课前大纲:
简单判断病毒的方法不能生搬硬套。可以利用搜索引擎、在线查毒、杀毒软件可疑文件提交等几种方式协助我们判定病毒文件,可能会有误判,因此要做好备份。
课程内容:
书接前文,在往下扯之前,首先重申一下一些观点,本课中有关判定病毒文件的方法不是百分百准确无误的,只作为参考方法手段,不可生搬硬套,比如时间,我在原文中也说过,文件时间只是我们的参考依据,毕竟有的病毒也可以修改时间属性来达到隐藏目的。
那么除了已说过的,我们还有什么方法来进一步分辨可疑对象呢?搜索引擎是个好东西,我们可以在搜索引擎上搜索我们怀疑文件的文件名,看看大家是怎么判定的。就具体使用搜索引擎来说,第一,我会略过各种问答网站,比如百度知道、搜搜问问,并不是百度知道们不是没有有用的资料与信息,而是太多了、太杂了,鱼龙混杂,容易影响我们的判断,大量错误的答案夹杂广告推销(什么这一定是病毒,请用XX杀毒软件清除,连优化软件也能来搀和一把的东西,怎么能让人相信呢),还有大量文不对题的大段大段的复制,真正的答案往往淹没在其中,实在是浪费时间。而一些技术网站、个人博客、论坛,还有安全商网(如杀毒软件的官网)提供的信息相对有用得多,不过要注意排除其中一些互相抄袭、甚至抄袭百度知道的页面(据我所看到的,除了抄百度知道等问答网站,还有抄知名论坛的,比如电脑报论坛,有时发帖人的ID也会改掉,懒点的甚至不改,弄得它们上面也有一个“流风33”,但那绝不是我。特此声明:“流风33”这个ID,我现仅注册于电脑报论坛、习科,还有本站,转载的除外)。
第二(我在电脑报论坛首次发表时,竟然没有“第二”,忘了,呵呵,也没有人发现,现在凑上),我喜欢用谷歌,无疑搜索技术性内容的用谷歌比用百度好多了(对搜索对象的理解更好些,准确性就高),不过百度可以看快照,一些“打不开”的网站用快照还可以抢救性浏览一下,这一点是谷歌不能比拟的,即使是快速预览也不行。第三(“第三”也是我凑的,首发时没有,现在想起一点需要补充),注意参考英文内容,有时可以从国外网站上找到自己的需要的信息,这需要懂些外文,即使是借用谷歌翻译。
对于一个可疑文件,如果能在网上直接搜索到对它判定的信息当然是好,如果没有直接信息,就得我们自己根据各种蛛丝马迹综合判断,比如有提供单个文件下载的(有的还有挺多个下载站),这多是为了解决系统文件或应用软件重要文件丢失的问题,所以提供下载的文件一般不会是病毒;有的在网上连一条搜索结果也没有的,如果不是你输错了文件名,那它一般不会是系统文件,就算删掉了,至少你的系统不会有事,或者不是知名的软件,是病毒的可疑性直接加大。
最后说一下搜索引擎方法的局限,我们只是搜索文件名,虽然文件名也算是文件特征,显然对于完全判断一个文件来说还是不够的,比如这个文件被病毒感染(可执行文件要特别注意这一点),或者被冒名顶替,那么就要结合其它方法来检查,比如查查签名、文件版权、文件时间等等,或者我们可以使用上传文件样本的方法来验证,比如一些多引擎在线查毒网站,或者向杀毒软件官网的可疑文件提交地址提交可疑样本(各杀毒软件上报病毒样本、提交可疑文件的网址),与在线查毒不同,这些样本提交网址不会马上给出结果,需要等待,也许几分钟几小时,也许几天几周,甚至一直没回应,相对而言官网的样本的分析要比在线查毒的准确度更高些,但不是说就一定正确 ,比如某*,在我等待一周后,回复我上传的样本是安全的,而同时提交的其它杀软已经判定为病毒。
误报是可能的,这里的误报不是杀毒软件的误报,而是我们自己的判断的失误,连专业的都会误报,何况我们凡人呢。误判不可怕,只要有备份,所以大胆玩去吧。(关于判断误报的扩展阅读:http://www.stormcn.cn/post/854.html)
课后作业:我的电脑上发现有好多svchost进程怎么办,是不是中毒了?
参考答案:http://bbs.icpcw.com/viewthread.php?tid=1336251,或者第一种方法:打开CMD,输入 tasklist /svc,查看所有的svchost.exe进程的服务是否为暂缺。因为正常的svchost.exe是系统进程,服务一定会指向某个文件的;第二种方法:svchost Viewer,一款专门用来查看该进程的软件,可以判断是否是安全的svchost.exe。(以上答案由电脑报论坛pwwp和●七の炫●提供参考)
课堂讨论:(精选)
逝水№无痕:现在win7的任务管理器里,对进程的信息也很详细了。记得原来病毒/木马最泛滥的时候,一些粗糙的还是好认,比如纯数字的进程,还有后面加个什么字母冒充系统进程的。直接结束进程,打开windows文件夹,找到文件,删掉,……,而现在早已过了靠病毒、木马来炒作出名的时代,很多木马都比较隐藏了,懂得把自己藏好,先生存下去,然后再寻找利益。不会那么大张旗鼓,那么好找了。
天使欣:对百度知道,搜搜问问等问答网站上面的抄袭现象十分无语!知道就说,不知道就不说,从网上抄来抄去的,就为了混那点积分多无聊!有那时间还不如去多看看书。
流风33:不光是抄,还有乱说,严重影响可靠性。
注:原文首发于电脑报论坛,整理版有修正与补充,转载请注明出处
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1011.html