教你识别电脑病毒文件体【申请点亮】

社区服务
高级搜索
猴岛论坛电脑百科教你识别电脑病毒文件体【申请点亮】
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
4个回复

[网络问题]教你识别电脑病毒文件体【申请点亮】

楼层直达
孟雨不寂寞

ZxID:8465378

等级: 大将

举报 只看楼主 使用道具 楼主   发表于: 2010-06-09 0
有很多人遇到这样的状况,当你不慎点击了网络上的病毒连接,中毒之后我们选择杀毒软件对病毒进行查杀。杀毒软件对病毒进行查杀之后,我们的电脑启动不了,提示丢失文件。这样我们之后重新恢复系统或者重装,为了避免这种状况,笔者总结了一些识别病毒文件的方法,以免杀毒软件误操作删除我们的系统文件。一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows /system32,有时还有c:/windows/system32/drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如 explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位置
病毒木马喜欢呆的地方是系统文件夹,windows、windows/system32、windows/system32/drivers,还有 c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32 中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如 windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个 your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是 debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或 ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
推荐用SREng来检查,比较方便,也会自动提示以上修改。
结语:
说真的,真要从一堆英文名中找出可疑的文件名挺难的,综合使用各个方法,配合工具软件分类显示才是捷径,比如SREng,把服务驱动列出来,名字、文件、路径一摆,就很明显了,有的名字就是乱写的,对照后面的文件名就很清楚了,有的细心的会冒充系统服务名,不过与正常的一对比,连网也不用上,也可以找出问题(隐藏微软服务后非微软的服务就露出来了,如果还顶个系统服务名或接近系统服务的名字,就一定有问题,不是把正常服务改了,就是额外加进来的李鬼)。

本帖de评分: 1 条评分 DB +10
DB+10

我很赞同

゛蝣蕩啲龍っ

ZxID:7865773

等级: 元老
‘燕鸥’是种水鸟,听说,它们会从几千里外,飞回自己的家,而且,是‘情有独钟’,终身不换伴侣 ..

