使用電腦時，往往會遇到一些不太可信的文件，如破解版游戲或軟件，算號器及注冊機，小眾軟件，網(wǎng)購時對方給的文件等，這些東西有可能包含病毒木馬或者是會有修改IE設(shè)置等流氓行為;打開這些文件不安全，不打開不舒心;這時就需要一些方法判斷這個文件是否安全。

　　一、查看文件屬性

　　1、通過文件名判斷

　　查看文件屬性可以說是最簡單快捷的一個方法。這個方法，只能對那些偽裝為正常文件的病毒木馬有效，而這類病毒多見于網(wǎng)購時和U盤里。其中最典型的是雙后綴和unicode反轉(zhuǎn)技術(shù)，例如，某文件名為“照片.gif.exe”或者是“貨物exe.jpg”，這類文件幾乎可以肯定有問題。

　　這類文件前者是針對沒有在文件夾選項中取消“隱藏已知文件擴展名”的用戶，該類用戶在收到“照片.gif.exe”時，只能看到“照片.gif”，很容易誤以為這是一個后綴名為gif的圖片文件，打開這類文件幾乎可以肯定會出問題，當然QQ和旺旺貌似都會對可執(zhí)行文件強制改名，很大情況上避免了這類事件的發(fā)生;后者主要是針對那些不夠細心的用戶，這類用戶看到陌生文件后往往不會認真查看文件屬性，結(jié)果往往會將“貨物exe.jpg”這類文件誤以為是后綴名為jpg的圖片文件，但實際上卻是可執(zhí)行文件，運行后肯定又悲劇了。

　　這里，最主要的就是取消掉“隱藏已知文件擴展名”，方法如下：

　　依次點擊，開始菜單->控制面板->文件夾選項，然后如下圖設(shè)置即可，

　　當然，雙后綴和unicode反轉(zhuǎn)中沒有可執(zhí)行文件的擴展名時，就沒多大必要擔心了。可執(zhí)行文件的擴展名包括exe、bat、com、msi 等。另外，CAD文件、office文件、PDF文件等也需要注意，因為這些文件都有可能感染病毒，如CAD病毒、宏病毒等，打開帶有這些病毒的文件時，可能會使電腦上的正常CAD文件和office文件受損，如果可能，盡量使用最新的正版軟件打開這類文件或者是考慮安裝能防CAD病毒或宏病毒的殺毒軟件，如360等，而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打開就沒事。

　　除了雙后綴和unicode反轉(zhuǎn)，某些特殊的文件名的文件也需要注意，例如過于簡單的文件名，如1.exe、d.exe等;與系統(tǒng)文件或有名軟件的名稱極為相似的文件名，如expIore.exe、QQDown1oad.exe等;看起來像網(wǎng)址的文件，如wenwen.soso.com、 www.baidu.com等;擴展名偏門的文件也不要隨意打開，例如hta、pif、vbs之類的。

　　2、通過數(shù)字簽名判斷

　　程序上的數(shù)字簽名標明了程序的廠商，在軟件上主要就是用于驗證軟件的完整性，在發(fā)布后有沒有被修改過。正規(guī)公司出品的軟件都有有效的數(shù)字簽名。

　　如果聲稱自己是正規(guī)公司出品，或者是軟件名或文件名是某個有名的軟件，但有沒有有效的數(shù)字簽名，那就可以肯定該軟件是仿冒的。其中數(shù)字簽名無效的軟件比沒有數(shù)字簽名的軟件更可疑，因為數(shù)字簽名無效在屬性里不能直接看到，很容易將之誤解為是某個正規(guī)公司的軟件。需要注意的是，大多數(shù)破解軟件、第三方修改版軟件都沒有數(shù)字簽名，這些很危險，因為無法驗證在發(fā)布后是否被修改過。

　　下面是數(shù)字簽名的驗證方式(以傲游3為例)：

　　(1)、在傲游3主程序(Maxthon.exe)上右擊，在彈出菜單中選擇“屬性”，在屬性窗口中單擊數(shù)字簽名選項卡：

　　2、在數(shù)字簽名選項卡中選中簽名，單擊詳細信息查看證書的詳細信息：

　　在這里面，需要特別注意查看數(shù)字簽名是否有效，數(shù)字簽名有效，該軟件可信，數(shù)字簽名無效，該軟件就很可疑了;還需要注意頒發(fā)者，如果頒發(fā)者名不見經(jīng)傳，那也需要注意。比較常見的有一下幾種：COMODO、VeriSign、Microsoft等。

　　二、根據(jù)多引擎掃描網(wǎng)站的結(jié)果判斷：

　　這是判斷某個文件是否是病毒木馬的另一個較快的辦法。

　　多引擎掃描網(wǎng)站利用網(wǎng)站服務(wù)器上的殺軟引擎，將用戶上傳的文件進行掃描，得出掃描結(jié)果。利用這個結(jié)果，有時候可以很快判斷文件是不是病毒。

