電腦木馬病毒怎樣識別? 電腦木馬病毒識別的方法?

今天給大家帶來電腦木馬病毒怎樣識別?，電腦木馬病毒識別的方法?，，讓您輕鬆解決問題。

　　電腦病毒有各種各樣，很多病毒具有隱蔽性、傳播性、潛伏性和破壞性等等，一旦電腦受到病毒的感染，那麼電腦可能會出現各種故障問題、係統文件遭到損壞、個人隱私被泄露或甚至藍屏死機等等。可是電腦中的文件那麼多我們該如何識別病毒文件呢?下麵豆豆教大家簡單識別病毒的四種方法。

　　360係統急救箱：http://www.doudouxitong.com/tools/anquan/2014/0930/3784.html

　　一、文件名文件名是第一眼印象，通過文件名來初步判斷是否可疑是最直接的方法，之所以放在時間判斷後麵，實在是從一大堆文件中分揀可疑分子太難了，還是用時間排下序方便些。

　　我們常說的隨機字母(有時還有數字，較少)組合的文件名，病毒最愛用它(曾經發現某些正常軟件也有使用這種奇怪組合的習慣，比如雅虎上網助手，每次文件名都不一樣，動機可疑，還有某貓的驅動程序也看似隨機組合，不過幸好有廠商信息可以協助分辨，這個下一點再說)。

　　還有文件名的長度，有的嚴重超出8位文件名的標準，有10幾位之多，這都應列為可疑對象，尤其是IE插件中有這些的文件名出現。

　　當然光說文件名古怪、隨機組合，似乎沒有一個標準，不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的排列組合，所以真要依靠文件名判斷，還是要對係統文件夾下的文件、常規文件有一定了解後才能比較好的掌握。初步來說，結合上麵的時間還有其它手段共同判斷，還是可以發現點東西的。

　　還有一種就是假冒正常文件、係統文件的文件名，這倒比較好識別，比如 svchost.exe和svch0st.exe，很明顯後者在假冒前者，這種欲蓋彌彰倒更容易暴露，前提是你對係統文件名比較熟悉，有事沒事打開任務管理器學習一下吧。

　　對應於文件名，還有服務名、驅動名、注冊表啟動項名，相對而言，這些項目的名字如果沒有表示出一定含義，倒真是病毒了，還沒幾個廠商會不負責任地給自己的軟件要用到的服務、驅動、啟動項起個無意義、隨便組合的名字，如果服務、驅動、啟動項名是有問題的，那麼下麵使用的文件一定是有問題的。

　　實在沒把握，把文件名(有時要包括完整文件路徑，不同路徑下的同名文件可不一樣，這個以後說)、服務名、驅動名、啟動項名放到網上搜索一下，看看別人怎麼說的，特別是對查不到的、還有服務、驅動、啟動項與文件名對不上的(如同一服務名在網上查出有不同文件與之對應，或相反情況)，都可以列為可疑對象。

　　二、位置病毒木馬喜歡呆的地方是係統文件夾，windows、windows/system32、windows/system32/drivers，還有c：/program files/internet explorer/c：/program files/internet explorer/plugin、c：/program files/common files/miscrosoft shared，還有就是臨時文件夾、IE緩存首先臨時文件夾c：/documents and settings/你的用戶名/local settings/temp和c：/windows/temp是一定要清的，而且可以大膽地刪除，不管好壞，刪了沒事，IE緩存也要清的，不是直接進文件夾刪除，而從IE的菜單工具-internet選項進入，刪除文件-刪除所有脫機文件，最好在高級那設成關閉瀏覽器時自動清空臨時文件，就省事了。

　　其它文件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多了什麼瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對可疑，還有比如svchost.exe、ctfmon.exe突然出現在windows或其它文件夾中，而不是在它們應該在的system32中，也可以確定是病毒。當然可以結合上麵的幾個方法一起判斷。有的時候是得靠經驗，相對而言文件比較少的文件夾比較好判斷，多出什麼很容易發覺，比如windows、ie文件夾，多看看，就知道基本就是那些，多一兩個exe或dll，馬上可以發現。

