论文部分内容阅读
这是一个病毒泛滥的时代,互联网上充斥着大量如妖魔鬼怪般肆虐的病毒。一旦我们系统中由杀毒软件和各种安全工具筑起的防线被病毒攻破。电脑就会变成任人宰割的“肉鸡”。这时候,如果没有找到更强力的杀毒软件,我们就只有手工查杀病毒了。那么如何辨别自己电脑中的正常文件和病毒文件呢?今天笔者以WinXP为例。向大家介绍一下自己积累的经验。
系统文件夹中有鬼
我们能手工清除的一般是非感染性的病毒,如木马病毒。它们往往是以文件的形式存在,有可能是EXE文件,也可能是DLL、SYS、DAT和LOG之类的文件(后几种文件多采用进程注入的方式来运行)。通常,这些病毒文件是隐藏在系统文件夹WINDOWS中(特别是其system32子文件夹),也有一些是隐藏在临时文件夹%USERPROFILE%Loeal SettingsTemp和%USERPROFILE%Local SettingsTemporary Internet Files里(如果你看不懂这个,请把它们分别输到资源管理器的地址栏中再敲下回车就懂了)。对于临时文件夹中的病毒,只需要把临时文件夹彻底清空即可将之灭掉。另外,还有一种隐藏在每个硬盘分区根目录下的Autorun病毒,也可以直接删除其Autorun.inf文件和病毒程序文件。
现在看来,就是系统文件夹中的病毒难以手工查杀了。因为其中的文件太多,胡乱删除的话,会导致系统崩溃或程序无法启动。譬如我们打开其system32子文件夹,就可以看到里面密密麻麻地有几千个文件。其中谁是李逵?谁是李鬼?要想分辨,就得用到以下四大招。
生辰簿 文件修改日期辨李鬼
先在资源管理器的工具栏中选择显示文件的“详细信息”,把这些文件按照修改日期排序。然后回忆一下自己是哪天装的系统,那么就可以发现大多数系统文件的修改日期就是安装系统的那一天(如果你后来升级了系统补丁或安装过一些软件,那么相关文件的修改日期会有变化)。如果是克隆安装,那么就以Ghost镜像里的系统文件日期为准。
以系统安装日期作为参考基准,秉着反常即为妖孽的观点,如果发现有些文件的修改日期过于古怪,比如什么1980年或者2028年之类的,那就要特别注意了。另外,病毒文件往往日期比较新。按日期升序排列后在最下面显示的那些修改日期是最近几日的EXE、DLL等文件,如果不是新装的软件或系统补丁,也不是系统每次启动后更新的日志文件,那么就很值得怀疑了。笔者系统的安装日期是2007年7月30日,所以大部分系统文件的修改日期都是这一天。而最下面这些文件的修改日期是近几天的,甚至还有2028年的,它们就很有可能是病毒文件。如果你觉得光凭文件的修改日期来进行判断不太严谨,怕删错文件,那就请继续看下面的招数。
仙名册文件名称辨李鬼
很多时候,病毒文件的名称是有迹可循的。有的病毒文件利用O和o,以及I、i和I的相似胜,鱼目混珠,故意命名得和系统文件相似,比如Svchost.exe、Explorer.exe和mfc70.dll等。也有的病毒文件命名很随意,比如1.exe、45321234.exe和psauwisg.dll等,而这些毫无意义的命名方式明显不符合微软的命名规则,所以肯定不会是系统文件。
结合第一招,如果发现采用以上命名方式的文件其日期比较反常或者比较新的话,基本上就可以肯定它们是病毒文件了,当然,如果你还是怕删错文件,那就请继续看第三招。
照妖镜公司名称辨李鬼
如果面对一个修改日期可疑,文件名称也比较可疑的文件,你还是无法判断它是否是病毒的话,那就检查它的公司名称。
当我们把鼠标悬停在系统文件夹中的EXE或者DLL文件上时,就会出现一个黄色的浮动框,显示出该文件的公司名称、文件版本和大小等信息(系统文件显示的公司名称是Microsoft Corporation)。如果你觉得一个个地查看比较麻烦,可以批量显示公司名称。首先,在资源管理器的工具栏中选择显示文件的“详细信息”。然后,用鼠标右键点击列表栏,在弹出菜单中选择最下面的“其他”项。打开“选择详细信息”窗口后,从中勾选“公司”项,点击“确定”按钮退出。
经过上述设置,我们就能在资源管理器中批量查看EXE和DLL等文件的公司名称了。通常病毒文件是没有公司名称的,再加上前面已经发现其修改日期和文件名称都比较可疑,那么现在就可以判定它们是病毒文件了,如果此时你还不放心,还怕删错了,好吧好吧,那么请看第四招。
问仙石搜索引擎辨李鬼
面对这些修改日期、文件名称和公司名称都十分可疑的文件,你居然还不能认定它们是病毒文件?那就求助于网络搜索引擎吧!将其文件名都拿到谷歌或百度上去搜索,结果一出就可以下定论啦!是病毒就删掉,不是就保留。如果搜不出结果,那就放心大胆地删吧!连谷歌和百度都不认识的文件,还留着做啥?
