腦不對勁,用殺毒軟體檢查後,沒什麼反映或清除一部分病毒後還是覺得不對勁,可以根據檔案時間檢查可疑對象。

檔案時間分為建立時間、修改時間(還有一個訪問時間,不用管),可以從檔案的屬性中看到,點選檔案,右擊,選擇菜單中的屬性就可以在“常規”那頁看到這些時間了。

通常病毒、木馬檔案的建立時間和修改時間都比較新,如果你發現的早,基本就是近幾日或當天。c:\windows和c:\windows \system32,有時還有c:\windows\system32\drivers,如果是2000系統,就把上面的windows改成winnt,這些地方都是病毒木馬常呆的地方,按時間排下序(查看-詳細資料,再點下標題列上的“修改時間”),查看下最新幾日的檔案,特別注意exe和dll檔案,有時還有dat、ini、cfg檔案,不過後面這些正常的檔案也有比較新的修改時間,不能確認就先放一邊,重點找exe和dll,反正後三個也不是執行檔案。一般來說系統檔案特別是exe和dll)不會有如此新的修改時間。

當然更新或安裝的其它應用軟體可能會有新的修改時間,可以再對照下建立時間,另外自己什麼時間有沒裝過什麼軟體應該知道,實在不知道用搜尋功能,在全硬碟上找找相關時間有沒建立什麼檔案夾,看看是不是安裝的應用軟體,只要時間對得上就是正常的。如果都不符合,就是病毒了,刪除。

說明一點,正如不是所有最新的檔案都是病毒一樣,也不是說所有病毒的時間都是最新的,有的病毒檔案的日期時間甚至會顯示是幾年前。

當然我們還有其他的分辨方法。

二、檔案名稱

檔案名稱是第一眼印象,通過檔案名稱來初步判斷是否可疑是最直接的方法,之所以放在時間判斷後面,實在是從一大堆檔案中分揀可疑分子太難了,還是用時間排下序方便些。

我們常說的隨機字母(有時還有數字,較少)組合的檔案名稱,病毒最愛用它(曾經發現某些正常軟體也有使用這種奇怪組合的習慣,比如雅虎上網助手,每次檔案名稱都不一樣,動機可疑,還有某貓的驅動程式也看似隨機組合,不過幸好有廠商資訊可以協助分辨,這個下一點再說)。

還有檔案名稱的長度,有的嚴重超出8位檔案名稱的標準,有10幾位之多,這都應列為可疑對象,尤其是IE外掛程式中有這些的檔案名稱出現。

當然光說檔案名稱古怪、隨機組合,似乎沒有一個標準,不熟悉電腦的人看所有的英文檔案名稱都可能認為是奇怪的、無意義的排列組合,所以真要依靠檔案名稱判斷,還是要對系統檔案夾下的檔案、常規檔案有一定瞭解後才能比較好的掌握。初步來說,結合上面的時間還有其它手段共同判斷,還是可以發現點東西的。

還有一種就是假冒正常檔案、系統檔案的檔案名稱,這倒比較好識別,比如 svchost.exe和svch0st.exe,很明顯後者在假冒前者,這種欲蓋彌彰倒更容易暴露,前提是你對系統檔案名稱比較熟悉,有事沒事開啟工作管理員學習一下吧。

對應於檔案名稱,還有服務名、驅動名、註冊表啟動項名,相對而言,這些項目的名字如果沒有表示出一定含義,倒真是病毒了,還沒幾個廠商會不負責任地給自己的軟體要用到的服務、驅動、啟動項起個無意義、隨便組合的名字,如果服務、驅動、啟動項名是有問題的,那麼下面使用的檔案一定是有問題的。

實在沒把握,把檔案名稱(有時要包括完整檔案路徑,不同路徑下的同名檔案可不一樣,這個以後說)、服務名、驅動名、啟動項名放到網上搜尋一下,看看別人怎麼說的,特別是對查不到的、還有服務、驅動、啟動項與檔案名稱對不上的(如同一服務名在網上查出有不同檔案與之對應,或相反情況),都可以列為可疑對象。

