怎樣判斷文件是否為惡意文件
使用電腦時,往往會遇到一些不太可信的文件,如解除版游戲或軟件,算號器及注冊機,小眾軟件,網(wǎng)購時對方給的文件等,這些東西有可能包含病毒木馬或者是會有修改IE設(shè)置等流氓行為;打開這些文件不安全,不打開不舒心;這時就需要一些方法判斷這個文件是否安全。以下學(xué)習(xí)啦小編整理的判斷文件是否為惡意文件的技巧,供大家參考,希望大家能夠有所收獲!
判斷文件是否為惡意文件的方法:
一、查看文件屬性
1、通過文件名判斷
查看文件屬性可以說是最簡單快捷的一個方法。這個方法,只能對那些偽裝為正常文件的病毒木馬有效,而這類病毒多見于網(wǎng)購時和U盤里。其中最典型的是雙后綴和unicode反轉(zhuǎn)技術(shù),例如,某文件名為“照片.gif.exe”或者是“貨物exe.jpg”,這類文件幾乎可以肯定有問題。
這類文件前者是針對沒有在文件夾選項中取消“隱藏已知文件擴展名”的用戶,該類用戶在收到“照片.gif.exe”時,只能看到“照片.gif”,很容易誤以為這是一個后綴名為gif的圖片文件,打開這類文件幾乎可以肯定會出問題,當(dāng)然QQ和旺旺貌似都會對可執(zhí)行文件強制改名,很大情況上避免了這類事件的發(fā)生;后者主要是針對那些不夠細心的用戶,這類用戶看到陌生文件后往往不會認真查看文件屬性,結(jié)果往往會將“貨物exe.jpg”這類文件誤以為是后綴名為jpg的圖片文件,但實際上卻是可執(zhí)行文件,運行后肯定又悲劇了。
這里,最主要的就是取消掉“隱藏已知文件擴展名”,方法如下:
依次點擊,開始菜單->控制面板->文件夾選項,然后如下圖設(shè)置即可,
當(dāng)然,雙后綴和unicode反轉(zhuǎn)中沒有可執(zhí)行文件的擴展名時,就沒多大必要擔(dān)心了??蓤?zhí)行文件的擴展名包括exe、bat、com、msi等。另外,CAD文件、office文件、PDF文件等也需要注意,因為這些文件都有可能感染病毒,如CAD病毒、宏病毒等,打開帶有這些病毒的文件時,可能會使電腦上的正常CAD文件和office文件受損,如果可能,盡量使用最新的正版軟件打開這類文件或者是考慮安裝能防CAD病毒或宏病毒的殺毒軟件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打開就沒事。
除了雙后綴和unicode反轉(zhuǎn),某些特殊的文件名的文件也需要注意,例如過于簡單的文件名,如1.exe、d.exe等;與系統(tǒng)文件或有名軟件的名稱極為相似的文件名,如expIore.exe、QQDown1oad.exe等;看起來像網(wǎng)址的文件,如wenwen.soso.com、www.baidu.com等;擴展名偏門的文件也不要隨意打開,例如hta、pif、vbs之類的。
2、通過數(shù)字簽名判斷
程序上的數(shù)字簽名標明了程序的廠商,在軟件上主要就是用于驗證軟件的完整性,在發(fā)布后有沒有被修改過。正規(guī)公司出品的軟件都有有效的數(shù)字簽名。
如果聲稱自己是正規(guī)公司出品,或者是軟件名或文件名是某個有名的軟件,但有沒有有效的數(shù)字簽名,那就可以肯定該軟件是仿冒的。其中數(shù)字簽名無效的軟件比沒有數(shù)字簽名的軟件更可疑,因為數(shù)字簽名無效在屬性里不能直接看到,很容易將之誤解為是某個正規(guī)公司的軟件。需要注意的是,大多數(shù)解除軟件、第三方修改版軟件都沒有數(shù)字簽名,這些很危險,因為無法驗證在發(fā)布后是否被修改過。
下面是數(shù)字簽名的驗證方式(以傲游3為例):
(1)、在傲游3主程序(Maxthon.exe)上右擊,在彈出菜單中選擇“屬性”,在屬性窗口中單擊數(shù)字簽名選項卡:
2、在數(shù)字簽名選項卡中選中簽名,單擊詳細信息查看證書的詳細信息:
在這里面,需要特別注意查看數(shù)字簽名是否有效,數(shù)字簽名有效,該軟件可信,數(shù)字簽名無效,該軟件就很可疑了;還需要注意頒發(fā)者,如果頒發(fā)者名不見經(jīng)傳,那也需要注意。比較常見的有一下幾種:COMODO、VeriSign、Microsoft等。
二、根據(jù)多引擎掃描網(wǎng)站的結(jié)果判斷:
這是判斷某個文件是否是病毒木馬的另一個較快的辦法。
多引擎掃描網(wǎng)站利用網(wǎng)站服務(wù)器上的殺軟引擎,將用戶上傳的文件進行掃描,得出掃描結(jié)果。利用這個結(jié)果,有時候可以很快判斷文件是不是病毒。
一般來說,當(dāng)某個文件,所有殺毒軟件引擎都報毒,或上段提到的幾個殺毒軟件都報毒,那幾乎可以肯定該文件是惡意文件,打開會導(dǎo)致電腦出問題。如果所有殺毒軟件都沒有報毒,而文件在網(wǎng)絡(luò)上又已經(jīng)有一段時間了,那該文件幾乎不可能是惡意軟件。
當(dāng)然更多的情況是一些殺毒軟件報毒,一些不報毒,這個時候就需要對殺毒軟件的及病毒名進行綜合查看,有名的殺毒軟件,特別是在AV-TEST、AV-C測試中誤報較少的殺軟報毒一般都可以確定該文件確實有問題。此外病毒名中往往會帶有殺軟判斷該文件是惡意文件的理由,例如:backdoor意為后門,即軟件作者可能繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán);spy、Trojan為間諜軟件,即軟件作者可能利用此軟件在未經(jīng)用戶允許的情況下暗中收集用戶信息;malware是病毒的一種,可能感染并損害計算機;win32一般多見于病毒的命名中;Generic代表該文件是被啟發(fā)式掃描引擎報毒(這類報毒的誤報可能性最高)等等,具體可以在軟件官網(wǎng)上查詢到。