電腦病毒識別

　　我們在使用防毒軟體防毒的時候，常常會檢測出很多“病毒”，許多朋友抱著“寧可錯殺一堆，絕不放過一個”的態度，將檢測出的“病毒”全部刪掉，下面由小編給你做出詳細的介紹下怎麼識別病毒!希望對你有幫助!

　　一、檔案時間

　　如果你覺得電腦不對勁，用防毒軟體檢查後，沒什麼反映或清除一部分病毒後還是覺得不對勁，可以根據檔案時間檢查可疑物件。

　　檔案時間分為建立時間、修改時間***還有一個訪問時間，不用管***，可以從檔案的屬性中看到，點選檔案，右擊，選擇選單中的屬性就可以在“常規”那頁看到這些時間了。

　　通常病毒、木馬檔案的建立時間和修改時間都比較新，如果你發現的早，基本就是近幾日或當天。c:\windows和c:\windows \system32，有時還有c:\windows\system32\drivers，如果是2000系統，就把上面的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時間排下序***檢視-詳細資料，再點下標題欄上的“修改時間”***，檢視下最新幾日的檔案，特別注意exe和dll檔案，有時還有dat、ini、cfg檔案，不過後面這些正常的檔案也有比較新的修改時間，不能確認就先放一邊，重點找exe和dll，反正後三個也不是執行檔案。一般來說系統檔案特別是exe和dll***不會有如此新的修改時間。

　　當然更新或安裝的其它應用軟體可能會有新的修改時間，可以再對照下建立時間，另外自己什麼時間有沒裝過什麼軟體應該知道，實在不知道用搜索功能，在全硬碟上找找相關時間有沒建立什麼資料夾，看看是不是安裝的應用軟體，只要時間對得上就是正常的。如果都不符合，就是病毒了，刪除。

　　說明一點，正如不是所有最新的檔案都是病毒一樣，也不是說所有病毒的時間都是最新的，有的病毒檔案的日期時間甚至會顯示是幾年前。

　　當然我們還有其他的分辨方法。

　　二、檔名

　　檔名是第一眼印象，通過檔名來初步判斷是否可疑是最直接的方法，之所以放在時間判斷後面，實在是從一大堆檔案中分揀可疑分子太難了，還是用時間排下序方便些。

　　我們常說的隨機字母***有時還有數字，較少***組合的檔名，病毒最愛用它***曾經發現某些正常軟體也有使用這種奇怪組合的習慣，比如雅虎上網助手，每次檔名都不一樣，動機可疑，還有某貓的驅動程式也看似隨機組合，不過幸好有廠商資訊可以協助分辨，這個下一點再說***。

　　還有檔名的長度，有的嚴重超出8位檔名的標準，有10幾位之多，這都應列為可疑物件，尤其是IE外掛中有這些的檔名出現。

　　當然光說檔名古怪、隨機組合，似乎沒有一個標準，不熟悉電腦的人看所有的英文檔名都可能認為是奇怪的、無意義的排列組合，所以真要依靠檔名判斷，還是要對系統資料夾下的檔案、常規檔案有一定了解後才能比較好的掌握。初步來說，結合上面的時間還有其它手段共同判斷，還是可以發現點東西的。

　　還有一種就是假冒正常檔案、系統檔案的檔名，這倒比較好識別，比如 svchost.exe和svch0st.exe，很明顯後者在假冒前者，這種欲蓋彌彰倒更容易暴露，前提是你對系統檔名比較熟悉，有事沒事開啟工作管理員學習一下吧。

　　對應於檔名，還有服務名、驅動名、登錄檔啟動項名，相對而言，這些專案的名字如果沒有表示出一定含義，倒真是病毒了，還沒幾個廠商會不負責任地給自己的軟體要用到的服務、驅動、啟動項起個無意義、隨便組合的名字，如果服務、驅動、啟動項名是有問題的，那麼下面使用的檔案一定是有問題的。

　　實在沒把握，把檔名***有時要包括完整檔案路徑，不同路徑下的同名檔案可不一樣，這個以後說***、服務名、驅動名、啟動項名放到網上搜索一下，看看別人怎麼說的，特別是對查不到的、還有服務、驅動、啟動項與檔名對不上的***如同一服務名在網上查出有不同檔案與之對應，或相反情況***，都可以列為可疑物件。

