2024年4月5日发(作者:华为鸿蒙系统支持机型)
怎样判断文件是否为恶意文件
使用电脑时,往往会遇到一些不太可信的文件,如解除版游戏或软件,算号器及注册
机,小众软件,网购时对方给的文件等,这些东西有可能包含病毒木马或者是会有修改IE
设置等流氓行为;打开这些文件不安全,不打开不舒心;这时就需要一些方法判断这个文件
是否安全。以下店铺整理的判断文件是否为恶意文件的技巧,供大家参考,希望大家能够
有所收获!
判断文件是否为恶意文件的方法:
一、查看文件属性
1、通过文件名判断
查看文件属性可以说是最简单快捷的一个方法。这个方法,只能对那些伪装为正常文
件的病毒木马有效,而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和
unicode反转技术,例如,某文件名为“照片.”或者是“货物”,这类文
件几乎可以肯定有问题。
这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户,该类
用户在收到“照片.”时,只能看到“照片.gif”,很容易误以为这是一个后缀名为
gif的图片文件,打开这类文件几乎可以肯定会出问题,当然QQ和旺旺貌似都会对可执
行文件强制改名,很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用
户,这类用户看到陌生文件后往往不会认真查看文件属性,结果往往会将“货物”
这类文件误以为是后缀名为jpg的图片文件,但实际上却是可执行文件,运行后肯定又悲
剧了。
这里,最主要的就是取消掉“隐藏已知文件扩展名”,方法如下:
依次点击,开始菜单->控制面板->文件夹选项,然后如下图设置即可,
当然,双后缀和unicode反转中没有可执行文件的扩展名时,就没多大必要担心了。
可执行文件的扩展名包括exe、bat、com、msi等。另外,CAD文件、office文件、PDF
文件等也需要注意,因为这些文件都有可能感染病毒,如CAD病毒、宏病毒等,打开带
有这些病毒的文件时,可能会使电脑上的正常CAD文件和office文件受损,如果可能,
尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软
件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打
开就没事。
除了双后缀和unicode反转,某些特殊的文件名的文件也需要注意,例如过于简单的
文件名,如、等;与系统文件或有名软件的名称极为相似的文件名,如
、等;看起来像网址的文件,如、
等;扩展名偏门的文件也不要随意打开,例如hta、pif、vbs之类的。
2、通过数字签名判断
程序上的数字签名标明了程序的厂商,在软件上主要就是用于验证软件的完整性,在
发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。
如果声称自己是正规公司出品,或者是软件名或文件名是某个有名的软件,但有没有
有效的数字签名,那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签
名的软件更可疑,因为数字签名无效在属性里不能直接看到,很容易将之误解为是某个正
规公司的软件。需要注意的是,大多数解除软件、第三方修改版软件都没有数字签名,这
些很危险,因为无法验证在发布后是否被修改过。
下面是数字签名的验证方式(以傲游3为例):
(1)、在傲游3主程序()上右击,在弹出菜单中选择“属性”,在属性窗
口中单击数字签名选项卡:
2、在数字签名选项卡中选中签名,单击详细信息查看证书的详细信息:
在这里面,需要特别注意查看数字签名是否有效,数字签名有效,该软件可信,数字
签名无效,该软件就很可疑了;还需要注意颁发者,如果颁发者名不见经传,那也需要注
意。比较常见的有一下几种:COMODO、VeriSign、Microsoft等。
二、根据多引擎扫描网站的结果判断:
这是判断某个文件是否是病毒木马的另一个较快的办法。
多引擎扫描网站利用网站服务器上的杀软引擎,将用户上传的文件进行扫描,得出扫
描结果。利用这个结果,有时候可以很快判断文件是不是病毒。
一般来说,当某个文件,所有杀毒软件引擎都报毒,或上段提到的几个杀毒软件都报
毒,那几乎可以肯定该文件是恶意文件,打开会导致电脑出问题。如果所有杀毒软件都没
有报毒,而文件在网络上又已经有一段时间了,那该文件几乎不可能是恶意软件。
当然更多的情况是一些杀毒软件报毒,一些不报毒,这个时候就需要对杀毒软件的及
病毒名进行综合查看,有名的杀毒软件,特别是在AV-TEST、AV-C测试中误报较少的杀
软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶
意文件的理由,例如:backdoor意为后门,即软件作者可能绕过安全性控制而获取对程
序或系统访问权;spy、Trojan为间谍软件,即软件作者可能利用此软件在未经用户允许的
情况下暗中收集用户信息;malware是病毒的一种,可能感染并损害计算机;win32一般多
见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性
最高)等等,具体可以在软件官网上查询到。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1712294888a2036442.html
评论列表(0条)