　　以http://virscan.org/為例，該網(wǎng)站允許用戶上傳小于20M的文件進行掃描，同時如果文件是壓縮包，壓縮包內(nèi)的文件數(shù)量不得多于20個。該網(wǎng)站利用小紅傘、AVG、avast、比特梵德、大蜘蛛、卡巴斯基、江民、瑞星、金山、邁克菲、諾頓、ESET nod32、熊貓等三十多款殺毒軟件對符合要求的文件進行掃描，并將結(jié)果通知用戶。

　　一般來說，當某個文件，所有殺毒軟件引擎都報毒，或上段提到的幾個殺毒軟件都報毒，那幾乎可以肯定該文件是惡意文件，打開會導(dǎo)致電腦出問題。如果所有殺毒軟件都沒有報毒，而文件在網(wǎng)絡(luò)上又已經(jīng)有一段時間了，那該文件幾乎不可能是惡意軟件。

　　當然更多的情況是一些殺毒軟件報毒，一些不報毒，這個時候就需要對殺毒軟件的及病毒名進行綜合查看，有名的殺毒軟件，特別是在AV-TEST、 AV-C測試中誤報較少的殺軟報毒一般都可以確定該文件確實有問題。此外病毒名中往往會帶有殺軟判斷該文件是惡意文件的理由，例如：backdoor意為后門，即軟件作者可能繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán);spy、Trojan為間諜軟件，即軟件作者可能利用此軟件在未經(jīng)用戶允許的情況下暗中收集用戶信息;malware是病毒的一種，可能感染并損害計算機;win32一般多見于病毒的命名中;Generic代表該文件是被啟發(fā)式掃描引擎報毒 (這類報毒的誤報可能性最高)等等，具體可以在軟件官網(wǎng)上查詢到。

　　三、根據(jù)在線的自動分析系統(tǒng)判斷

　　即使是通過前面兩種方式，仍然有大量的文件無法判斷是正常文件還是木馬。這時可以利用沙盤(沙箱)、虛擬機、已編寫好規(guī)則的HIPS軟件來判斷是否是病毒木馬，但由于通過這些判斷樣本都有較大的難度，同時沙箱有漏沙的危險，HIPS的規(guī)則可能有漏洞。所以這里介紹一個用得較少但更安全，更簡單易行的辦法——在線沙盤(有些又叫在線自動分析系統(tǒng)等)。目前，對公眾開放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即時惡意軟件分析)，由于金山火眼需要邀請碼，故這里只介紹comodo那個。

　　Comodo Instant Malware Analysis的地址是：http://camas.comodo.com，它自動運行用戶上傳的文件，并記錄該文件運行中的行為，包括文件及文件夾創(chuàng)建、刪除、修改，注冊表鍵及鍵值創(chuàng)建、刪除、修改，驅(qū)動的加載、卸載，加載的模塊，API的調(diào)用，訪問的網(wǎng)址及DNS的修改等，最后得出結(jié)論 (Verdict)。其中危險的行為和最終結(jié)果將會被標為紅色。

　　我們只需要注意其中的紅色部分，特別是結(jié)論，在Comodo Instant Malware Analysis中該項為“Verdict”。

　　如果文件不安全，“Verdict”下的值就是“Suspicious”，代表這個文件是可疑的，也就是該文件進行了一些只有病毒木馬才會進行的操作，如果文件很危險，后面還會帶上個+號，那么那個文件幾乎可以肯定是病毒木馬。即使沒有+號，那類文件都是很危險的，不建議運行那類文件。

　　第二種結(jié)果是“Undetected”，即沒有檢測到任何可疑行為，也就是該軟件的所有行為都是正常的，這類文件不可能是病毒，可以放心運行。

　　第三種結(jié)果是“Unexecutable”，也就是那個文件是不能單獨運行的，如果是單文件，可以放心。

　　四、其他方法

　　除了上面這些方法外，還有一些方法，例如利用具有信譽云功能的軟件進行檢查，如卡巴斯基的KSN，諾頓的文件智能分析、360的360閃電云鑒定器等，一般來說，這幾個定為安全(暫無風(fēng)險、良好等)的文件和使用人數(shù)較多、發(fā)布時間較久的文件幾乎可以肯定是安全的。

　　上面這些方法都是一些簡單的辦法，幾個結(jié)合起來出現(xiàn)誤判、漏判的可能性雖小，但還是有可能的。最可靠的辦法是給你所使用的反病毒廠商通過發(fā)郵件、打電話等方式要求技術(shù)支持，當然，如果你使用的是免費殺毒軟件，那就只能到殺軟官方論壇上發(fā)帖，請求官方鑒定了。正版用戶發(fā)郵件，最多一天就會有結(jié)果，一般都會在收到郵件后幾分鐘告知已收到郵件，在十來個小時內(nèi)告知對可疑文件的鑒定結(jié)果，如果是可以修復(fù)的文件，還會將文件修復(fù)后發(fā)給你;打電話的，聽說都會馬上得到技術(shù)支持，一般都是通過QQ之類的進行遠程協(xié)助。免費殺毒軟件發(fā)帖求助，一般會在一兩個小時內(nèi)得到官方人員回復(fù)，但對樣本的鑒定時間就難說了，快的一天，慢的就沒消息了。