举报 只看该作者 沙发   发表于: 2010-06-09 0
感谢分享
    听海,

ZxID:1792988

等级: 禁止发言

举报 只看该作者 板凳   发表于: 2010-06-09 0
不错的撒!
不訴る蘺傷

ZxID:10677966

等级: 中校
举报 只看该作者 地板   发表于: 2010-06-09 0
谢谢!
   你的笑容

ZxID:11607933

等级: 元老

举报 只看该作者 4楼  发表于: 2010-06-09 0
谢谢分享!~
« 返回列表
发帖 回复
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁绘劦鍓欓崝銈囩磽瀹ュ拑韬€殿喖顭烽弫鎰緞婵犲嫷鍚呴梻浣瑰缁诲倿骞夊☉銏犵缂備焦岣块崢杈ㄧ節閻㈤潧孝闁稿﹤缍婂畷鎴﹀Ψ閳哄倻鍘搁柣蹇曞仩椤曆勬叏閸屾壕鍋撳▓鍨灍闁瑰憡濞婇獮鍐ㄢ枎瀵版繂婀遍埀顒婄秵娴滄瑦绔熼弴銏♀拺闁告稑锕︾紓姘舵煕鎼淬倖鐝紒瀣槸椤撳吋寰勭€n剙骞愰柣搴$畭閸庤鲸顨ラ幖浣哄祦婵°倕鎳忛悡鐔兼煙閹呮憼缂佲偓閸愵喗鐓忛柛銉戝喚浼冨Δ鐘靛仜濞差厼鐣峰⿰鍕闁间粙鏀遍崹鍦閹惧瓨濯撮柟缁樺笂婢规洟姊绘笟鈧埀顒傚仜閼活垱鏅堕幍顔剧<閺夊牄鍔屽ù顕€鏌熼鐣屾噰妞ゃ垺顨婇崺鈧い鎺戝缁€澶愭煏閸繃顥犵紒鐘插⒔閻ヮ亪顢橀姀鈺傤棖缂備讲妾ч崑鎾绘煟鎼淬埄鍟忛柛鐘崇墵閳ワ箓鎮滈挊澶岀暫闂侀潧绻堥崐鏍磻閸岀偛绠归弶鍫濆⒔閹ジ鏌¢崱鏇炲祮婵﹦绮幏鍛存惞閻熸壆顐兼俊鐐€戦崝宀勫箠濮椻偓楠炲啳顦叉顏冨嵆瀹曟鎮欓鍌涘垱閻庤娲滈崰鏍€佸鈧幃鈺冨枈婢跺苯绨ラ梻鍌氬€峰ù鍥敋閺嶎厼鍨傞幖娣妼缁€鍐煥濠靛棙顥滈柣锕佷含缁辨捇宕掑顑藉亾妞嬪孩顐介柨鐔哄Т闂傤垱銇勯弴妤€浜鹃悗瑙勬礀缂嶅﹪鐛惔銊﹀癄濠㈣泛鐭堥崬褰掓⒒娓氣偓濞佳呮崲閹烘挻鍙忔い鎾跺€i敐澶婇唶闁靛濡囬崢顏堟椤愩垺澶勬繛鍙夌墪閺嗏晜淇婇悙顏勨偓鏍箰閹间礁绠规い鎰剁畱閻撴﹢鏌熸潏楣冩闁稿﹦鍏橀弻娑樷枎韫囷絾鈻撳┑鈽嗗亞閸嬬喓妲愰幘瀛樺闁惧繒鎳撶粭锟犳煟閵忊晛鐏℃い銊ョ墢閸掓帞鈧綆鍠栫粻鎶芥煙閹呭煟婵$虎鍣e娲川婵犲嫧妲堥柤鐟扮焸閺岀喖鏌ㄧ€n偁浠㈠┑顔硷攻濡炶棄鐣烽妸锔剧瘈闁告洦鍘鹃弳銈夋⒑鐠囨彃顒㈤柛鎴濈秺瀹曟粓鎮㈢粭琛″亾娓氣偓瀵噣宕煎顏傚姂閺屽秹宕崟顐熷亾婵犳艾鍌ㄩ梺顒€绉甸悡娆撴煠閸︻厼顣肩憸鎶婂懐纾奸柡灞诲劤閻h櫣鈧鍠楁繛濠囥€佸Δ浣虹懝