怎樣判斷檔案是否為惡意檔案

  使用電腦時,往往會遇到一些不太可信的檔案,如破解版遊戲或軟體,算號器及註冊機,小眾軟體,網購時對方給的檔案等,這些東西有可能包含病毒木馬或者是會有修改IE設定等流氓行為;開啟這些檔案不安全,不開啟不舒心;這時就需要一些方法判斷這個檔案是否安全。以下小編整理的判斷檔案是否為惡意檔案的技巧,供大家參考,希望大家能夠有所收穫!

  判斷檔案是否為惡意檔案的方法:

  一、檢視檔案屬性

  1、通過檔名判斷

  檢視檔案屬性可以說是最簡單快捷的一個方法。這個方法,只能對那些偽裝為正常檔案的病毒木馬有效,而這類病毒多見於網購時和U盤裡。其中最典型的是雙字尾和unicode反轉技術,例如,某檔名為“照片.gif.exe”或者是“貨物exe.jpg”,這類檔案幾乎可以肯定有問題。

  這類檔案前者是針對沒有在資料夾選項中取消“隱藏已知副檔名”的使用者,該類使用者在收到“照片.gif.exe”時,只能看到“照片.gif”,很容易誤以為這是一個字尾名為gif的圖片檔案,開啟這類檔案幾乎可以肯定會出問題,當然QQ和旺旺貌似都會對可執行檔案強制改名,很大情況上避免了這類事件的發生;後者主要是針對那些不夠細心的使用者,這類使用者看到陌生檔案後往往不會認真檢視檔案屬性,結果往往會將“貨物exe.jpg”這類檔案誤以為是字尾名為jpg的圖片檔案,但實際上卻是可執行檔案,執行後肯定又悲劇了。

  這裡,最主要的就是取消掉“隱藏已知副檔名”,方法如下:

  依次點選,開始選單->控制面板->資料夾選項,然後如下圖設定即可,

  當然,雙字尾和unicode反轉中沒有可執行檔案的副檔名時,就沒多大必要擔心了。可執行檔案的副檔名包括exe、bat、com、msi等。另外,CAD檔案、office檔案、PDF檔案等也需要注意,因為這些檔案都有可能感染病毒,如CAD病毒、巨集病毒等,開啟帶有這些病毒的檔案時,可能會使電腦上的正常CAD檔案和office檔案受損,如果可能,儘量使用最新的正版軟體開啟這類檔案或者是考慮安裝能防CAD病毒或巨集病毒的防毒軟體,如360等,而PDF檔案只要使用最新正式版的Adobe Reader、Foxit Reader等開啟就沒事。

  除了雙字尾和unicode反轉,某些特殊的檔名的檔案也需要注意,例如過於簡單的檔名,如1.exe、d.exe等;與系統檔案或有名軟體的名稱極為相似的檔名,如expIore.exe、QQDown1oad.exe等;看起來像網址的檔案,如wenwen.soso、

  2、通過數字簽名判斷

  程式上的數字簽名標明瞭程式的廠商,在軟體上主要就是用於驗證軟體的完整性,在釋出後有沒有被修改過。正規公司出品的軟體都有有效的數字簽名。

  如果聲稱自己是正規公司出品,或者是軟體名或檔名是某個有名的軟體,但有沒有有效的數字簽名,那就可以肯定該軟體是仿冒的。其中數字簽名無效的軟體比沒有數字簽名的軟體更可疑,因為數字簽名無效在屬性裡不能直接看到,很容易將之誤解為是某個正規公司的軟體。需要注意的是,大多數破解軟體、第三方修改版軟體都沒有數字簽名,這些很危險,因為無法驗證在釋出後是否被修改過。

  下面是數字簽名的驗證方式以傲遊3為例:

  1、在傲遊3主程式Maxthon.exe上右擊,在彈出選單中選擇“屬性”,在屬性視窗中單擊數字簽名選項卡:

  2、在數字簽名選項卡中選中籤名,單擊詳細資訊檢視證書的詳細資訊:

  在這裡面,需要特別注意檢視數字簽名是否有效,數字簽名有效,該軟體可信,數字簽名無效,該軟體就很可疑了;還需要注意頒發者,如果頒發者名不見經傳,那也需要注意。比較常見的有一下幾種:COMODO、VeriSign、Microsoft等。

  二、根據多引擎掃描網站的結果判斷:

  這是判斷某個檔案是否是病毒木馬的另一個較快的辦法。

  多引擎掃描網站利用網站伺服器上的殺軟引擎,將使用者上傳的檔案進行掃描,得出掃描結果。利用這個結果,有時候可以很快判斷檔案是不是病毒。

  一般來說,當某個檔案,所有防毒軟體引擎都報毒,或上段提到的幾個防毒軟體都報毒,那幾乎可以肯定該檔案是惡意檔案,開啟會導致電腦出問題。如果所有防毒軟體都沒有報毒,而檔案在網路上又已經有一段時間了,那該檔案幾乎不可能是惡意軟體。

  當然更多的情況是一些防毒軟體報毒,一些不報毒,這個時候就需要對防毒軟體的及病毒名進行綜合檢視,有名的防毒軟體,特別是在AV-TEST、AV-C測試中誤報較少的殺軟報毒一般都可以確定該檔案確實有問題。此外病毒名中往往會帶有殺軟判斷該檔案是惡意檔案的理由,例如:backdoor意為後門,即軟體作者可能繞過安全性控制而獲取對程式或系統訪問權;spy、Trojan為間諜軟體,即軟體作者可能利用此軟體在未經使用者允許的情況下暗中收集使用者資訊;malware是病毒的一種,可能感染並損害計算機;win32一般多見於病毒的命名中;Generic代表該檔案是被啟發式掃描引擎報毒這類報毒的誤報可能性最高等等,具體可以在軟體官網上查詢到。