　　三、版本資訊

　　檢查檔案時間有不確定性，再加一個檢查專案檔案版本，也是在檔案的屬性中檢視，有檔案版本、廠商資訊等。首先明確一下，不是所有檔案都有版本資訊，也不是所有無版本資訊的檔案都是病毒檔案，更不是所有顯示微軟資訊的檔案都真是微軟的。

　　檔名、檔案時間，再對上檔案版本，基本可以得出一個結果，比如一個奇怪的檔名，顯示微軟的廠商資訊，明顯可疑;或者本來應該是正常的系統檔案***如explorer.exe或userinit.exe***卻沒有版本資訊，可能是被病毒替換或破壞了;還有soundman.exe廠商資訊竟然是 1，可以考慮刪除了，應該不是音效卡的程式了。

　　版本資訊中除了廠商以外，還有原檔名，有時你會在這裡發現一個與檢查檔案不同的名字，真是別有天地。

　　四、位置

　　病毒木馬喜歡呆的地方是系統資料夾，windows、windows\system32、windows/system32 \drivers，還有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared，還有就是臨時資料夾、IE快取

　　首先臨時資料夾c:\documents and settings\你的使用者名稱\local settings\temp和c:\windows\temp是一定要清的，而且可以大膽地刪除，不管好壞，刪了沒事，IE快取也要清的，不是直接進資料夾刪除，而從IE的選單工具-internet選項進入，刪除檔案-刪除所有離線檔案，最好在高階那設成關閉瀏覽器時自動清空臨時檔案，就省事了。

　　其它資料夾，主要看是否有不該存在的檔案存在，比如windows資料夾中多了什麼瑞星的檔案***卡卡的倒是有在那***、realplayer的檔案，絕對可疑，還有比如svchost.exe、ctfmon.exe突然出現在windows或其它資料夾中，而不是在它們應該在的system32 中，也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗，相對而言檔案比較少的資料夾比較好判斷，多出什麼很容易發覺，比如 windows、ie資料夾，多看看，就知道基本就是那些，多一兩個exe或dll，馬上可以發現***很多流氓軟體是會在這裡安身***。

　　還有就是結合登錄檔啟動項，一般啟動項引用到windws中的不多，基本是輸入法、音效卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿不準，老辦法，到網上查檔名。如果發現啟動項指向font字型資料夾的，那不用想了，一定有問題。

　　服務驅動也是如此，不是在system32或driver中的就要多檢查下***自然在它們下面的也要檢查，何況不在***。

　　除了資料夾位置，還有登錄檔位置，除了幾個RUN的啟動項，還有映像劫持***IFEO***要檢查，值有debugger的都要注意一下，除了最後一個your image file name here without a path有個debugger=ntsd -d，其它的是都沒有的，只要有發現就是被劫持***免疫的除外，免疫是把已知病毒程式名劫持到不存在的檔案上，使其不能執行***，然後就找劫持檔案，就是 debugger後面的檔案，找到後連同登錄檔項一起刪除。但注意，現在的劫持有的用的不是病毒檔案，是系統檔案或命令，比如svchost.exe或 ntsd -d，這就不要刪除檔案了，只要把登錄檔項刪除。

　　還有要注意的登錄檔項有appinit_dlls，一般為空值***例外，卡卡的一個檔案會放這***，如果多出值就是病毒，按名字找到刪除。還有一個就是userinit，一般也是空的，多東西修改就要查查是否正常。

　　推薦用SREng來檢查，比較方便，也會自動提示以上修改。

　　結語：

　　說真的，真要從一堆英文名中找出可疑的檔名挺難的，綜合使用各個方法，配合工具軟體分類顯示才是捷徑，比如SREng，把服務驅動列出來，名字、檔案、路徑一擺，就很明顯了，有的名字就是亂寫的，對照後面的檔名就很清楚了，有的細心的會冒充系統服務名，不過與正常的一對比，連網也不用上，也可以找出問題***隱藏微軟服務後非微軟的服務就露出來了，如果還頂個系統服務名或接近系統服務的名字，就一定有問題，不是把正常服務改了，就是額外加進來的李鬼***。

此文的人還：