如何识别病毒文件#严选优质

1、我们在使用杀毒程序的时候发现了很多“病毒”，很多朋友抱着“不放一团，误杀”的态度，把检测到的“病毒”都删除了。完全删除是不可取的，感染的系统文件也不能删除。希望在这里笔者介绍了识别病毒文件的几种方法，能有所帮助。一、文件时间如果您认为计算机错误，或者使用防病毒程序进行检查后，在未反映或删除某些病毒的情况下判断为错误，则可以根据文件时间检查可疑目标。文件时间分为创建时间、修改时间(和无管理访问时间)，可以在文件的属性中查看。您可以通过单击文件，右键单击，然后从菜单中选择“属性”，在“常规”页面上查看该时间。通常，病毒、特洛伊文件的创建时间和修改时间都比较新。发现潮气的话，差不多几天或那一天。C:

2、/windows和c 3360/windows/system32，有时是c :/windows/system32/drivers，对于2000系统，以上winnt是病毒木马的常用位置有时，您可能有exe和dll文件、dat、ini和CFG文件，但是以后这些常规文件也有新的修改时间，因此如果无法确定，请先浏览exe和dll。不管怎样，最后三个不是可执行文件。通常，系统文件(尤其是exe和dll)没有这样的新修改时间。当然，您更新或安装的其他应用程序可能有新的修改时间。您需要与创建时间进行比较，并知道什么时候安装了什么软件。不知道是否使用搜索功能，在整个硬盘上找到相关的时间文件夹，验证安装的应用程

3、序是否正确，如果时间正确，则正常。如果都不匹配，就是病毒。删除。说明一点：即使不是所有最新的文件都是病毒，也不是说所有病毒的时间都是最新的，有些病毒文件的日期时间可能显示为几年前。当然，我们有不同的分辨率方法。二、文件名文件名是最初的印象，通过文件名早期判断是否有疑问是最直接的方法，放在时间判断后面究竟是从很多文件中分类可疑分子太困难，还是按时间顺序排序比较容易。我发现，一些常用的随机字母(有时数字多或少)组合的文件名、病毒最常用的文件名(例如雅虎网络助手等一些正常软件也有使用这种奇怪组合的习惯，每次文件名不同，动机可疑，或者任何猫的驱动程序看起来都是随机组合的，但幸运的是，有供应商信息，有助

4、于区分。然后再说。文件名的长度，严重超过8个字符文件名标准的文件名，应该将10多个列为可疑对象。尤其是在IE插件中，会出现这些文件名。当然，文件名胡乱随机组合似乎没有一个标准。不熟悉计算机的人可能认为所有的英语文件名都是奇怪的、无意义的顺序组合，因此要依赖文件名来判断，还是对系统文件夹下的文件、普通文件有一定的了解才能更好地掌握。开始时，将上述时间和其他手段结合在一起判断，还是发现什么。另一种是伪造一般文件，系统文件的文件名。这更容易识别，例如svchost.exe和svch0st.exe。其中一个很明显是关于假电子的，前提是您更熟悉系统文件名，并且没有打开任务管理器学习的事情。如果没有任何意

5、义，例如文件名和服务名、驱动程序名称、注册表启动项名称等，则可能是病毒。某些供应商在服务、驱动程序、启动项目中使用无意义的随机组合名称时，如果服务、驱动程序、启动项目名称出现问题，则使用下面的文件时可能会出现问题。文件名(有时包括完整文件路径，不同路径中同名的文件可能不同，稍后再说)、服务名称、驱动程序名称、启动项目名称在线搜索其他人怎么说，特别是找不到服务、驱动程序、启动项目和文件名对时(服务名称在线与其他文件匹配，反之亦然)，作为可疑对象列出三、版本信息检查文件时间的不确定性，然后添加另一个项目文件版本。还可以在文件的属性中查看，包括文件版本、供应商信息等。首先，请确保不是所有文件都具有版

6、本信息或没有版本信息的文件都是病毒文件，并且显示Microsoft信息的所有文件实际上并不是Microsoft文件。对于文件名、文件时间和文件版本，结果基本上与显示Microsoft供应商信息的奇怪文件名相同。或者，它必须是正常的系统文件(例如explorer.exe或userinit.exe)，但是可能没有版本信息、被病毒替换或损坏。Soundman.exe供应商信息被发现为1。可以删除。可能不是声卡上的程序。除供应商外，版本信息还具有原始文件名，您可能会发现与检查文件不同的名称。四、位置病毒木马程序喜欢驻留的位置包括系统文件夹、windows、windows/system32、window

7、s/system32/drivers和c 3360/program files/internet et首先，临时文件夹c:/documents and settings/用户名/local settings/temp和c:/windows/temp必须明确，无论喜欢与否都可以果断删除，IE缓存也不是直接从文件夹中删除高级设置可以在关闭浏览器时自动清空临时文件，从而消除问题。其它文件夹主要检查windows文件夹中是否存在ruixing文件(Kaka中的文件是否存在)、RealPlayer中的文件是否存在，以及如果real player中的文件突然出现在svchost.exe、ctfmon.ex

8、e所在的非system32 windows或其它文件夹中，是否是病毒。当然，以上几种方法可以结合起来判断。更好地判断经验丰富、文件相对较少的文件夹，windows、ie文件夹，如果查看更多，基本上很容易知道这些，如果有一个或两个exe或dll，就可以立即找到它们(很多坏软件都在这里安置)。除注册表引导项外，一般引导项在windws中参考不多。基本上输入方法、声卡管理、不再怀疑、在system32中看到更多的双眼、使用太久、在线确认文件名。如果找到指向Font字体文件夹的起始项目，则无需思考。对于非System32或driver服务驱动程序，需要检查更多(当然，还要查看其下面，不再是这样)。除文

9、件夹位置外，除了注册表位置、几个RUN引导项外，还有要检查的映像劫持(IFEO)。值包含debugger。最后一个your image file name here without a path包含debugger=ntsd -d。如果找到，则绑架(免疫除外，免疫不能绑架并运行不存在的文件中已知的病毒程序名)，然后找到劫持文件(即debugger后面的文件)，并与注册表项一起删除。但是，现在您正在突出显示系统文件(而不是病毒文件)或命令(如svchost.exe或ntsd -d)，因此只有在删除注册表项后才能删除文件。Appinit_dlls注册表条目也有，通常为null(例外情况是卡上的一个文件放在此处)，如果值较高，则按名称删除。另一个是userinit。通常为空。各种修改必须确认是否正常。建议用SREng检查，更方便，自动提示上述修改。结论：真的，在一堆英文名字中很难找到可疑的文件名。综合使用各种方法，并与工具软件分类标记一起使用是快捷方式。例如，如果依次列出SREng、面向服务的列表、名称、文件和路径，那么