最后,再唠叨一下。找到病毒文件后,如果它正在运行,得先结束其进程才能有效地删除。笔者推荐使用《冰刃》来结束病毒文件的进程并强删病毒文件(下载地址:http://www.crsky.com/soft/6947.html)。不过狡猾的病毒可能会阻止《冰刃》运行,那么可以试试进入winXP的安全模式来删除病毒文件。如果连安全模式都被破坏了,那就用WinPE吧,PCD以前可是赠送过不少带WinPE的系统维护工具盘哟!
系统文件夹中有鬼
我们能手工清除的一般是非感染性的病毒,如木马病毒。它们往往是以文件的形式存在,有可能是EXE文件,也可能是DLL、SYS、DAT和LOG之类的文件(后几种文件多采用进程注入的方式来运行)。通常,这些病毒文件是隐藏在系统文件夹WINDOWS中(特别是其system32子文件夹),也有一些是隐藏在临时文件夹%USERPROFILE%Loeal SettingsTemp和%USERPROFILE%Local SettingsTemporary Internet Files里(如果你看不懂这个,请把它们分别输到资源管理器的地址栏中再敲下回车就懂了)。对于临时文件夹中的病毒,只需要把临时文件夹彻底清空即可将之灭掉。另外,还有一种隐藏在每个硬盘分区根目录下的Autorun病毒,也可以直接删除其Autorun.inf文件和病毒程序文件。
现在看来,就是系统文件夹中的病毒难以手工查杀了。因为其中的文件太多,胡乱删除的话,会导致系统崩溃或程序无法启动。譬如我们打开其system32子文件夹,就可以看到里面密密麻麻地有几千个文件。其中谁是李逵?谁是李鬼?要想分辨,就得用到以下四大招。
生辰簿 文件修改日期辨李鬼
先在资源管理器的工具栏中选择显示文件的“详细信息”,把这些文件按照修改日期排序。然后回忆一下自己是哪天装的系统,那么就可以发现大多数系统文件的修改日期就是安装系统的那一天(如果你后来升级了系统补丁或安装过一些软件,那么相关文件的修改日期会有变化)。如果是克隆安装,那么就以Ghost镜像里的系统文件日期为准。
以系统安装日期作为参考基准,秉着反常即为妖孽的观点,如果发现有些文件的修改日期过于古怪,比如什么1980年或者2028年之类的,那就要特别注意了。另外,病毒文件往往日期比较新。按日期升序排列后在最下面显示的那些修改日期是最近几日的EXE、DLL等文件,如果不是新装的软件或系统补丁,也不是系统每次启动后更新的日志文件,那么就很值得怀疑了。笔者系统的安装日期是2007年7月30日,所以大部分系统文件的修改日期都是这一天。而最下面这些文件的修改日期是近几天的,甚至还有2028年的,它们就很有可能是病毒文件。如果你觉得光凭文件的修改日期来进行判断不太严谨,怕删错文件,那就请继续看下面的招数。
仙名册文件名称辨李鬼
很多时候,病毒文件的名称是有迹可循的。有的病毒文件利用O和o,以及I、i和I的相似胜,鱼目混珠,故意命名得和系统文件相似,比如Svchost.exe、Explorer.exe和mfc70.dll等。也有的病毒文件命名很随意,比如1.exe、45321234.exe和psauwisg.dll等,而这些毫无意义的命名方式明显不符合微软的命名规则,所以肯定不会是系统文件。
结合第一招,如果发现采用以上命名方式的文件其日期比较反常或者比较新的话,基本上就可以肯定它们是病毒文件了,当然,如果你还是怕删错文件,那就请继续看第三招。
照妖镜公司名称辨李鬼
如果面对一个修改日期可疑,文件名称也比较可疑的文件,你还是无法判断它是否是病毒的话,那就检查它的公司名称。
当我们把鼠标悬停在系统文件夹中的EXE或者DLL文件上时,就会出现一个黄色的浮动框,显示出该文件的公司名称、文件版本和大小等信息(系统文件显示的公司名称是Microsoft Corporation)。如果你觉得一个个地查看比较麻烦,可以批量显示公司名称。首先,在资源管理器的工具栏中选择显示文件的“详细信息”。然后,用鼠标右键点击列表栏,在弹出菜单中选择最下面的“其他”项。打开“选择详细信息”窗口后,从中勾选“公司”项,点击“确定”按钮退出。
经过上述设置,我们就能在资源管理器中批量查看EXE和DLL等文件的公司名称了。通常病毒文件是没有公司名称的,再加上前面已经发现其修改日期和文件名称都比较可疑,那么现在就可以判定它们是病毒文件了,如果此时你还不放心,还怕删错了,好吧好吧,那么请看第四招。
问仙石搜索引擎辨李鬼
面对这些修改日期、文件名称和公司名称都十分可疑的文件,你居然还不能认定它们是病毒文件?那就求助于网络搜索引擎吧!将其文件名都拿到谷歌或百度上去搜索,结果一出就可以下定论啦!是病毒就删掉,不是就保留。如果搜不出结果,那就放心大胆地删吧!连谷歌和百度都不认识的文件,还留着做啥?
最后,再唠叨一下。找到病毒文件后,如果它正在运行,得先结束其进程才能有效地删除。笔者推荐使用《冰刃》来结束病毒文件的进程并强删病毒文件(下载地址:http://www.crsky.com/soft/6947.html)。不过狡猾的病毒可能会阻止《冰刃》运行,那么可以试试进入winXP的安全模式来删除病毒文件。如果连安全模式都被破坏了,那就用WinPE吧,PCD以前可是赠送过不少带WinPE的系统维护工具盘哟!