久久99热66热这里只有精品,特黄特色的大片在线观看,亚洲日本三级在线观看,国产三级农村妇女在线,亚洲av毛片免费在线观看,哺乳叫自慰在线看,天天干美女av网

教你辨別真假文件的技巧 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【www.dameics.com - 電腦資料】

    一、文件時間

    如果你覺得電腦不對勁,用殺毒軟件檢查后,沒什么反映或清除一部分病毒后還是覺得不對勁,可以根據文件時間檢查可疑對象,

教你辨別真假文件的技巧

    文件時間分為創(chuàng)建時間、修改時間(還有一個訪問時間,不用管),可以從文件的屬性中看到,點選文件,右擊,選擇菜單中的屬性就可以在“常規(guī)”那頁看到這些時間了。

    通常病毒、木馬文件的創(chuàng)建時間和修改時間都比較新,如果你發(fā)現的早,基本就是近幾日或當天。c:\windows和c:\windows \system32,有時還有c:\windows\system32\drivers,如果是2000系統(tǒng),就把上面的windows改成winnt,這些地方都是病毒木馬常呆的地方,按時間排下序(查看-詳細資料,再點下標題欄上的“修改時間”),查看下最新幾日的文件,特別注意exe和dll文件,有時還有dat、ini、cfg文件,不過后面這些正常的文件也有比較新的修改時間,不能確認就先放一邊,重點找exe和dll,反正后三個也不是執(zhí)行文件。一般來說系統(tǒng)文件特別是exe和dll)不會有如此新的修改時間。

    當然更新或安裝的其它應用軟件可能會有新的修改時間,可以再對照下創(chuàng)建時間,另外自己什么時間有沒裝過什么軟件應該知道,實在不知道用搜索功能,在全硬盤上找找相關時間有沒建立什么文件夾,看看是不是安裝的應用軟件,只要時間對得上就是正常的。如果都不符合,就是病毒了,刪除。

    說明一點,正如不是所有最新的文件都是病毒一樣,也不是說所有病毒的時間都是最新的,有的病毒文件的日期時間甚至會顯示是幾年前。

    當然我們還有其他的分辨方法。

    二、文件名

    文件名是第一眼印象,通過文件名來初步判斷是否可疑是最直接的方法,之所以放在時間判斷后面,實在是從一大堆文件中分揀可疑分子太難了,還是用時間排下序方便些。

    我們常說的隨機字母(有時還有數字,較少)組合的文件名,病毒最愛用它(曾經發(fā)現某些正常軟件也有使用這種奇怪組合的習慣,比如雅虎上網助手,每次文件名都不一樣,動機可疑,還有某貓的驅動程序也看似隨機組合,不過幸好有廠商信息可以協(xié)助分辨,這個下一點再說)。

    還有文件名的長度,有的嚴重超出8位文件名的標準,有10幾位之多,這都應列為可疑對象,尤其是IE插件中有這些的文件名出現。

    當然光說文件名古怪、隨機組合,似乎沒有一個標準,不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的排列組合,所以真要依靠文件名判斷,還是要對系統(tǒng)文件夾下的文件、常規(guī)文件有一定了解后才能比較好的掌握。初步來說,結合上面的時間還有其它手段共同判斷,還是可以發(fā)現點東西的。

    還有一種就是假冒正常文件、系統(tǒng)文件的文件名,這倒比較好識別,比如 svchost.EⅩE和svch0st.EⅩE,很明顯后者在假冒前者,這種欲蓋彌彰倒更容易暴露,前提是你對系統(tǒng)文件名比較熟悉,有事沒事打開任務管理器學習一下吧。

    對應于文件名,還有服務名、驅動名、注冊表啟動項名,相對而言,這些項目的名字如果沒有表示出一定含義,倒真是病毒了,還沒幾個廠商會不負責任地給自己的軟件要用到的服務、驅動、啟動項起個無意義、隨便組合的名字,如果服務、驅動、啟動項名是有問題的,那么下面使用的文件一定是有問題的,

電腦資料

教你辨別真假文件的技巧》(http://www.dameics.com)。

    實在沒把握,把文件名(有時要包括完整文件路徑,不同路徑下的同名文件可不一樣,這個以后說)、服務名、驅動名、啟動項名放到網上搜索一下,看看別人怎么說的,特別是對查不到的、還有服務、驅動、啟動項與文件名對不上的(如同一服務名在網上查出有不同文件與之對應,或相反情況),都可以列為可疑對象。

    看版本信息和位置

    三、版本信息

    檢查文件時間有不確定性,再加一個檢查項目文件版本,也是在文件的屬性中查看,有文件版本、廠商信息等。首先明確一下,不是所有文件都有版本信息,也不是所有無版本信息的文件都是病毒文件,更不是所有顯示微軟信息的文件都真是微軟的。

    文件名、文件時間,再對上文件版本,基本可以得出一個結果,比如一個奇怪的文件名,顯示微軟的廠商信息,明顯可疑;或者本來應該是正常的系統(tǒng)文件(如explorer.EⅩE或userinit.EⅩE)卻沒有版本信息,可能是被病毒替換或破壞了;還有soundman.EⅩE廠商信息竟然是 1,可以考慮刪除了,應該不是聲卡的程序了。

    版本信息中除了廠商以外,還有原文件名,有時你會在這里發(fā)現一個與檢查文件不同的名字,真是別有天地。

    四、位置

    病毒木馬喜歡呆的地方是系統(tǒng)文件夾,windows、windows\system32、windows/system32 \drivers,還有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,還有就是臨時文件夾、IE緩存

    首先臨時文件夾c:\documents and settings\你的用戶名\local settings\temp和c:\windows\temp是一定要清的,而且可以大膽地刪除,不管好壞,刪了沒事,IE緩存也要清的,不是直接進文件夾刪除,而從IE的菜單工具-internet選項進入,刪除文件-刪除所有脫機文件,最好在高級那設成關閉瀏覽器時自動清空臨時文件,就省事了。

    其它文件夾,主要看是否有不該存在的文件存在,比如windows文件夾中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,絕對可疑,還有比如svchost.EⅩE、ctfmon.EⅩE突然出現在windows或其它文件夾中,而不是在它們應該在的system32 中,也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗,相對而言文件比較少的文件夾比較好判斷,多出什么很容易發(fā)覺,比如 windows、ie文件夾,多看看,就知道基本就是那些,多一兩個exe或dll,馬上可以發(fā)現(很多流氓軟件是會在這里安身)。

    還有就是結合注冊表啟動項,一般啟動項引用到windws中的不多,基本是輸入法、聲卡管理,更多的就可疑了,指到system32下的了多看兩眼,實在拿不準,老辦法,到網上查文件名。如果發(fā)現啟動項指向font字體文件夾的,那不用想了,一定有問題。

最新文章