注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

多媒体教学

------稻庄镇中心小学信息技术与学科教学有效整合的研究与推广交流社区

 
 
 

日志

 
 

另类电脑查毒  

2010-11-23 13:35:16|  分类: 网络安全 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

山东省临清县先锋办事处东柴庄学校   郭新

根据文件时间

     如果你觉得电脑不对劲,可以先根据文件时间检查可疑对象。

     文件时间分为创建时间、修改时间、访问时间等,可以从文件的属性中看到。点选文件,右键单击鼠标,选择菜单中的属性就可以在“常规”那页看到这些时间了。

     通常受病毒感染文件的创建时间和修改时间都比较新,基本就是近几日或当天。c/windowsc/windows/system32,这些地方都是病毒木马常呆的地方,按时间排序文件,查看最近几天的文件,特别注意exedll文件,有时还有datinicfg文件,一般来说,系统文件特别是exedll文件不应该有太新的修改时间。

  当然更新或安装其他应用软件可能会有新的修改时间,可以再对照创建时间。另外,自己什么时间装过什么软件应该知道。实在不知道用搜索功能,在硬盘上找找相关时间有没有建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了。

根据文件名

     文件名是文件给人的第一印象,通过文件名来初步判断文件是否可疑是最直接的方法。之所以放在时间判断后面,实在是从一大堆文件中挑拣可疑分子太难了,还是先用时间排序方便些。

     我们常说的随机字母(有时还有数字)组合的文件名,病毒最爱用它。当然,某些软件也有。使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,还有一些硬件的驱动程序也看似随机组合,好在还有厂商信息可以协助分辨。

     当然光说文件名古怪,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合。所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好地掌握。结合上面的时间法还有其他手段综合判断,还是可以发现点东西的。

     还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别。比如svchost.exesvchOst.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。对应于文件名,还有服务名、驱动名、启动项目。这些项目的名字如果没有表示出一定含义,就真是病毒了。还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字。如果服务、驱动、启动项目名是有问题的,那么其中的文件一般是有问题的。

     若实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样)、服务名、驱动名、启动项目名放到网上搜索一下,那些查不到的,还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都是可疑对象。

根据版本信息

    首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。

     但文件名、文件时间,再对上文件版本,基本可以对文件是否染毒得出一个结论。比如一个奇怪的文件名,显示微软的厂商信息明显可疑,或者本来应该是正常的系统文件(explorer.exeuserinit.exe)却没有版本信息,就可能是被病毒替换或破坏了。

     版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。

根据文件位置

     病毒喜欢呆的地方是系统文件夹,c/windowsc/windows/system32c/windows/system32/drivers,还有c/program files/internet explorer/c/program files/internel explorer/pluginc/program files/common files/microsoft shared,还有就是临时文件夹、IE缓存。

     首先,临时文件夹c/documents and settings/用户名/local settings/tempc/windows/temp是一定要清除的,其中的文件可以大胆地删除,不管好坏,删了没事。IE缓存也要清除,不是直接进文件夹删除,而从IE的菜单“工具——internet选项”进入,“删除文件——删除所有脱机文件”,最好在高级那儿设成“关闭浏览器时自动清空临时文件”,就更省事了。

    对于其他文件夹,我们主要看是否有不该存在的文件存在,比如windows文件夹中多了瑞星的文件、realplayer的文件,绝对可疑。还有像svehost.exectfmon.exe文件突然出现在c/windows或其他文件夹中,而不是在它们应该在的c/windows/system32中,也可以确定是病毒。

     当然可以结合上面的几个方法一起判断。有的时候得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如IE文件夹,看多了,就知道基本就是那些文件,多一两个陌生exedll文件,马上可以发现(很多“流氓”软件会在这里安身)

     说真的,真要从一堆英文名中找出可疑的文件名挺难的,综合使用各个方法,配合工具软件分类显示才是捷径。比如SREng,把服务驱动列出来,名字、文件、路径一摆,就很明显了。有的名字就是乱写的,对照后面的文件名就很清楚了;有的病毒会冒充系统服务名,不过与正常的一对比,连网也不用上,就可以找出问题。
  评论这张
 
阅读(224)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017