電腦中病毒了，如何快速判斷一個(gè)文件為病毒文件？

現(xiàn)在的病毒真是鋪天蓋地，盡管每天都會(huì)使用殺毒軟件，可病毒依然不斷，所以殺毒的時(shí)候經(jīng)常會(huì)抱著“寧可枉殺一千，決不漏掉一個(gè)”的心態(tài)，將檢測(cè)出的“病毒”統(tǒng)統(tǒng)殺掉，殊不知我們可能刪掉了一些被感染的系統(tǒng)文件。所以小編建議大家最好安裝專(zhuān)業(yè)的殺毒軟件，比如瑞星全功能安全軟件，可以做到只清除病毒不刪除染毒文件，避免殺毒時(shí)刪除重要文件的情況。但僅靠殺毒軟件來(lái)識(shí)別是不夠的，現(xiàn)在小編就教大家?guī)讉�(gè)識(shí)別病毒文件的方法。

一、文件時(shí)間

如果你覺(jué)得電腦有問(wèn)題，可用殺毒軟件檢查后，依然沒(méi)什么反映或只除掉一部分病毒后還是覺(jué)得不對(duì)勁，就可以根據(jù)文件的時(shí)間來(lái)檢查可疑對(duì)象。

文件時(shí)間分為創(chuàng)建時(shí)間、修改時(shí)間(還有一個(gè)訪問(wèn)時(shí)間，現(xiàn)在不提)，可以點(diǎn)選文件，右擊，選擇菜單中的屬性就可以在“常規(guī)”那頁(yè)看到這些時(shí)間了。

通常病毒、木馬文件的創(chuàng)建時(shí)間和修改時(shí)間都比較新，如果及時(shí)發(fā)現(xiàn)，時(shí)間基本就是近幾日或當(dāng)天。c:/windows和c:/windows/system32，有時(shí)還有c:/windows/system32/drivers，如果是2000系統(tǒng)，就把上面的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時(shí)間排下序(查看-詳細(xì)資料，再點(diǎn)下標(biāo)題欄上的“修改時(shí)間”)，查看下最新幾日的文件，特別注意exe和dll文件以及dat、ini、cfg文件，不過(guò)后面這些正常的文件也有比較新的修改時(shí)間，不能確認(rèn)就先放一邊，重點(diǎn)找exe和dll，反正后三個(gè)也不是執(zhí)行文件。一般來(lái)說(shuō)系統(tǒng)文件特別是exe和dll會(huì)有如此新的修改時(shí)間。

當(dāng)然更新或安裝的其它應(yīng)用軟件可能會(huì)有新的修改時(shí)間，可以再對(duì)照下創(chuàng)建時(shí)間，另外自己什么時(shí)間有沒(méi)裝過(guò)什么軟件應(yīng)該知道，實(shí)在不知道用搜索功能，在全硬盤(pán)上找找相關(guān)時(shí)間有沒(méi)建立什么文件夾，看看是不是安裝的應(yīng)用軟件，只要時(shí)間對(duì)得上就是正常的。如果都不符合，就是病毒了，咱們直接刪除。

說(shuō)明一點(diǎn)：正如不是所有最新的文件都是病毒一樣，也不是說(shuō)所有病毒的時(shí)間都是最新的，有的病毒文件的日期時(shí)間甚至?xí)�顯示是幾年前。

當(dāng)然我們可以靠文件名來(lái)分辨。

二、文件名

文件名是第一眼印象，通過(guò)文件名來(lái)初步判斷是否可疑其實(shí)是最直接的方法，之所以放在時(shí)間判斷后面，實(shí)在是從一大堆文件中揪出犯罪分子的確比較困難，而用時(shí)間排下序稍方便些。

我們常說(shuō)的隨機(jī)字母(有時(shí)還有數(shù)字，較少)組合的文件名，病毒最?lèi)?ài)用它(曾經(jīng)發(fā)現(xiàn)某些正常軟件也有使用這種奇怪組合的習(xí)慣，比如雅虎上網(wǎng)助手，每次文件名都不一樣，動(dòng)機(jī)可疑，還有某貓的驅(qū)動(dòng)程序也看似隨機(jī)組合，不過(guò)幸好有廠商信息可以協(xié)助分辨，這個(gè)下一點(diǎn)再說(shuō))。

還有文件名的長(zhǎng)度，有的嚴(yán)重超出8位文件名的標(biāo)準(zhǔn)，有10幾位之多，這都應(yīng)列為可疑對(duì)象，尤其是IE插件中有這些的文件名出現(xiàn)。

當(dāng)然光說(shuō)文件名古怪、隨機(jī)組合，似乎沒(méi)有一個(gè)標(biāo)準(zhǔn)，不熟悉電腦的人看所有的英文文件名都可能認(rèn)為是奇怪的、無(wú)意義的排列組合，所以真要依靠文件名判斷，還是要對(duì)系統(tǒng)文件夾下的文件、常規(guī)文件有一定了解后才能比較好的掌握。初步來(lái)說(shuō)，結(jié)合上面的時(shí)間還有其它手段共同判斷，還是可以發(fā)現(xiàn)點(diǎn)東西的。

