識別病毒文件 四個好方法　　我們在使（shǐ）用殺（shā）毒軟件殺毒的時候（hòu），常常會檢測出很多“病毒”，許（xǔ）多朋友抱著“寧可錯殺一堆，絕不放過一（yī）個”的態度，將檢測出的“病毒”全部刪掉。其實全刪是不可取的，有的是被感染的係統文件，是不（bú）能刪（shān）的。筆者在這裏介紹幾個識別病毒文（wén）件的方法，希望對大家有所幫助。
　　一、文件時間
　　如果你覺得電腦不對勁，用殺毒（dú）軟件檢查後，沒（méi）什麽反映或清除一（yī）部分病毒後還是覺得不對勁，可以（yǐ）根據文件時間檢查可疑對象。
　　文（wén）件時間（jiān）分為創建（jiàn）時間、修改時間(還有（yǒu）一個訪問時間，不用管)，可以從文件的屬性中看到，點選文件，右擊，選擇（zé）菜單（dān）中的屬性就（jiù）可以在“常（cháng）規”那頁看到這些時（shí）間了。
　　通常病毒、木馬文件的創建時間和修改（gǎi）時間都比較新，如果你發現的早，基本就是近幾日或當天（tiān）。c:/windows和c:/windows/system32，有時（shí）還有c:/windows/system32/drivers，如果是2000係統，就把上麵的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時間排下序(查看-詳細資料，再點下標題欄上的“修改時間”)，查看下最新幾日的文件，特別注意exe和dll文件，有（yǒu）時還有dat、ini、cfg文（wén）件，不（bú）過後（hòu）麵這些正常的文件也有比較（jiào）新的修改時間，不能確認就先放一邊，重點找exe和dll，反正後三個也不是執行文件。一般來說係統文件特別是exe和（hé）dll)不會有如此新的修改時間。
　　當然更（gèng）新或安裝（zhuāng）的其（qí）它應用軟件可能會有（yǒu）新的修改時間，可以再對照下創建時間，另外自己什麽時間有沒裝過（guò）什麽軟件應該知道，實在不知道用搜索功能（néng），在全硬盤上找找（zhǎo）相關時間有沒建立什麽文件（jiàn）夾，看看（kàn）是不是安裝的應（yīng）用軟件，隻要時間對得上就是正常的。如果（guǒ）都（dōu）不符合，就是病毒了（le），刪除。
　　說明一點，正如不是所有最新的文件都是病毒一樣，也不是說所有病毒的時間都是最新的，有的病毒文件的日期時間甚至會顯示是幾年前。
　　當然（rán）我們還有其他的分辨方法。
　　二（èr）、文（wén）件名
　　文（wén）件名是第一眼印象，通過文件名來初步判斷是否可疑（yí）是最直接（jiē）的方法，之所以放在時間判斷後麵，實在是從一大堆文件中（zhōng）分揀可疑分子（zǐ）太難了，還是用時（shí）間排下序方（fāng）便些。
　　我們常說的隨機字母(有時還有數字，較少（shǎo）)組合的文件名，病毒最愛用它（tā）(曾經發現某些正常軟件也有（yǒu）使用這種奇怪組合的習（xí）慣，比如雅虎上網助手，每次文件名都（dōu）不一樣，動機可疑，還有某貓（māo）的驅（qū）動程序也看（kàn）似隨機組合，不過幸好有廠商信息可以協助分辨，這個（gè）下一（yī）點再說（shuō）)。
　　還有（yǒu）文（wén）件名的長度，有的嚴重超出8位文（wén）件名（míng）的標準，有10幾（jǐ）位之（zhī）多，這都應列為可（kě）疑對象，尤其是IE插件中有這些的文件（jiàn）名出現。
　　當然光說文件（jiàn）名古怪、隨機組合，似乎（hū）沒有一（yī）個標準，不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的排列組合，所以真要（yào）依靠文件名判斷，還是要對係統文件夾下的文（wén）件、常規文件有一（yī）定了解後才能比較好的掌握。初步來說，結（jié）合上（shàng）麵的時間還有其它手段共同判斷，還是可以發現點東西（xī）的。
　　還有一種就是假冒正常文件、係統（tǒng）文件的文件名，這倒比較好識（shí）別，比如 svchost.exe和svch0st.exe，很明顯後者在假冒前者，這種欲蓋（gài）彌彰倒更容易（yì）暴露，前提是你對係統文件（jiàn）名比較熟悉，有（yǒu）事沒事打開任務管（guǎn）理器學習一下吧。
　　對應於文件名，還有服務名、驅動名、注冊表啟動項名，相對而言，這些項目的名字如果沒有表（biǎo）示出一定含義，倒真是（shì）病毒了，還沒幾個廠商會不負責任地給自己的軟件要用到的服務、驅動、啟動項起個（gè）無意義（yì）、隨便組合的名字，如果服務、驅動、啟動項名是有（yǒu）問題的，那（nà）麽（me）下麵使用的文件一定是有問（wèn）題的。
　　實在（zài）沒把握，把文件名(有時要包括完整文件路徑，不同路徑下的同名文件可不（bú）一樣，這個以後說)、服務名、驅動名、啟動項名放到網上搜索一下，看看別人怎（zěn）麽說的，特別是對查不到的、還有服務、驅動、啟動項（xiàng）與文件名對不上的(如同一服務名（míng）在網上查出有不同文件與（yǔ）之對應，或相反情況)，都可以列為可疑對象。
　　三、版（bǎn）本信息