闁搞儺鐓堥崯宥夋⒒娴h櫣甯涢柛鏃€鐗為妵鎰板礃椤斿吋杈堝┑鐐叉閸旀垶绂嶅⿰鍕╀簻闁规澘澧庨幃濂告煟椤撶喎娴柡灞剧洴閸╃偤骞嗚婢规洖鈹戦敍鍕杭闁稿﹥鐗滈弫顕€骞掗弬鍝勪壕婵ḿ鍘ф晶鎵磼椤旂⒈鐓肩€殿喕绮欐俊姝岊槾妞ゆ梹娲熷铏瑰寲閺囩偛鈷夐柦鍐憾閹ǹ绠涢敐鍛缂備浇椴哥敮锟犲箖椤忓嫧鏋庨煫鍥ㄦ煥椤︹晠姊虹紒妯诲鞍婵炲弶锕㈡俊鐢稿礋椤栵絾鏅i梺缁樻椤ユ挻绂掗幘顔解拺闁告繂瀚烽崕宥夋煕婵犲喚娈滄鐐差樀楠炴牗鎷呴悷棰佺綍闂備礁澹婇崑鍛崲閸曨剛顩烽柟缁㈠枟閳锋垿鎮楅崷顓烆€屾繛鍏煎姍閺屾盯濡搁妷锕€浠村Δ鐘靛仜閸燁偊鍩㈡惔銊ョ闁哄鍨堕缁樹繆閻愵亜鈧牜鏁繝鍥ㄥ€块柨鏇炲€哥粣妤呮煛瀹ュ骸浜炵痪鍙ョ矙閺屾稓浠﹂崜褎鍣柣鐘冲姃閸楁娊寮诲☉銏″亹鐎规洖娲ら埛鍫㈢磽娓氬洤鏋熸俊顐㈠暙閻i攱绺界粙鍨祮闂佺粯鍔栭鏍i幘顔解拻濞达絽鎲$拹锟犳煕鎼存稑鈧繈濡撮崘顔煎窛妞ゆ牗绮堢粭澶嬬節閻㈤潧校缁炬澘绉瑰畷鎴︽晲婢跺鍘遍梺闈涱樈閸犳洜鑺辨繝姘參闁告洦鍋侀崑銏ゆ煛瀹€鈧崰鏍箠閻愬搫唯闁挎梻铏庡Σ顒勬⒒娴e摜鏋冩い顐㈩樀瀹曞綊宕稿Δ鈧粻鏍ㄧ箾閸℃ɑ灏紒鐙欏洦鐓欓悗鐢登瑰皬闂佺懓顕崗妯侯潖缂佹ɑ濯撮柧蹇撶畭閳ь剙锕弻锟犲川椤斾勘鈧帡鏌嶈閸撴氨鍠婂鍜佺唵婵せ鍋撴い銏″哺閺佹劖寰勫Ο缁樻珖闂備焦瀵уú宥夊磻閹惧墎纾奸柍褜鍓熷畷姗€鍩炴径鍝ョ泿闂備礁鎼崯顐﹀磹閻熸壋鏋嶉柡鍥ュ灪閻撴洘绻涢崱妤冪妞ゃ儲绮撻弻宥囨喆閸曨偆浼岄梺璇″枓閺呮繄妲愰幒鎳崇喐绻濆顓熸婵犵數濮烽。钘壩i崨鏉戠;闁告稑鐡ㄩ崑锟犳煃閸濆嫬顏柨娑樺€垮缁樻媴閾忕懓绗$€光偓閿濆懏鍋ョ€规洘鍨挎俊鎼佹晜缂併垺閿ゆ繝鐢靛Т閿曘倝鎮ф繝鍥ㄥ亗闁靛鏅滈悡娑㈡煕鐏炲墽鈽夋い鏇熺矒閺岀喖顢涘鍗炩叺闂佸搫鏈惄顖氼嚕椤曗偓楠炴ḿ绱掑鍡忓亾瀹ュ鈷戦梺顐g〒閳规帡鏌涢弬璺ㄐら柟骞垮灩閳规垹鈧綆浜為ˇ銊╂⒑瀹曞洦鍤€闁靛洦锕㈤幖瑙勬償閵婏妇鍘介柟鍏肩暘閸娿倕岣块幇顓犵闁圭粯甯炵粻鑽も偓瑙勬礃缁诲倿顢樻總绋跨倞闁靛ǹ鍎辩花銉︾節閻㈤潧鈻堟繛浣冲浂鏁勯柛娑卞灣閻棝鏌涢幇闈涙灍闁绘挾鍠栭弻鐔稿鐎涙ɑ閿繝鈷€鍛笡濞e洤锕、鏇㈡晲閸モ晝鏉芥繝娈垮枛閿曘倝鈥﹀畡鎵殾闁圭儤鍨熼弸搴ㄦ煙閻戞ê鐏ラ悽顖e灦濮婄粯鎷呮笟顖涙暞濠电偛鎳忓ú鐔肩嵁閹达箑鐐婄憸蹇涘汲閿曞倹鐓熼柕蹇婃嚉瑜版帒绀冮柍褜鍓欓—鍐Χ閸℃ê鏆楅梺绋款儑閸犳牠銆佸▎鎾冲耿婵炴垶鐟㈤幏娲煟閻樺厖鑸柛鏂胯嫰閳诲秹骞囬悧鍫㈠幍闂佸憡鍨崐鏍偓姘炬嫹