频道栏目
读书频道 > 安全 > 黑客攻防实战必备
2.7.2 分辨病毒、木马文件的方法
2012-12-07 11:34:36     我来说两句
收藏   我要投稿

本文所属图书 > 黑客攻防实战必备

知己知彼,方能百战不殆。本书由浅入深、系统全面地介绍了计算机黑客攻防的实战知识,详细剖析了黑客攻防时的方法、工具及技巧,能帮助你全面解决网络安全的烦恼。本书共分为14章,涵盖了黑客攻防入门、黑客常用...  立即去当当网订购

在使用杀毒软件杀毒的时候,常常会检测出很多“病毒”,而抱着“宁可错杀一堆,绝不放过一个”态度的用户势必将检测出来的“病毒”全部删掉。这是不可取的,因为有的文件是被感染的系统文件,删除后将会影响系统。为此,下面为大家介绍一下区分病毒、木马文件的方法,帮助大家识别出系统文件。

1.文件时间

文件时间分为创建时间、修改时间和访问时间(不用管),可以右击选择文件的“属性”命令,在文件的属性对话框中的“常规”选项卡中看到这些时间了,如下图所示。而病毒、木马文件的创建时间和修改时间都比较新,如果你发现得早,基本就是近几日或当天。特别注意exe和dll文件,有时还有。.dat、.ini和.cfg文件。


 

 
2.文件名

通过文件名来初步判断是否可疑是最直接的方法。用户在对一大堆文件名进行分析之前,可以先以文件创建时间进行排序,减轻工作量。

用户可以从下面几点可疑之处分析文件名:

(1) 随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它。

(2) 文件名的长度,有的严重超出8位文件名的标准,有十几位之多。

(3) 假冒正常文件、系统文件的文件名,比如svchost.exe和svch0st.exe,很明显后者在假冒前者。

(4) 对应于文件名,还有服务名、驱动名、注册表启动项名假冒文件已彻底改变换了新名称,并取代正常服务、驱动及注册表启动项等,而从更换后的名称看不出该文件的含义。

3.版本信息

在文件的属性对话框中查看文件的类型、版本、厂商等版本信息。

注意:文件的版本信息。

不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都是微软的。

文件名、文件时间,再对上文件版本,基本可以得出一个结果。比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe),却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除,应该不是声卡的程序。

版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。

4.文件位置

病毒、木马最喜欢待的地方是系统文件夹。比如:windows、windows\system32、windows/system32/drivers、c:\program files\internet explorer、c:\program files\internet explorer\plugin以及c:\program files\common files\miscrosoft shared,还有就是临时文件夹和IE缓存。

除了文件夹位置,还有注册表位置,除了要检查几个RUN启动项外,还有映像劫持(IFEO)也要检查,debugger值也要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd –d外,其他的都没有,只要发现就是被劫持,找劫持文件(即debugger后面的文件),连同注册表项一起删除。

注意:劫持文件。

现在的劫持有时用的不是病毒文件,而是系统文件或命令,比如svchost.exe或ntsd -d,这就不需要删除文件,只要把注册表项删除即可。

注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放在这里),如果多出值就是病毒,按名字找到删除即可。

userinit一般也是空的,有东西就要查查是否正常。
 

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.7.1 一招克死所有病毒
下一篇:2.7.3 手动清除explorer.exe病毒
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站