本文目录一览:
- 1、怎么一眼看出一个文件带有木马或病毒??
- 2、如何识别电脑病毒
- 3、怎么检查电脑是否有木马
- 4、怎样辨别木马
- 5、如何分辨文件是否木马?
- 6、怎样判断文件是否为恶意文件
怎么一眼看出一个文件带有木马或病毒??
1.看文件大小,看你下载文件的实际大小是不是很文件本身大小差距过大。
2.一般下载文件很少有后缀名是EXE的,下到这样的文件,一般大小不出5M。应该是病毒。
3.在一个网站下载软件,可以下载不同的两个软件,如果下载后的文件是同一个,那这个网站的所有的东西全是有木马的。
4.中毒多了,经验丰富了,你就能看出来了。
如何识别电脑病毒
如何识别电脑病毒
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的`排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是 1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位 置
病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32 \drivers,还有c:\programfiles\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,还有就是临时文件夹、IE缓存。
首先临时文件夹c:\documents and settings\你的用户名\localsettings\temp和c:\windows\temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32 中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file namehere without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是 debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或 ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
怎么检查电脑是否有木马
一、通过启动文件检测木马
一旦电脑中了木马,则在电脑开机时一般都会自动加载木马文件,由于木马的隐藏性比较强,在启动后大部分木马都会更改其原来的文件名;
如果用户对电脑的启动文件非常熟悉,则可以从Windows系统自动加载文件中分析木马的存在并清除木马,这种方式是最有效、最直接的检测木马方式;
但是,由于木马自动加载的方法和存放的文职比较多,这种方法对于不太懂电脑的人来说比较有难度。
二、通过进程检测木马
由于木马也是一个应用程序,一旦运行,就会在电脑系统的内存中驻留进程。因此,我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程;
在Windows系统中,按下【Ctrl+Alt+Delete】组合键,打开【Windows任务管理器】窗口,选择【进程】选项卡,查看列表 中是否存在可以的木马程序;
如果存在可疑进程,选中此进程并右击,从弹出的快捷菜单中选择【结束进程】即可结束词进程;
【Windows进程管理器】的主界面看下面的图;
在列表中选择其中一个进程选项之后,单击【描述】按钮,即可看到该进程的详细信息;
在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。
三、通过网络连接检测木马
木马的运行通常是通过网络连接实现的,因此,用户可以通过分析网络连接来推测木马是否存在,最简单的办法是利用Windows自带的Netstat命令;
选择“开始”-“运行”菜单项,打开“运行”对话框,单击“确定”按钮,打开“命令提示符”窗口;
在“命令提示符”窗口中输入“netstat -a”,按“Enter”键,在其运行结果中查看有哪些可以的运行程序来判断木马文件。
注意:
参数“-a”的作用是显示计算机中目前所有处于监听状态的端口。
如果出现不明端口处于监听状态,而且前又没有进行任何网络服务的操作,则在监听该端口的很有可能是木马。
怎样辨别木马
你好!
你可从文件的后缀名中进行判断,一般木马病毒后缀名有:
ad[ep] .asd .ba[st] .c[ho]m .cmd .cpl .crt .dbx .dll .exe .hlp .hta .in[fs] .isp .js .jse .lnk .md[etw] .ms[cipt] .nws .ocx .ops .pcd .pi .prf .reg .scf .scr .sct .sh[bms] .uue .vb .vb[esx] .vxd .wab .ws[cfh] .cmd .bat .com .exe .scr .cpl .rtf .wab .cpp .pas .mp8 .bak .mpg .tmp .wab .dbx .tbb .sht .mbx .eml .pmr .fpt .inb .adb .asp .cfg .cgi .dbx .dhtm .eml .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .uin .wab .wsh .vbs等等。。。。
如电脑出现上述扩展名,建议你用腾讯电脑管家进行一次全盘查杀,查杀步骤:
下载安装腾讯电脑管家后,打开腾讯电脑管家上的【杀毒】,选择【全盘查杀】,如图:
腾讯电脑管家企业平台:
如何分辨文件是否木马?
