識別病毒文件的四個非常不錯的方法(2)

　　實在沒把握，把文件名(有時要包括完整文件路徑，不同路徑下的同名文件可不一樣，這個以後說)、服務名、驅動名、啟動項名放到網上搜索一下，看看別人怎麼說的，特別是對查不到的、還有服務、驅動、啟動項與文件名對不上的(如同一服務名在網上查出有不同文件與之對應，或相反情況)，都可以列為可疑對象。
　　三、版本信息
　　檢查文件時間有不確定性，再加一個檢查項目文件版本，也是在文件的屬性中查看，有文件版本、廠商信息等。首先明確一下，不是所有文件都有版本信息，也不是所有無版本信息的文件都是病毒文件，更不是所有顯示微軟信息的文件都真是微軟的。
　　文件名、文件時間，再對上文件版本，基本可以得出一個結果，比如一個奇怪的文件名，顯示微軟的廠商信息，明顯可疑;或者本來應該是正常的系統文件(如explorer.exe或userinit.exe)卻沒有版本信息，可能是被病毒替換或破壞了;還有soundman.exe廠商信息竟然是 1，可以考慮刪除了，應該不是音效卡的程序了。
　　版本信息中除了廠商以外，還有原文件名，有時你會在這裡發現一個與檢查文件不同的名字，真是別有天地。
　　四、位置
　　病毒木馬喜歡呆的地方是系統文件夾，windows、windows\system32、windows/system32 \drivers，還有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared，還有就是臨時文件夾、IE緩存
　　首先臨時文件夾c:\documents and settings\你的用戶名\local settings\temp和c:\windows\temp是一定要清的，而且可以大膽地刪除，不管好壞，刪了沒事，IE緩存也要清的，不是直接進文件夾刪除，而從IE的菜單工具-internet選項進入，刪除文件-刪除所有離線文件，最好在高級那設成關閉瀏覽器時自動清空臨時文件，就省事了。
其它文件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多了什麼瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對可疑，還有比如svchost.exe、ctfmon.exe突然出現在windows或其它文件夾中，而不是在它們應該在的system32 中，也可以確定是病毒。當然可以結合上面的幾個方法一起判斷。有的時候是得靠經驗，相對而言文件比較少的文件夾比較好判斷，多出什麼很容易發覺，比如 windows、ie文件夾，多看看，就知道基本就是那些，多一兩個exe或dll，馬上可以發現(很多流氓軟體是會在這裡安身)。
　　還有就是結合註冊表啟動項，一般啟動項引用到windws中的不多，基本是輸入法、音效卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿不準，老辦法，到網上查文件名。如果發現啟動項指向font字體文件夾的，那不用想了，一定有問題。
　　服務驅動也是如此，不是在system32或driver中的就要多檢查下(自然在它們下面的也要檢查，何況不在)。
　　除了文件夾位置，還有註冊表位置，除了幾個RUN的啟動項，還有映像劫持(IFEO)要檢查，值有debugger的都要注意一下，除了最後一個your image file name here without a path有個debugger=ntsd -d，其它的是都沒有的，只要有發現就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能運行)，然後就找劫持文件，就是 debugger後面的文件，找到后連同註冊表項一起刪除。但注意，現在的劫持有的用的不是病毒文件，是系統文件或命令，比如svchost.exe或 ntsd -d，這就不要刪除文件了，只要把註冊表項刪除。
　　還有要注意的註冊表項有appinit_dlls，一般為空值(例外，卡卡的一個文件會放這)，如果多出值就是病毒，按名字找到刪除。還有一個就是userinit，一般也是空的，多東西修改就要查查是否正常。
　　推薦用SREng來檢查，比較方便，也會自動提示以上修改。
　　結語：
　　說真的，真要從一堆英文名中找出可疑的文件名挺難的，綜合使用各個方法，配合工具軟體分類顯示才是捷徑，比如SREng，把服務驅動列出來，名字、文件、路徑一擺，就很明顯了，有的名字就是亂寫的，對照後面的文件名就很清楚了，有的細心的會冒充系統服務名，不過與正常的一對比，連網也不用上，也可以找出問題(隱藏微軟服務后非微軟的服務就露出來了，如果還頂個系統服務名或接近系統服務的名字，就一定有問題，不是把正常服務改了，就是額外加進來的李鬼)。