快速判断文件是否为恶意文件

使用电脑时,往往会遇到一些不太可信的文件,如破解版游戏或软件,算号器及注册机,小众软件,网购时对方给的文件等,这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全,不打开不舒心;这时就需要一些方法判断这个文件是否安全。

一、查看文件属性

1、通过文件名判断

查看文件属性可以说是最简单快捷的一个方法。这个方法,只能对那些伪装为正常文件的病毒木马有效,而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术,例如,某文件名为“照片.gif.exe”或者是“货物exe.jpg”,这类文件几乎可以肯定有问题。

这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户,该类用户在收到“照片.gif.exe”时,只能看到“照片.gif”,很容易误以为这是一个后缀名为gif的图片文件,打开这类文件几乎可以肯定会出问题,当然QQ和旺旺貌似都会对可执行文件强制改名,很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用户,这类用户看到陌生文件后往往不会认真查看文件属性,结果往往会将“货物exe.jpg”这类文件误以为是后缀名为jpg的图片文件,但实际上却是可执行文件,运行后肯定又悲剧了。

这里,最主要的就是取消掉“隐藏已知文件扩展名”,方法如下:

依次点击,开始菜单->控制面板->文件夹选项,然后如下图设置即可,



当然,双后缀和unicode反转中没有可执行文件的扩展名时,就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi 等。另外,CAD文件、office文件、PDF文件等也需要注意,因为这些文件都有可能感染病毒,如CAD病毒、宏病毒等,打开带有这些病毒的文件时,可能会使电脑上的正常CAD文件和office文件受损,如果可能,尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。

除了双后缀和unicode反转,某些特殊的文件名的文件也需要注意,例如过于简单的文件名,如1.exe、d.exe等;与系统文件或有名软件的名称极为相似的文件名,如expIore.exe、QQDown1oad.exe等;看起来像网址的文件,如wenwen.soso.com、 www.baidu.com等;扩展名偏门的文件也不要随意打开,例如hta、pif、vbs之类的。

2、通过数字签名判断

程序上的数字签名标明了程序的厂商,在软件上主要就是用于验证软件的完整性,在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。

如果声称自己是正规公司出品,或者是软件名或文件名是某个有名的软件,但有没有有效的数字签名,那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑,因为数字签名无效在属性里不能直接看到,很容易将之误解为是某个正规公司的软件。需要注意的是,大多数破解软件、第三方修改版软件都没有数字签名,这些很危险,因为无法验证在发布后是否被修改过。

下面是数字签名的验证方式(以傲游3为例):

(1)、在傲游3主程序(Maxthon.exe)上右击,在弹出菜单中选择“属性”,在属性窗口中单击数字签名选项卡:



2、在数字签名选项卡中选中签名,单击详细信息查看证书的详细信息:



在这里面,需要特别注意查看数字签名是否有效,数字签名有效,该软件可信,数字签名无效,该软件就很可疑了;还需要注意颁发者,如果颁发者名不见经传,那也需要注意。比较常见的有一下几种:COMODO、VeriSign、Microsoft等。

二、根据多引擎扫描网站的结果判断:

这是判断某个文件是否是病毒木马的另一个较快的办法。

多引擎扫描网站利用网站服务器上的杀软引擎,将用户上传的文件进行扫描,得出扫描结果。利用这个结果,有时候可以很快判断文件是不是病毒。

以http://virscan.org/为例,该网站允许用户上传小于20M的文件进行扫描,同时如果文件是压缩包,压缩包内的文件数量不得多于20个。该网站利用小红伞、AVG、avast、比特梵德、大蜘蛛、卡巴斯基、江民、瑞星、金山、迈克菲、诺顿、ESET nod32、熊猫等三十多款杀毒软件对符合要求的文件进行扫描,并将结果通知用户。

一般来说,当某个文件,所有杀毒软件引擎都报毒,或上段提到的几个杀毒软件都报毒,那几乎可以肯定该文件是恶意文件,打开会导致电脑出问题。如果所有杀毒软件都没有报毒,而文件在网络上又已经有一段时间了,那该文件几乎不可能是恶意软件。

当然更多的情况是一些杀毒软件报毒,一些不报毒,这个时候就需要对杀毒软件的及病毒名进行综合查看,有名的杀毒软件,特别是在AV-TEST、 AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由,例如:backdoor意为后门,即软件作者可能绕过安全性控制而获取对程序或系统访问权;spy、Trojan为间谍软件,即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息;malware是病毒的一种,可能感染并损害计算机;win32一般多见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒 (这类报毒的误报可能性最高)等等,具体可以在软件官网上查询到。

三、根据在线的自动分析系统判断

即使是通过前面两种方式,仍然有大量的文件无法判断是正常文件还是木马。这时可以利用沙盘(沙箱)、虚拟机、已编写好规则的HIPS软件来判断是否是病毒木马,但由于通过这些判断样本都有较大的难度,同时沙箱有漏沙的危险,HIPS的规则可能有漏洞。所以这里介绍一个用得较少但更安全,更简单易行的办法——在线沙盘(有些又叫在线自动分析系统等)。目前,对公众开放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即时恶意软件分析),由于金山火眼需要邀请码,故这里只介绍comodo那个。

