識別病毒文件的四個非常不錯的方法(1)

　　我們在使用殺毒軟體殺毒的時候，常常會檢測出很多「病毒」，許多朋友抱著「寧可錯殺一堆，絕不放過一個」的態度，將檢測出的「病毒」全部刪掉。其實全刪是不可取的，有的是被感染的系統文件，是不能刪的。筆者在這裡介紹幾個識別病毒文件的方法，希望對大家有所幫助。
　　一、文件時間
　　如果你覺得電腦不對勁，用殺毒軟體檢查后，沒什麼反映或清除一部分病毒后還是覺得不對勁，可以根據文件時間檢查可疑對象。
　　文件時間分為創建時間、修改時間(還有一個訪問時間，不用管)，可以從文件的屬性中看到，點選文件，右擊，選擇菜單中的屬性就可以在「常規」那頁看到這些時間了。
　　通常病毒、木馬文件的創建時間和修改時間都比較新，如果你發現的早，基本就是近幾日或當天。c:\windows和c:\windows \system32，有時還有c:\windows\system32\drivers，如果是2000系統，就把上面的windows改成winnt，這些地方都是病毒木馬常呆的地方，按時間排下序(查看-詳細資料，再點下標題欄上的「修改時間」)，查看下最新幾日的文件，特別注意exe和dll文件，有時還有dat、ini、cfg文件，不過後面這些正常的文件也有比較新的修改時間，不能確認就先放一邊，重點找exe和dll，反正後三個也不是執行文件。一般來說系統文件特別是exe和dll)不會有如此新的修改時間。
　　當然更新或安裝的其它應用軟體可能會有新的修改時間，可以再對照下創建時間，另外自己什麼時間有沒裝過什麼軟體應該知道，實在不知道用搜索功能，在全硬碟上找找相關時間有沒建立什麼文件夾，看看是不是安裝的應用軟體，只要時間對得上就是正常的。如果都不符合，就是病毒了，刪除。
    說明一點，正如不是所有最新的文件都是病毒一樣，也不是說所有病毒的時間都是最新的，有的病毒文件的日期時間甚至會顯示是幾年前。
　　當然我們還有其他的分辨方法。
　　二、文件名
　　文件名是第一眼印象，通過文件名來初步判斷是否可疑是最直接的方法，之所以放在時間判斷後面，實在是從一大堆文件中分揀可疑分子太難了，還是用時間排下序方便些。
　　我們常說的隨機字母(有時還有數字，較少)組合的文件名，病毒最愛用它(曾經發現某些正常軟體也有使用這種奇怪組合的習慣，比如雅虎上網助手，每次文件名都不一樣，動機可疑，還有某貓的驅動程序也看似隨機組合，不過幸好有廠商信息可以協助分辨，這個下一點再說)。
　　還有文件名的長度，有的嚴重超出8位文件名的標準，有10幾位之多，這都應列為可疑對象，尤其是IE插件中有這些的文件名出現。
　　當然光說文件名古怪、隨機組合，似乎沒有一個標準，不熟悉電腦的人看所有的英文文件名都可能認為是奇怪的、無意義的排列組合，所以真要依靠文件名判斷，還是要對系統文件夾下的文件、常規文件有一定了解后才能比較好的掌握。初步來說，結合上面的時間還有其它手段共同判斷，還是可以發現點東西的。
　　還有一種就是假冒正常文件、系統文件的文件名，這倒比較好識別，比如 svchost.exe和svch0st.exe，很明顯後者在假冒前者，這種欲蓋彌彰倒更容易暴露，前提是你對系統文件名比較熟悉，有事沒事打開任務管理器學習一下吧。
　　對應於文件名，還有服務名、驅動名、註冊表啟動項名，相對而言，這些項目的名字如果沒有表示出一定含義，倒真是病毒了，還沒幾個廠商會不負責任地給自己的軟體要用到的服務、驅動、啟動項起個無意義、隨便組合的名字，如果服務、驅動、啟動項名是有問題的，那麼下面使用的文件一定是有問題的。