使用電腦時��,往往會遇到一些不太可信的文件,如破解版游戲或軟件�,算號器及注冊機����,小眾軟件���,網購時對方給的文件等�����,這些東西有可能包含病毒木馬或者是會有修改IE設置等流氓行為;打開這些文件不安全��,不打開不舒心;這時就需要一些方法判斷這個文件是否安全。
一�����、查看文件屬性
1����、通過文件名判斷
查看文件屬性可以說是最簡單快捷的一個方法。這個方法��,只能對那些偽裝為正常文件的病毒木馬有效���,而這類病毒多見于網購時和U盤里�。其中最典型的是雙后綴和unicode反轉技術,例如��,某文件名為“照片.gif.exe”或者是“貨物exe.jpg”�,這類文件幾乎可以肯定有問題。
這類文件前者是針對沒有在文件夾選項中取消“隱藏已知文件擴展名”的用戶�,該類用戶在收到“照片.gif.exe”時�����,只能看到“照片.gif”,很容易誤以為這是一個后綴名為gif的圖片文件,打開這類文件幾乎可以肯定會出問題��,當然QQ和旺旺貌似都會對可執行文件強制改名����,很大情況上避免了這類事件的發生;后者主要是針對那些不夠細心的用戶,這類用戶看到陌生文件后往往不會認真查看文件屬性,結果往往會將“貨物exe.jpg”這類文件誤以為是后綴名為jpg的圖片文件���,但實際上卻是可執行文件���,運行后肯定又悲劇了。
這里����,最主要的就是取消掉“隱藏已知文件擴展名”���,方法如下:
依次點擊�,開始菜單->控制面板->文件夾選項��,然后如下圖設置即可���,
當然��,雙后綴和unicode反轉中沒有可執行文件的擴展名時,就沒多大必要擔心了?��?蓤绦形募臄U展名包括exe、bat、com�����、msi 等��。另外��,CAD文件��、office文件����、PDF文件等也需要注意�,因為這些文件都有可能感染病毒,如CAD病毒、宏病毒等���,打開帶有這些病毒的文件時,可能會使電腦上的正常CAD文件和office文件受損,如果可能,盡量使用最新的正版軟件打開這類文件或者是考慮安裝能防CAD病毒或宏病毒的殺毒軟件,如360等�,而PDF文件只要使用最新正式版的Adobe Reader���、Foxit Reader等打開就沒事����。
除了雙后綴和unicode反轉�����,某些特殊的文件名的文件也需要注意���,例如過于簡單的文件名��,如1.exe、d.exe等;與系統文件或有名軟件的名稱極為相似的文件名�����,如expIore.exe��、QQDown1oad.exe等;看起來像網址的文件��,如wenwen.soso.com、 www.baidu.com等;擴展名偏門的文件也不要隨意打開����,例如hta、pif�、vbs之類的�����。
2�、通過數字簽名判斷
程序上的數字簽名標明了程序的廠商��,在軟件上主要就是用于驗證軟件的完整性���,在發布后有沒有被修改過�。正規公司出品的軟件都有有效的數字簽名��。
如果聲稱自己是正規公司出品�����,或者是軟件名或文件名是某個有名的軟件,但有沒有有效的數字簽名�����,那就可以肯定該軟件是仿冒的��。其中數字簽名無效的軟件比沒有數字簽名的軟件更可疑�,因為數字簽名無效在屬性里不能直接看到�����,很容易將之誤解為是某個正規公司的軟件�����。需要注意的是��,大多數破解軟件��、第三方修改版軟件都沒有數字簽名,這些很危險��,因為無法驗證在發布后是否被修改過����。
下面是數字簽名的驗證方式(以傲游3為例):
(1)、在傲游3主程序(Maxthon.exe)上右擊�����,在彈出菜單中選擇“屬性”����,在屬性窗口中單擊數字簽名選項卡:
2、在數字簽名選項卡中選中簽名�����,單擊詳細信息查看證書的詳細信息:
在這里面���,需要特別注意查看數字簽名是否有效���,數字簽名有效����,該軟件可信,數字簽名無效����,該軟件就很可疑了;還需要注意頒發者�,如果頒發者名不見經傳�����,那也需要注意。比較常見的有一下幾種:COMODO、VeriSign����、Microsoft等��。
二、根據多引擎掃描網站的結果判斷:
這是判斷某個文件是否是病毒木馬的另一個較快的辦法�。
多引擎掃描網站利用網站服務器上的殺軟引擎��,將用戶上傳的文件進行掃描����,得出掃描結果�����。利用這個結果�����,有時候可以很快判斷文件是不是病毒。