Comodo Instant Malware Analysis的地址是:http://camas.comodo.com,它自动运行用户上传的文件,并记录该文件运行中的行为,包括文件及文件夹创建、删除、修改,注册表键及键值创建、删除、修改,驱动的加载、卸载,加载的模块,API的调用,访问的网址及DNS的修改等,最后得出结论 (Verdict)。其中危险的行为和最终结果将会被标为红色。

我们只需要注意其中的红色部分,特别是结论,在Comodo Instant Malware Analysis中该项为“Verdict”。

如果文件不安全,“Verdict”下的值就是“Suspicious”,代表这个文件是可疑的,也就是该文件进行了一些只有病毒木马才会进行的操作,如果文件很危险,后面还会带上个+号,那么那个文件几乎可以肯定是病毒木马。即使没有+号,那类文件都是很危险的,不建议运行那类文件。

第二种结果是“Undetected”,即没有检测到任何可疑行为,也就是该软件的所有行为都是正常的,这类文件不可能是病毒,可以放心运行。

第三种结果是“Unexecutable”,也就是那个文件是不能单独运行的,如果是单文件,可以放心。

四、其他方法

除了上面这些方法外,还有一些方法,例如利用具有信誉云功能的软件进行检查,如卡巴斯基的KSN,诺顿的文件智能分析、360的360闪电云鉴定器等,一般来说,这几个定为安全(暂无风险、良好等)的文件和使用人数较多、发布时间较久的文件几乎可以肯定是安全的。

上面这些方法都是一些简单的办法,几个结合起来出现误判、漏判的可能性虽小,但还是有可能的。最可靠的办法是给你所使用的反病毒厂商通过发邮件、打电话等方式要求技术支持,当然,如果你使用的是免费杀毒软件,那就只能到杀软官方论坛上发帖,请求官方鉴定了。正版用户发邮件,最多一天就会有结果,一般都会在收到邮件后几分钟告知已收到邮件,在十来个小时内告知对可疑文件的鉴定结果,如果是可以修复的文件,还会将文件修复后发给你;打电话的,听说都会马上得到技术支持,一般都是通过QQ之类的进行远程协助。免费杀毒软件发帖求助,一般会在一两个小时内得到官方人员回复,但对样本的鉴定时间就难说了,快的一天,慢的就没消息了。

(0)

相关推荐

  • 如何快速判断服务器是否被恶意入侵

    笔者对常见的托管租用使用Windows Server系统的服务器及VPS主机是否存在恶意入侵、如何排查恶意入侵做一个简单的描述及提供简单相应的解决办法。 第一步、检查系统组及用户 我的电脑——右键管理 ...

  • 利用FastFolders快速提取需要用的深层文件

    一些大公司大组织拥有无数个小部门,公司内部文件都在一层层的文件夹里,如何快速的提取出需要用的文件,就是一个很大的问题,下面介绍一下如何利用FastFolders内窥镜让查看文件更方便。 作为公司的电子 ...

  • 电脑用得越来越久,怎么样才能快速找到我想要的文件呢?

    很多人电脑越用越久了,文件、软件慢慢的也越来越多。如果我们直接要一个个文件找过来找到我们所需要的文件个人感觉是非常难的。这时候我们就要秒用我们电脑的搜搜功能。 1 xp系统一般通过右键我的电脑,然后点 ...

  • 怎么快速清理Win7系统的病毒文件夹

    病毒.木马是每个使用电脑用户都非常担心的一个问题,确实,在互联网非常发达的今日,木马和病毒这些使我们防不胜防的,如果电脑一旦中了病毒或者木马,影响的不仅仅是Win7系统系统,我们电脑中重要的文件.隐私 ...

  • windows系统快速清理不运行的DLL文件

    只要使用电脑进行操作,每一次的数据也跟着我们的操作进进出出的.内存的大量空间被占用了,也多了很多的系统垃圾,那么系统的运行速度也会很慢.跟不上节奏了.电脑空间不够用,我们通常是把文件转移出去,或者是扩 ...

  • 如何在Excel2007中使xlsx文件快速转换为适用于Excel2003的xls文件?

    应该如何在Excel中使xlsx文件快速转换为xls文件?在工作中,我们会经常遇到xlsx格式的文件,在Excel 2003中是无法打开它们的,有没有什么办法使xlsx文件转换为xls文件,然后可以在 ...

  • 网盘数据大转移:如何快速转移云存储中的文件?

    使用网盘,已经成了不少人的习惯,可是网盘说关就关,大家存储在将要关闭的网盘里的文件.照片.视频都该怎么办呢?为了保证自己的数据文件的安全,尽快的转移数据才是正道.通常情况下我们只需要通过客户端,将数据 ...

  • MP4Joiner怎么用?使用MP4Joiner快速合并多个mp4视频文件的方法介绍

    如何使用MP4Joiner快速合并多个mp4视频文件?MP4Joiner是一款专业小巧的MP4视频合并软件,支持将多个MP4视频合并为一个,支持自定义设置视频的前后顺序,速度非常快,也不会损坏视频质量 ...

  • 搜狗浏览器中劫持主页的恶意文件怎么查找清理

    搜狗浏览器中劫持主页的恶意文件怎么查找清理 搜狗浏览器被劫持,使用Advanced SystemCare优化软件→勾选恶意软件清除→扫描. 一阵狂扫…… 最终,恶意软件威胁给出两个问题项目. 将鼠标靠 ...