学习啦 > 学习电脑 > 电脑安全 > 病毒知识 > 电脑病毒文件怎么样识别

电脑病毒文件怎么样识别

时间: 林辉766 分享

电脑病毒文件怎么样识别

  电脑病毒会经常存在我们的电脑文件里,如果文件有了病毒,要怎么样去识别呢?下面由学习啦小编给你做出详细的电脑病毒文件识别方法介绍!希望对你有帮助!

  电脑病毒文件识别方法一:

  通过文件时间

  如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。

  文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。

  通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。

  当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。

  说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。

  当然我们还有其他的分辨方法。

  电脑病毒文件识别方法二:

  System Volume Information

  文件夹里的NTFS木马(安全问题)

  1、参考原理: 在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

  2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。

  3、解决方案:阻止“System Volume Information”文件夹的自动生成。(可以用unlocker删除) 4、解决的具体方法:右击用unlocker删除,unlocker就会删除这个文件夹,打开回收站,再看看,是不是多了很多文件,这时还无法删除,现在打开x:/RECYCLER(“x:/”表示“System Volume Information”所在的分区),右击unlocker点击移动到桌面,桌面就会生成一些隐藏文件,这时选中这些文件,右击属性,将“只读”去掉,再选中之后,用unlocker删除,并且清空回收站,这样“System Volume Information”文件夹就从电脑中消失了。

  电脑病毒文件识别方法三:

  计算机病毒通常并不是以独立的文件存在的,而是一段寄生在其它文件中、具有自动复制及破坏功能的程序代码。也正因为如此,计算机病毒容易伪装。

  当然,现在的一些网络蠕虫病毒为利用邮件等方式传播时,会随机伪造一些具有诱惑力的文件名――如 性感图片,***的照片;、××软件等CRACK等。

  计算机病毒通常容易感染带有(EXE COM)扩展名的文件。

  没有什么比较大众化的扩展名
看了“电脑病毒文件怎么样识别”文章的还看了:

1.电脑病毒怎么样去识别

2.如何查看和处理电脑病毒

3.怎么样识别电脑病毒

4.如何识别电脑病毒

5.怎样检查是否中了电脑病毒

6.电脑新手怎样检测电脑病毒

691328