给你个网站
传上去查一下就好了。
当然你自己有杀毒软件也行。
如果你想凭眼力看出是否是木马,这需要一定的积累,下面举一些例子
1.仿冒型:名称是系统文件的名称,而且一般是常用系统文件的名称,但文件目录不对;还有一种就是system32下面,文件名称很像系统文件,但是替换了某些字符,比如说svchost.exe变成svch0st.exe这样的东西
2.乱七八糟型:这种一般都是文件名称是数字+字母胡乱排列的
3.U盘根目录下面的exe90%是病毒
怎样判断文件是否为恶意文件
使用电脑时,往往会遇到一些不太可信的文件,如解除版游戏或软件,算号器及注册机,小众软件,网购时对方给的文件等,这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全,不打开不舒心;这时就需要一些 方法 判断这个文件是否安全。以下我整理的判断文件是否为恶意文件的技巧,供大家参考,希望大家能够有所收获!
判断文件是否为恶意文件的方法:
一、查看文件属性
1、通过文件名判断
查看文件属性可以说是最简单快捷的一个方法。这个方法,只能对那些伪装为正常文件的病毒木马有效,而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术,例如,某文件名为“照片.gif.exe”或者是“货物exe.jpg”,这类文件几乎可以肯定有问题。
这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户,该类用户在收到“照片.gif.exe”时,只能看到“照片.gif”,很容易误以为这是一个后缀名为gif的图片文件,打开这类文件几乎可以肯定会出问题,当然QQ和旺旺貌似都会对可执行文件强制改名,很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用户,这类用户看到陌生文件后往往不会认真查看文件属性,结果往往会将“货物exe.jpg”这类文件误以为是后缀名为jpg的图片文件,但实际上却是可执行文件,运行后肯定又悲剧了。
这里,最主要的就是取消掉“隐藏已知文件扩展名”,方法如下:
依次点击,开始菜单-控制面板-文件夹选项,然后如下图设置即可,
当然,双后缀和unicode反转中没有可执行文件的扩展名时,就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi等。另外,CAD文件、office文件、PDF文件等也需要注意,因为这些文件都有可能感染病毒,如CAD病毒、宏病毒等,打开带有这些病毒的文件时,可能会使电脑上的正常CAD文件和office文件受损,如果可能,尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。
除了双后缀和unicode反转,某些特殊的文件名的文件也需要注意,例如过于简单的文件名,如1.exe、d.exe等;与系统文件或有名软件的名称极为相似的文件名,如expIore.exe、QQDown1oad.exe等;看起来像网址的文件,如wenwen.soso.com、等;扩展名偏门的文件也不要随意打开,例如hta、pif、vbs之类的。
2、通过数字签名判断
程序上的数字签名标明了程序的厂商,在软件上主要就是用于验证软件的完整性,在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。
如果声称自己是正规公司出品,或者是软件名或文件名是某个有名的软件,但有没有有效的数字签名,那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑,因为数字签名无效在属性里不能直接看到,很容易将之误解为是某个正规公司的软件。需要注意的是,大多数解除软件、第三方修改版软件都没有数字签名,这些很危险,因为无法验证在发布后是否被修改过。
下面是数字签名的验证方式(以傲游3为例):
(1)、在傲游3主程序(Maxthon.exe)上右击,在弹出菜单中选择“属性”,在属性窗口中单击数字签名选项卡:
2、在数字签名选项卡中选中签名,单击详细信息查看证书的详细信息:
在这里面,需要特别注意查看数字签名是否有效,数字签名有效,该软件可信,数字签名无效,该软件就很可疑了;还需要注意颁发者,如果颁发者名不见经传,那也需要注意。比较常见的有一下几种:COMODO、VeriSign、Microsoft等。
二、根据多引擎扫描网站的结果判断:
这是判断某个文件是否是病毒木马的另一个较快的办法。
多引擎扫描网站利用网站服务器上的杀软引擎,将用户上传的文件进行扫描,得出扫描结果。利用这个结果,有时候可以很快判断文件是不是病毒。
一般来说,当某个文件,所有杀毒软件引擎都报毒,或上段提到的几个杀毒软件都报毒,那几乎可以肯定该文件是恶意文件,打开会导致电脑出问题。如果所有杀毒软件都没有报毒,而文件在网络上又已经有一段时间了,那该文件几乎不可能是恶意软件。
当然更多的情况是一些杀毒软件报毒,一些不报毒,这个时候就需要对杀毒软件的及病毒名进行综合查看,有名的杀毒软件,特别是在AV-TEST、AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由,例如:backdoor意为后门,即软件作者可能绕过安全性控制而获取对程序或系统访问权;spy、Trojan为间谍软件,即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息;malware是病毒的一种,可能感染并损害计算机;win32一般多见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性最高)等等,具体可以在软件官网上查询到。