三、版本資訊

檢查檔案時間有不確定性,再加一個檢查專案檔版本,也是在檔案的屬性中查看,有檔案版本、廠商資訊等。首先明確一下,不是所有檔案都有版本資訊,也不是所有無版本資訊的檔案都是病毒檔案,更不是所有顯示微軟資訊的檔案都真是微軟的。

檔案名稱、檔案時間,再對上檔案版本,基本可以得出一個結果,比如一個奇怪的檔案名稱,顯示微軟的廠商資訊,明顯可疑;或者本來應該是正常的系統檔案(如explorer.exe或userinit.exe)卻沒有版本資訊,可能是被病毒替換或破壞了;還有soundman.exe廠商資訊竟然是 1,可以考慮刪除了,應該不是音效卡的程式了。

版本資訊中除了廠商以外,還有原檔案名稱,有時你會在這裡發現一個與檢查檔案不同的名字,真是別有天地。

四、位置

病毒木馬喜歡呆的地方是系統檔案夾,windows、windows\system32、windows/system32 \drivers,還有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,還有就是臨時檔案夾、IE緩衝。

首先臨時檔案夾c:\documents and settings\你的使用者名稱\local settings\temp和c:\windows\temp是一定要清的,而且可以大膽地刪除,不管好壞,刪了沒事,IE緩衝也要清的,不是直接進檔案夾刪除,而從IE的菜單工具-internet選項進入,刪除檔案-刪除所有離線檔案,最好在進階那設成關閉瀏覽器時自動清空臨時檔案,就省事了。

其它檔案夾,主要看是否有不該存在的檔案存在,比如windows檔案夾中多了什麼瑞星的檔案(卡卡的倒是有在那)、realplayer的檔案,絕對可疑,還有比如svchost.exe、ctfmon.exe突然出現在windows或其它檔案夾中,而不是在它們應該在的system32 中,也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗,相對而言檔案比較少的檔案夾比較好判斷,多出什麼很容易發覺,比如 windows、ie檔案夾,多看看,就知道基本就是那些,多一兩個exe或dll,馬上可以發現(很多流氓軟體是會在這裡安身)。

還有就是結合註冊表啟動項,一般啟動項引用到windws中的不多,基本是IME、音效卡管理,更多的就可疑了,指到system32下的了多看兩眼,實在拿不準,老辦法,到網上查檔案名稱。如果發現啟動項指向font字型檔夾的,那不用想了,一定有問題。

服務驅動也是如此,不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查,何況不在)。

除了檔案夾位置,還有註冊表位置,除了幾個RUN的啟動項,還有映像劫持(IFEO)要檢查,值有debugger的都要注意一下,除了最後一個your image file name here without a path有個debugger=ntsd -d,其它的是都沒有的,只要有發現就是被劫持(免疫的除外,免疫是把已知病毒程式名劫持到不存在的檔案上,使其不能運行),然後就找劫持檔案,就是 debugger後面的檔案,找到後連同登錄機碼一起刪除。但注意,現在的劫持有的用的不是病毒檔案,是系統檔案或命令,比如svchost.exe或 ntsd -d,這就不要刪除檔案了,只要把登錄機碼刪除。

還有要注意的登錄機碼有appinit_dlls,一般為空白值(例外,卡卡的一個檔案會放這),如果多出值就是病毒,按名字找到刪除。還有一個就是userinit,一般也是空的,多東西修改就要查查是否正常。

推薦用SREng來檢查,比較方便,也會自動提示以上修改。

結語:

說真的,真要從一堆英文名中找出可疑的檔案名稱挺難的,綜合使用各個方法,配合工具軟體分類顯示才是捷徑,比如SREng,把服務驅動列出來,名字、檔案、路徑一擺,就很明顯了,有的名字就是亂寫的,對照後面的檔案名稱就很清楚了,有的細心的會冒充系統服務名,不過與正常的一對比,連網也不用上,也可以找出問題(隱藏微軟服務後非微軟的服務就露出來了,如果還頂個系統服務名或接近系統服務的名字,就一定有問題,不是把正常服務改了,就是額外加進來的李鬼)。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。