怎样判断文件是否为恶意文件_教程

使用电脑时，往往会遇到一些不太可信的文件，如解除版游戏或软件，算号器及注册机，小众软件，网购时对方给的文件等，这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为打开这些文件不安全，不打开不舒心这时就需要一些方法判断这个文件是否安全。以下我整理的判断文件是否为恶意文件的技巧，供大家参考，希望大家能够有所收获!

判断文件是否为恶意文件的方法：

一、查看文件属性

1、通过文件名判断

查看文件属性可以说是最简单快捷的一个方法。这个方法，只能对那些伪装为正常文件的病毒木马有效，而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术，例如，某文件名为“照片.gif.exe”或者是“货物exe.jpg”，这类文件几乎可以肯定有问题。

这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户，该类用户在收到“照片.gif.exe”时，只能看到“照片.gif”，很容易误以为这是一个后缀名为gif的图片文件，打开这类文件几乎可以肯定会出问题，当然QQ和旺旺貌似都会对可执行文件强制改名，很大情况上避免了这类事件的发生后者主要是针对那些不够细心的用户，这类用户看到陌生文件后往往不会认真查看文件属性，结果往往会将“货物exe.jpg”这类文件误以为是后缀名为jpg的图片文件，但实际上却是可执行文件，运行后肯定又悲剧了。

这里，最主要的就是取消掉“隐藏已知文件扩展名”，方法如下：

依次点击，开始菜单->控制面板->文件夹选项，然后如下图设置即可，

当然，双后缀和unicode反转中没有可执行文件的扩展名时，就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi等。另外，CAD文件、office文件、PDF文件等也需要注意，因为这些文件都有可能感染病毒，如CAD病毒、宏病毒等，打开带有这些病毒的文件时，可能会使电脑上的正常CAD文件和office文件受损，如果可能，尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件，如360等，而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。

除了双后缀和unicode反转，某些特殊的文件名的文件也需要注意，例如过于简单的文件名，如1.exe、d.exe等与系统文件或有名软件的名称极为相似的文件名，如expIore.exe、QQDown1oad.exe等看起来像网址的文件，如wenwen.soso.com、www.baidu.com等扩展名偏门的文件也不要随意打开，例如hta、pif、vbs之类的。

2、通过数字签名判断

程序上的数字签名标明了程序的厂商，在软件上主要就是用于验证软件的完整性，在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。

如果声称自己是正规公司出品，或者是软件名或文件名是某个有名的软件，但有没有有效的数字签名，那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑，因为数字签名无效在属性里不能直接看到，很容易将之误解为是某个正规公司的软件。需要注意的是，大多数解除软件、第三方修改版软件都没有数字签名，这些很危险，因为无法验证在发布后是否被修改过。

下面是数字签名的验证方式(以傲游3为例)：

(1)、在傲游3主程序(Maxthon.exe)上右击，在d出菜单中选择“属性”，在属性窗口中单击数字签名选项卡：

2、在数字签名选项卡中选中签名，单击详细信息查看证书的详细信息：

在这里面，需要特别注意查看数字签名是否有效，数字签名有效，该软件可信，数字签名无效，该软件就很可疑了还需要注意颁发者，如果颁发者名不见经传，那也需要注意。比较常见的有一下几种：COMODO、VeriSign、Microsoft等。

二、根据多引擎扫描网站的结果判断：

这是判断某个文件是否是病毒木马的另一个较快的办法。

多引擎扫描网站利用网站服务器上的杀软引擎，将用户上传的文件进行扫描，得出扫描结果。利用这个结果，有时候可以很快判断文件是不是病毒。

一般来说，当某个文件，所有杀毒软件引擎都报毒，或上段提到的几个杀毒软件都报毒，那几乎可以肯定该文件是恶意文件，打开会导致电脑出问题。如果所有杀毒软件都没有报毒，而文件在网络上又已经有一段时间了，那该文件几乎不可能是恶意软件。

当然更多的情况是一些杀毒软件报毒，一些不报毒，这个时候就需要对杀毒软件的及病毒名进行综合查看，有名的杀毒软件，特别是在AV-TEST、AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由，例如：backdoor意为后门，即软件作者可能绕过安全性控制而获取对程序或系统访问权spy、Trojan为间谍软件，即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息malware是病毒的一种，可能感染并损害计算机win32一般多见于病毒的命名中Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性最高)等等，具体可以在软件官网上查询到。

作为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台，例如：渗透测试中给木马做免杀处理后检查其免杀效果，又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。

当然，使用这些平台较多的主要还是普通网民和像我这样的ScriptKid，对于真正的样本分析大佬来说也只是用于辅助，大多数还是会经过人工分析，因为只有这样才能更加了解恶意软件样本的行为。

您好，恶意软件可以盗取您的用户隐私、消耗您的手机流量、暗扣您的手机费用，如发现建议您尽快处理。您可以使用腾讯手机管家进行清除。管家可以帮您检测到软件的恶意行为，并引导您进行一次性阻止或卸载。 *** 作方式如下：

首先，建议您将手机获取ROOT权限，root后可实现保留软件功能，阻止恶意行为的目的；同时也可确保手机能够彻底卸载恶意软件。

通常情况下，欺骗某人为您做事要比编写软件是人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。

与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些 *** 作。但是，在恶作剧中并不执行任何代码；恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。

通常情况下，欺骗某人为您做事要比编写软件是人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。

垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。

术语"垃圾邮件"的来源尚在讨论之中，但是无论它的来源是什么，有一点是可以肯定的，那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重，以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是，我们应该注意到，除了电子邮件服务器和防垃圾邮件软件所承担的负载之外，垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。

垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。

广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但是，d出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。此外，有些用户原来并没有完全意识到许可协议中的条款，这些应用程序收集的信息可能会导致他们担心隐私问题。

注意：尽管术语"间谍软件"和"广告软件"经常交替使用，但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的，不应划分为间谍软件。还要注意到，声称执行特定功能（实际上执行其他任务）的间谍软件应用程序实际上起到了特洛伊木马的作用。

要查看恶意软件删除工具检测到受感染的文件，可以用下面方法：

1、按Win+R打开运行窗口，输入mrt回车就能打开系统自带的恶意软件删除工具；

2、点击“下一步”，开始选择扫描类型，若要指定位置可以使用自定义扫描，若要全盘搜索则选择完全扫描，若只扫描敏感位置可使用快速扫描；

3、选好类型后点击下一步开始扫描，根据扫描区域的大小消耗的时间也会不同，扫描完成后会显示扫描结果，可根据提示进行 *** 作。

欢迎分享，转载请注明来源：内存溢出

原文地址:https://54852.com/tougao/11536595.html

怎样判断文件是否为恶意文件

发表评论

评论列表（0条）