计算机病毒检测方法有哪些

电脑教程026

计算机病毒检测方法有哪些,第1张

计算机如果中病毒了,那么我们要怎么样去检测呢?下面由我给你做出详细的计算机病毒检测 方法 介绍!希望对你有帮助!

计算机病毒检测方法一:

计算机病毒检测 1.手工检测

手工检测是指通过一些软件工具(DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能) 进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和 操作系统 ,因而无法普及。

它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。

计算机病毒检测 2.自动检测

自动检测是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。

这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具总是对相对数量的未知病毒不能识别。

就两种方法相比较而言,手工检测方法操作难度大,技术复杂,它需要操作人员有一定的软件分析 经验 以及对操作系统有一个深入的了解。而自动检测方法操作简单、使用方便,适合于一般的计算机用户学习使用但是

由于计算机病毒的种类较多,程序复杂,再加上不断地出现病毒的变种,所以自动检测方法不可能检测所有未知的病毒。在出现一种新型的病毒时,如果现有的各种检测工具无法检测这种病毒,则只能用手工方法进行病毒的检测。其实,自动检测也是在手工检测成功的基础上把手工检测方法程序化后所得的。

因此,手工检测病毒是最基本、最有力的工具。

病毒感染正常文件或系统会引起各种变化,从这些变化中找出某些本质性的变化,作为诊断病毒的判据。广泛使用的主要检测病毒方法有:比较法、搜索法、分析法、感染实验法、软件模拟法、行为检测法。

计算机病毒检测方法二:

提早发现病毒对计算机的防护是很重要的。早发现,早处置,可以减少损失。现在介绍几种检测病毒的方法,虽然方法不尽相同,但各具所长。 特征代码法、校验和法、行为监测法、软件模拟法,

病毒特征代码检测法

特征代码检测是目前较为普遍的病毒检测方法,是通过检测工具(反病毒软件)置入已知病毒特征代码来检测病毒,但对从未见过的新病毒,却无法检测。在技术上需要不断更新程序版本,升级病毒特征代码。

文件校验和法

将计算出系统正常文件内容的校验和进行保存。并定期检查文件的校验和与原来保存的校验和是否一致,从而发现文件是否感染病毒,这种方法叫文件校验和法。它既可发现已知病毒又可发现未知病毒,能观测文件的细微变化。

但是这种方法常常误报警,原因是病毒感染并非文件内容改变的惟一的非他性,还有可能是正常程序引起的。文件校验和法不是最好的方法,它会影响文件的运行速度。不能识别病毒名称、不能对付隐蔽型病毒。

行为特征监测法

利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒长期观察,研究、识别出病毒行为共同性和特殊性。当系统运行时,监视其行为,如果有病毒行为,会立即发出警报。行为特征监测法可以发现未知病毒、能相当准确地预报未知的多数病毒。但可能导致误报、不能识别病毒名称。

软件模拟法由此演绎为虚拟机上进行的查毒,启发式查毒技术等,是相对成熟的技术。

怎么查看电脑是不是中病毒了?方法如下:

1、首先你的电脑会突然变的很卡顿,鼠标自己会动或者会卡顿,在任务管理器中发现很多不熟悉的软件和不明的进程。

2、然后是你的电脑的一些软件无法使用,就像一些杀毒软件出现卡顿和被关闭的问题。

3、然后一些电脑上的网站的网络流量非常大,因为有些病毒会查看你的电脑是否有一些有价值信息。

4、之后点击桌面上的我电脑中的C盘是否已经自动下载了你看不懂的软件给你,并强行安装了很多附加软件。

5、最后找到我的电脑点击进入后,选择要打开的其中一个文件夹,但是打开前请不要单最大化窗口。如果打开的文件是在新窗口打开,或者将自动最大化,表示你的电脑中毒了。

如何识别电脑病毒

一、文件时间

如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。

文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。

通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows \system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。

当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。

说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。

当然我们还有其他的分辨方法。

二、文件名

文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。

我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。

还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。

当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的`排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。

还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。

对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。

实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。

三、版本信息

检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。

文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了还有soundman.exe厂商信息竟然是 1,可以考虑删除了,应该不是声卡的程序了。

版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。

四、位

病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32 \drivers,还有c:\programfiles\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared,还有就是临时文件夹、IE缓存。

首先临时文件夹c:\documents and settings\你的用户名\localsettings\temp和c:\windows\temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。

其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32 中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。

还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。

服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。

除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file namehere without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是 debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或 ntsd -d,这就不要删除文件了,只要把注册表项删除。

还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。