以http://virscan.org/為例,該網站允許用戶上傳小于20M的文件進行掃描��,同時如果文件是壓縮包�����,壓縮包內的文件數量不得多于20個�����。該網站利用小紅傘�、AVG、avast����、比特梵德��、大蜘蛛、卡巴斯基���、江民、瑞星���、金山、邁克菲�����、諾頓��、ESET NOD32�、熊貓等三十多款殺毒軟件對符合要求的文件進行掃描����,并將結果通知用戶。
一般來說���,當某個文件,所有殺毒軟件引擎都報毒���,或上段提到的幾個殺毒軟件都報毒,那幾乎可以肯定該文件是惡意文件���,打開會導致電腦出問題。如果所有殺毒軟件都沒有報毒�,而文件在網絡上又已經有一段時間了��,那該文件幾乎不可能是惡意軟件。
當然更多的情況是一些殺毒軟件報毒��,一些不報毒�����,這個時候就需要對殺毒軟件的及病毒名進行綜合查看,有名的殺毒軟件����,特別是在AV-TEST���、 AV-C測試中誤報較少的殺軟報毒一般都可以確定該文件確實有問題��。此外病毒名中往往會帶有殺軟判斷該文件是惡意文件的理由,例如:backdoor意為后門�,即軟件作者可能繞過安全性控制而獲取對程序或系統訪問權;spy�����、Trojan為間諜軟件���,即軟件作者可能利用此軟件在未經用戶允許的情況下暗中收集用戶信息;malware是病毒的一種����,可能感染并損害計算機;win32一般多見于病毒的命名中;Generic代表該文件是被啟發式掃描引擎報毒 (這類報毒的誤報可能性最高)等等����,具體可以在軟件官網上查詢到。
三�、根據在線的自動分析系統判斷
即使是通過前面兩種方式��,仍然有大量的文件無法判斷是正常文件還是木馬。這時可以利用沙盤(沙箱)��、虛擬機����、已編寫好規則的HipS軟件來判斷是否是病毒木馬�,但由于通過這些判斷樣本都有較大的難度,同時沙箱有漏沙的危險�����,HIPS的規則可能有漏洞����。所以這里介紹一個用得較少但更安全,更簡單易行的辦法——在線沙盤(有些又叫在線自動分析系統等)。目前���,對公眾開放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即時惡意軟件分析),由于金山火眼需要邀請碼,故這里只介紹comodo那個�����。
Comodo Instant Malware Analysis的地址是:http://camas.comodo.com����,它自動運行用戶上傳的文件,并記錄該文件運行中的行為��,包括文件及文件夾創建�、刪除、修改�����,注冊表鍵及鍵值創建���、刪除��、修改�,驅動的加載�����、卸載,加載的模塊����,API的調用�����,訪問的網址及DNS的修改等,最后得出結論 (Verdict)�。其中危險的行為和最終結果將會被標為紅色�����。
我們只需要注意其中的紅色部分,特別是結論,在Comodo Instant Malware Analysis中該項為“Verdict”���。
如果文件不安全,“Verdict”下的值就是“Suspicious”,代表這個文件是可疑的�,也就是該文件進行了一些只有病毒木馬才會進行的操作�����,如果文件很危險�����,后面還會帶上個+號,那么那個文件幾乎可以肯定是病毒木馬。即使沒有+號��,那類文件都是很危險的���,不建議運行那類文件�。
第二種結果是“Undetected”,即沒有檢測到任何可疑行為,也就是該軟件的所有行為都是正常的��,這類文件不可能是病毒�����,可以放心運行。
第三種結果是“Unexecutable”��,也就是那個文件是不能單獨運行的���,如果是單文件���,可以放心���。
四���、其他方法
除了上面這些方法外�,還有一些方法,例如利用具有信譽云功能的軟件進行檢查�,如卡巴斯基的KSN���,諾頓的文件智能分析�����、360的360閃電云鑒定器等,一般來說�,這幾個定為安全(暫無風險�、良好等)的文件和使用人數較多�、發布時間較久的文件幾乎可以肯定是安全的。
上面這些方法都是一些簡單的辦法�,幾個結合起來出現誤判��、漏判的可能性雖小,但還是有可能的����。最可靠的辦法是給你所使用的反病毒廠商通過發郵件、打電話等方式要求技術支持�,當然�,如果你使用的是免費殺毒軟件�����,那就只能到殺軟官方論壇上發帖��,請求官方鑒定了。正版用戶發郵件�����,最多一天就會有結果�,一般都會在收到郵件后幾分鐘告知已收到郵件,在十來個小時內告知對可疑文件的鑒定結果���,如果是可以修復的文件,還會將文件修復后發給你;打電話的�,聽說都會馬上得到技術支持���,一般都是通過QQ之類的進行遠程協助����。免費殺毒軟件發帖求助�����,一般會在一兩個小時內得到官方人員回復���,但對樣本的鑒定時間就難說了�����,快的一天,慢的就沒消息了。