　　檢查文件時間有不確（què）定性，再（zài）加一個（gè）檢查項目（mù）文件版本，也是在文件的屬性中（zhōng）查看，有（yǒu）文件版本、廠商信息等。首先（xiān）明確一下，不是所有文件（jiàn）都有版本（běn）信（xìn）息，也不是所有無版本信息的文件都是病毒文件（jiàn），更不（bú）是所（suǒ）有顯示微軟（ruǎn）信息的文（wén）件都真是微軟的。
　　文件名、文件時間，再對上文件版本，基本可以得（dé）出一個結（jié）果，比如一個奇怪的文件名，顯示（shì）微（wēi）軟的廠商信息，明顯（xiǎn）可疑;或者本來應該是正常的係統文件(如explorer.exe或userinit.exe)卻沒有版本（běn）信息，可能是（shì）被病毒替換（huàn）或破壞了;還有soundman.exe廠商信（xìn）息竟然是1，可以考慮刪除了（le），應該不是（shì）聲卡的程序了。
　　版本信息中（zhōng）除了廠商以外（wài），還有（yǒu）原文件名，有時你會在這裏發現一個與（yǔ）檢查文件不同的名字，真是別有天地。
　　四、位（wèi）置
　　病毒木馬喜歡呆的地方（fāng）是係統文件（jiàn）夾，windows、windows/system32、windows/system32/drivers，還有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared，還有就是（shì）臨時文件夾、IE緩存
　　首先（xiān）臨時文件夾（jiá）c:/documents and settings/你的用戶名/local settings/temp和c:/windows/temp是一定要清的，而且可以大（dà）膽地刪除，不管好壞，刪了（le）沒事，IE緩存也要清的，不是直接進文件夾刪除，而從IE的菜單工具-internet選項進入，刪除（chú）文件-刪除所有脫機文件，最好在高級那設成關閉瀏覽器時自動清空臨時文件，就省事了。
　　其它（tā）文（wén）件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多了什麽瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對可疑，還有比如svchost.exe、ctfmon.exe突（tū）然出現在windows或其它文件夾中，而不是在它（tā）們應該在（zài）的system32中，也可以確定是（shì）病毒。當然（rán）可以結合上麵的幾個方法一起判斷。有（yǒu）的時候是（shì）得（dé）靠經驗，相對而言文件比較少的文件夾比較好判斷，多出什麽很容易發覺（jiào），比如windows、ie文件（jiàn）夾，多看（kàn）看，就知道基本就是那些，多一兩個exe或dll，馬上可以發現(很多**軟件是會在這裏安身)。
　　還有就是結合注冊表啟動項，一般啟（qǐ）動項引用到windws中的不多，基本是輸入法、聲卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿不（bú）準，老辦法，到網上查文件名。如果發現啟動項指向font字體文件夾的，那不用想了（le），一定有問題。
　　服務驅動也是如此，不是在system32或driver中的就要（yào）多檢查下（xià）(自然在它們下麵的也要檢查，何況不在)。
　　除了文件夾位置，還有注冊表位（wèi）置（zhì），除了幾個RUN的啟動項，還有映像劫持(IFEO)要檢查，值有debugger的都要注意一下，除了最後一（yī）個your image file name here without a path有（yǒu）個debugger=ntsd -d，其它的是都沒有的，隻（zhī）要有發現就是被劫持(免疫的（de）除外，免疫是把已知病毒程序名劫持（chí）到不存在（zài）的文件上，使其不能運行)，然後就找劫持文件，就是debugger後麵的文件，找（zhǎo）到後連同注冊表項一起刪除。但注（zhù）意，現在的劫（jié）持有的用的不是病毒文件，是係統文（wén）件或命令，比如（rú）svchost.exe或ntsd -d，這就不要刪除文件了，隻要把注冊表項刪除。
　　還有要注意的（de）注冊表項有appinit_dlls，一般為空值(例外，卡卡的一個文件會放這（zhè）)，如果多出值就是病毒，按名字找（zhǎo）到刪除。還有一個就（jiù）是userinit，一般（bān）也是空的，多（duō）東西修改就要查查是（shì）否正常。
　　推薦用SREng來檢查，比較方便，也（yě）會自動提（tí）示（shì）以上修改。
　　結（jié）語：
　　說真（zhēn）的，真要從一堆英文名中找（zhǎo）出可疑的（de）文件（jiàn）名挺難的，綜合使（shǐ）用各個方法，配合工具軟件分類顯示才是捷徑（jìng），比如（rú）SREng，把服務驅動列出來，名字、文件、路徑一擺，就很明（míng）顯了，有的名字就是亂寫的，對照後麵的文件名就很清（qīng）楚了，有的細心的會冒充係（xì）統服務名，不過與正常（cháng）的一對比，連（lián）網也不用上（shàng），也可以找出問題(隱藏微軟服務後非微軟的服務就露出來了，如果還頂個係統服務名或接近係統服務的名字，就一定有問題，不是把正常服務改了，就是額外加進來的李鬼)。