還有一種就是假冒正常文件、系統(tǒng)文件的文件名，這倒比較好識(shí)別，比如 svchost.exe和svch0st.exe，很明顯后者在假冒前者，這種欲蓋彌彰倒更容易暴露，不過(guò)這需要我們對(duì)系統(tǒng)文件名比較熟悉。

除了文件名，還有服務(wù)名、驅(qū)動(dòng)名、注冊(cè)表啟動(dòng)項(xiàng)名，相對(duì)而言，這些項(xiàng)目的名字如果沒(méi)有一定含義，絕對(duì)是病毒，沒(méi)有幾個(gè)廠商會(huì)隨意地給自己的軟件要用到的服務(wù)、驅(qū)動(dòng)、啟動(dòng)項(xiàng)起個(gè)無(wú)意義的名字，如果服務(wù)、驅(qū)動(dòng)、啟動(dòng)項(xiàng)名是有問(wèn)題的，那么下面使用的文件一定是有問(wèn)題的。

三、版本信息

檢查文件時(shí)間有不確定性，再加一個(gè)檢查項(xiàng)目文件版本，也是在文件的屬性中查看，有文件版本、廠商信息等。首先明確一下，不是所有文件都有版本信息，也不是所有無(wú)版本信息的文件都是病毒文件，更不是所有顯示微軟信息的文件都真是微軟的。

文件名、文件時(shí)間，再對(duì)上文件版本，基本可以得出一個(gè)結(jié)果，比如一個(gè)奇怪的文件名，顯示微軟的廠商信息，明顯可疑;或者本來(lái)應(yīng)該是正常的系統(tǒng)文件(如explorer.exe或userinit.exe)卻沒(méi)有版本信息，可能是被病毒替換或破壞了，還有soundman.exe廠商信息竟然是1，可以果斷刪除了。

版本信息中除了廠商以外，還有原文件名，有時(shí)你會(huì)在這里發(fā)現(xiàn)一個(gè)與檢查文件截然不同的名字。

四、位置

病毒木馬喜歡呆的地方是系統(tǒng)文件夾，windows、windows/system32、windows/system32/drivers，還有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared，還有就是臨時(shí)文件夾、IE緩存

首先臨時(shí)文件夾c:/documents and settings/你的用戶(hù)名/local settings/temp和c:/windows/temp是一定要清的，而且可以大膽地刪除，不管好壞，刪了沒(méi)事，IE緩存也要清的，不是直接進(jìn)文件夾刪除，而從IE的菜單工具-internet選項(xiàng)進(jìn)入，刪除文件-刪除所有脫機(jī)文件，最好在高級(jí)那設(shè)成關(guān)閉瀏覽器時(shí)自動(dòng)清空臨時(shí)文件，就省事了。

其它文件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對(duì)可疑，還有比如svchost.exe、ctfmon.exe突然出現(xiàn)在windows或其它文件夾中，而不是在它們應(yīng)該在的system32中，也可以確定是病毒。當(dāng)然可以結(jié)合上面的幾個(gè)方法一起判斷。有的時(shí)候是得靠經(jīng)驗(yàn)，相對(duì)而言文件比較少的文件夾比較好判斷，多出什么很容易發(fā)覺(jué)。

還有就是結(jié)合注冊(cè)表啟動(dòng)項(xiàng)，一般啟動(dòng)項(xiàng)引用到windws中的不多，基本是輸入法、聲卡管理，更多的就可疑了，指到system32下的了多看兩眼，實(shí)在拿不準(zhǔn)，老辦法，到網(wǎng)上查文件名。如果發(fā)現(xiàn)啟動(dòng)項(xiàng)指向font字體文件夾的，那不用想了，一定有問(wèn)題。

除了文件夾位置，還有注冊(cè)表位置，除了幾個(gè)RUN的啟動(dòng)項(xiàng)，還有映像劫持(IFEO)要檢查，值有debugger的都要注意一下，除了最后一個(gè)your image file name here without a path有個(gè)debugger=ntsd -d，其它的是都沒(méi)有的，只要有發(fā)現(xiàn)就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能運(yùn)行)，然后就找劫持文件，就是debugger后面的文件，找到后連同注冊(cè)表項(xiàng)一起刪除。但注意，現(xiàn)在的劫持有的用的不是病毒文件，是系統(tǒng)文件或命令，比如svchost.exe或ntsd -d，這就不要?jiǎng)h除文件了，只要把注冊(cè)表項(xiàng)刪除。

還有要注意的注冊(cè)表項(xiàng)有appinit_dlls，一般為空值，如果多出值就是病毒，按名字找到刪除。還有一個(gè)就是userinit，一般也是空的，多東西修改就要查查是否正常。

結(jié)語(yǔ)：

雖然小編跟大家羅列了這么多識(shí)別病毒文件的方法，可要真從一大堆文件中揪出病毒文件卻并不是一件容易的事情，希望大家可以綜合利用這幾個(gè)方法，及時(shí)把藏匿的內(nèi)鬼揪出來(lái)！