电脑病毒文件怎么样识别
学习啦在线学习网电脑病毒文件怎么样识别
电脑病毒会经常存在我们的电脑文件里,如果文件有了病毒,要怎么样去识别呢?下面由学习啦小编给你做出详细的电脑病毒文件识别方法介绍!希望对你有帮助!
电脑病毒文件识别方法一:
通过文件时间
学习啦在线学习网 如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
学习啦在线学习网 文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
学习啦在线学习网 通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
学习啦在线学习网 当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
学习啦在线学习网 当然我们还有其他的分辨方法。
电脑病毒文件识别方法二:
学习啦在线学习网 System Volume Information
文件夹里的NTFS木马(安全问题)
1、参考原理: 在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。
2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。
学习啦在线学习网 3、解决方案:阻止“System Volume Information”文件夹的自动生成。(可以用unlocker删除) 4、解决的具体方法:右击用unlocker删除,unlocker就会删除这个文件夹,打开回收站,再看看,是不是多了很多文件,这时还无法删除,现在打开x:/RECYCLER(“x:/”表示“System Volume Information”所在的分区),右击unlocker点击移动到桌面,桌面就会生成一些隐藏文件,这时选中这些文件,右击属性,将“只读”去掉,再选中之后,用unlocker删除,并且清空回收站,这样“System Volume Information”文件夹就从电脑中消失了。
电脑病毒文件识别方法三:
计算机病毒通常并不是以独立的文件存在的,而是一段寄生在其它文件中、具有自动复制及破坏功能的程序代码。也正因为如此,计算机病毒容易伪装。
当然,现在的一些网络蠕虫病毒为利用邮件等方式传播时,会随机伪造一些具有诱惑力的文件名――如 性感图片,***的照片;、××软件等CRACK等。
计算机病毒通常容易感染带有(EXE COM)扩展名的文件。
没有什么比较大众化的扩展名
看了“电脑病毒文件怎么样识别”文章的还看了:
4.如何识别电脑病毒