怎样判断文件是否为恶意文件
使用电脑时,往往会遇到一些不太可信的文件,如破解版游戏或软件,算号器及注册机,小众软件,网购时对方给的文件等,这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全,不打开不舒心;这时就需要一些方法判断这个文件是否安全。以下小编整理的判断文件是否为恶意文件的技巧,供大家参考,希望大家能够有所收获!
判断文件是否为恶意文件的方法:
一、查看文件属性
1、通过文件名判断
查看文件属性可以说是最简单快捷的一个方法。这个方法,只能对那些伪装为正常文件的病毒木马有效,而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术,例如,某文件名为“照片.gif.exe”或者是“货物exe.jpg”,这类文件几乎可以肯定有问题。
这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户,该类用户在收到“照片.gif.exe”时,只能看到“照片.gif”,很容易误以为这是一个后缀名为gif的图片文件,打开这类文件几乎可以肯定会出问题,当然QQ和旺旺貌似都会对可执行文件强制改名,很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用户,这类用户看到陌生文件后往往不会认真查看文件属性,结果往往会将“货物exe.jpg”这类文件误以为是后缀名为jpg的图片文件,但实际上却是可执行文件,运行后肯定又悲剧了。
这里,最主要的就是取消掉“隐藏已知文件扩展名”,方法如下:
依次点击,开始菜单->控制面板->文件夹选项,然后如下图设置即可,
当然,双后缀和unicode反转中没有可执行文件的扩展名时,就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi等。另外,CAD文件、office文件、PDF文件等也需要注意,因为这些文件都有可能感染病毒,如CAD病毒、宏病毒等,打开带有这些病毒的文件时,可能会使电脑上的正常CAD文件和office文件受损,如果可能,尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件,如360等,而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。
除了双后缀和unicode反转,某些特殊的文件名的文件也需要注意,例如过于简单的文件名,如1.exe、d.exe等;与系统文件或有名软件的名称极为相似的文件名,如expIore.exe、QQDown1oad.exe等;看起来像网址的文件,如wenwen.soso.com、www.baidu.com等;扩展名偏门的文件也不要随意打开,例如hta、pif、vbs之类的。
2、通过数字签名判断
程序上的数字签名标明了程序的厂商,在软件上主要就是用于验证软件的完整性,在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。
如果声称自己是正规公司出品,或者是软件名或文件名是某个有名的软件,但有没有有效的数字签名,那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑,因为数字签名无效在属性里不能直接看到,很容易将之误解为是某个正规公司的软件。需要注意的是,大多数破解软件、第三方修改版软件都没有数字签名,这些很危险,因为无法验证在发布后是否被修改过。
下面是数字签名的验证方式(以傲游3为例):
(1)、在傲游3主程序(Maxthon.exe)上右击,在弹出菜单中选择“属性”,在属性窗口中单击数字签名选项卡:
2、在数字签名选项卡中选中签名,单击详细信息查看证书的详细信息:
在这里面,需要特别注意查看数字签名是否有效,数字签名有效,该软件可信,数字签名无效,该软件就很可疑了;还需要注意颁发者,如果颁发者名不见经传,那也需要注意。比较常见的有一下几种:COMODO、VeriSign、Microsoft等。
二、根据多引擎扫描网站的结果判断:
这是判断某个文件是否是病毒木马的另一个较快的办法。
多引擎扫描网站利用网站服务器上的杀软引擎,将用户上传的文件进行扫描,得出扫描结果。利用这个结果,有时候可以很快判断文件是不是病毒。
一般来说,当某个文件,所有杀毒软件引擎都报毒,或上段提到的几个杀毒软件都报毒,那几乎可以肯定该文件是恶意文件,打开会导致电脑出问题。如果所有杀毒软件都没有报毒,而文件在网络上又已经有一段时间了,那该文件几乎不可能是恶意软件。
当然更多的情况是一些杀毒软件报毒,一些不报毒,这个时候就需要对杀毒软件的及病毒名进行综合查看,有名的杀毒软件,特别是在AV-TEST、AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由,例如:backdoor意为后门,即软件作者可能绕过安全性控制而获取对程序或系统访问权;spy、Trojan为间谍软件,即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息;malware是病毒的一种,可能感染并损害计算机;win32一般多见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性最高)等等,具体可以在软件官网上查询到。