　　還有就是結合注冊表啟動項，一般啟動項引用到windws中的不多，基本是輸入法、聲卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿不準，老辦法，到網上查文件名。如果發現啟動項指向font字體文件夾的，那不用想了，一定有問題。

　　服務驅動也是如此，不是在system32或driver中的就要多檢查下(自然在它們下麵的也要檢查，何況不在)。

　　除了文件夾位置，還有注冊表位置，除了幾個RUN的啟動項，還有映像劫持(IFEO)要檢查，值有debugger的都要注意一下，除了最後一個your image file name here without a path有個debugger=ntsd -d，其它的是都沒有的，隻要有發現就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能運行)，然後就找劫持文件，就是debugger後麵的文件，找到後連同注冊表項一起刪除。但注意，現在的劫持有的用的不是病毒文件，是係統文件或命令，比如svchost.exe或ntsd -d，這就不要刪除文件了，隻要把注冊表項刪除。

　　還有要注意的注冊表項有appinit_dlls，一般為空值(例外，卡卡的一個文件會放這)，如果多出值就是病毒，按名字找到刪除。還有一個就是userinit，一般也是空的，多東西修改就要查查是否正常。

　　三、文件時間如果你覺得電腦不對勁，用殺毒軟件檢查後，沒什麼反映或清除一部分病毒後還是覺得不對勁，可以根據文件時間檢查可疑對象。

　　文件時間分為創建時間、修改時間(還有一個訪問時間，不用管)，可以從文件的屬性中看到，點選文件，右擊，選擇菜單中的屬性就可以在“常規”那頁看到這些時間了。

　　通常病毒、木馬文件的創建時間和修改時間都比較新，如果你發現的早，基本就是近幾日或當天。c：/windows和c：/windows/system32，有時還有c：/windows/system32/drivers，如果是2000係統，就把上麵的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時間排下序(查看-詳細資料，再點下標題欄上的“修改時間”)，查看下最新幾日的文件，特別注意exe和dll文件，有時還有dat、ini、cfg文件，不過後麵這些正常的文件也有比較新的修改時間，不能確認就先放一邊，重點找exe和dll，反正後三個也不是執行文件。一般來說係統文件特別是exe和dll)不會有如此新的修改時間。

　　當然更新或安裝的其它應用軟件可能會有新的修改時間，可以再對照下創建時間，另外自己什麼時間有沒裝過什麼軟件應該知道，實在不知道用搜索功能，在全硬盤上找找相關時間有沒建立什麼文件夾，看看是不是安裝的應用軟件，隻要時間對得上就是正常的。如果都不符合，就是病毒了，刪除。

　　說明一點，正如不是所有最新的文件都是病毒一樣，也不是說所有病毒的時間都是最新的，有的病毒文件的日期時間甚至會顯示是幾年前。

　　四、版本信息檢查文件時間有不確定性，再加一個檢查項目文件版本，也是在文件的屬性中查看，有文件版本、廠商信息等。首先明確一下，不是所有文件都有版本信息，也不是所有無版本信息的文件都是病毒文件，更不是所有顯示微軟信息的文件都真是微軟的。

　　文件名、文件時間，再對上文件版本，基本可以得出一個結果，比如一個奇怪的文件名，顯示微軟的廠商信息，明顯可疑;或者本來應該是正常的係統文件(如explorer.exe或userinit.exe)卻沒有版本信息，可能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是1，可以考慮刪除了，應該不是聲卡的程序了。

　　版本信息中除了廠商以外，還有原文件名，有時你會在這裏發現一個與檢查文件不同的名字，真是別有天地。

　　大家對病毒的危險性也有一定了解，我們也盡量的避免病毒的感染。通過以上的對病毒的識別認識，希望大家對病毒有更深層的防範措施。

以上就是電腦木馬病毒怎樣識別?，電腦木馬病毒識別的方法?，教程,希望本文中能幫您解決問題。