【导语】以下是小编为大家准备了火眼金睛 识别病毒文件的方法(共6篇),欢迎参阅。
篇1:火眼金睛 识别病毒文件的方法
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32/drivers,如果是系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象,
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位置
病毒木马喜欢呆的地方是系统文件夹,windows、windows/system32、windows/system32/drivers,还有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
结语:
说真的,真要从一堆英文名中找出可疑的文件名挺难的,综合使用各个方法,配合工具软件分类显示,把服务驱动列出来,名字、文件、路径一摆,就很明显了,有的名字就是乱写的,对照后面的文件名就很清楚了,有的细心的会冒充系统服务名,不过与正常的一对比,连网也不用上,也可以找出问题(隐藏微软服务后非微软的服务就露出来了,如果还顶个系统服务名或接近系统服务的名字,就一定有问题,不是把正常服务改了,就是额外加进来的李鬼)。
篇2:火眼金睛 识别病毒文件四个非常不错的方法
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32/drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的,
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位置
病毒木马喜欢呆的地方是系统文件夹,windows、windows/system32、windows/system32/drivers,还有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系
篇3:识别病毒文件的四个方法
文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32/drivers,如果是系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
文件名 文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象,
版本信息检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。来源:考试大
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
位置病毒木马喜欢呆的地方是系统文件夹,windows、windows/system32、windows/system32/drivers,还有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。
服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。
除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或ntsd -d,这就不要删除文件了,只要把注册表项删除。
还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。
推荐用SREng来检查,比较方便,也会自动提示以上修改。
篇4:识别病毒文件的四个方法
一、文件时间
如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。
文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。
通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:windows和c:windows system32,有时还有c:windowssystem32drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。
说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。
当然我们还有其他的分辨方法。
二、文件名
文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。
我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。
还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。
当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。
还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧,
对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。
实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。
三、版本信息
检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。
文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是 1,可以考虑删除了,应该不是声卡的程序了。
版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。
四、位置
病毒木马喜欢呆的地方是系统文件夹,windows、windowssystem32、windows/system32 drivers,还有c:program filesinternet explorer/c:program filesinternet explorerplugin、c:program filescommon filesmiscrosoft shared,还有就是临时文件夹、IE缓存
首先临时文件夹c:documents and settings你的用户名local settings emp和c:windows emp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。
其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32 中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如 windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。
篇5:火眼金睛识别儿童食品标签
火眼金睛识别儿童食品标签
“美丽”的误会:你会上食品标签的当吗?
走进超市,除了绚丽的包装,很多新鲜的食品名称也很吸引眼球。可要知道,这些让人好感顿生的食品名称和标签,往往会导致你的误读,使你的消费行为和原来的购物愿望大相径庭。――聪明的父母,你们会上标签的当吗?
酸奶饮料
人们都知道,酸奶是一种美味可口的保健食品。它不仅是蛋白质和钙质的良好来源,同时也能调节人体的消化吸收功能,提高消化道抵抗力,适当饮用还有减肥美容的功效。
超市中与“酸奶”有关的各式饮料满满当当摆了好几个货架,可是,它们都是酸奶么?如果睁大眼睛细细地审查,就会发现大部分产品包装上,在大大的“酸奶”、“酸乳”、“酸酪乳”、“优酪乳”或更花哨的产品名称后面,还有两个不起眼的字“饮料”。原来,这根本不是酸奶,而是牛奶或酸奶添两倍水制成的“乳饮料”。为了达到诱人的口感,其中除了水,还要添加糖、香精、有机酸等原料,根本无法达到酸奶的营养价值,更别说酸奶的保健作用了。如果父母们把这样的产品当成酸奶每天让宝贝大量饮用,结果会摄入过多的糖分和香精。
那么应当怎样分辨“酸奶”和“酸奶饮料”呢?。其实很简单,只要把它从货架上拿下来,仔细看看标签上的成分表,你就会发现:酸奶的蛋白质含量必须在2.3%以上,而“酸奶饮料”的蛋白质含量却标着“≥1.0%”。同样道理还可以用来辨别牛奶和乳饮料:牛奶的蛋白质含量必须达到2.9%以上,而花样百出的某某乳(饮料)的蛋白质含量也只是“≥1.0%”。
儿童可乐
众所周知,可乐因为含有咖啡因而对儿童的健康不利。于是,市面上就出现了各种“儿童可乐”,标榜“不含咖啡因,不含防腐剂”,号称是“特别针对少年儿童生长发育的特点而专门开发的健康可乐”。有的父母觉得,这种专为儿童配置的可乐克服了普通可乐的“先天不足”,可以放心地让孩子尽情饮用。事实真是这样的吗?
每听儿童可乐含有38克白糖,150千卡的能量,30-40毫克磷,还有焦糖色素。如果每天饮用2听可乐,便多摄入了60-80毫克磷和76克白糖。可乐中所含大量糖分和磷会使体液趋向于酸性,为了维持酸碱平衡,人体就不得不动用骨骼和牙齿当中的钙,从而导致骨钙的流失。
可见,长期大量喝这种儿童可乐,将使生长中的宝贝无法有效吸收和利用食物中的钙,从而导致骨骼发育不良。俄亥俄州牙医协会在的一次新闻发布中指出,除了妨碍钙吸收之外,可乐等碳酸饮料中的酸对牙齿的珐琅质具有腐蚀作用,从而促进龋齿的发生。此外,因为可乐中含有大量的精制糖,过量饮用还会导致幼儿的肥胖问题。可见,即便不含有咖啡因,“儿童可乐”对宝贝的健康也是有害无益的。
天然零食
零食虽小,却是人们生活中的重要内容,特别为儿童所喜爱。在人们对健康问题空前关注的时代,一些零食也披上“纯天然”、“低脂肪”、“真正水果制造”这些绚丽的外衣,以取悦关心宝贝健康的父母们。
“纯天然”是好多商家最爱打的旗号。当然,那些野生的蘑菇、清香的山梅、纯朴的马铃薯,确实是“纯天然”的原材料。可是,它们在工厂里要经过很多加工步骤,这些加工过程都会对食品的营养价值产生影响。比如说,薯片在油里炸过,还要沾上味精和盐等调味品,属于高脂肪高热量高盐食品;又比如说,果脯和蜜饯在糖里腌制或煮制过,含糖量达60%以上,其中的维生素C几乎损失殆尽。食物原料中天然的养分平衡早已被打破,还额外增加了大量的油脂和糖分。
水果零食也是一个最近兴起的“健康”把戏。毕竟它们是“真正水果制作”。但是这些零食只含有小块水果或是少量果汁,却加了很多糖和添加剂。比如所谓的“营养果冻”,它们含有的维生素和矿物质微乎其微,而且吸收利用率也很差。
如果用天然原料制作就能叫做“纯天然”食品的话,世界上还有多少食品不可以叫做“天然”呢?无论怎样包装,也不能掩盖它们不利健康的真相。
植物奶油
在放黄油的冷藏柜中,名为“植物奶油”的产品赫然在列。如果仔细看看,很多饼干、面包、奶油蛋糕之类的成分表上都有这个东西的大名。许多父母看到“植物”二字就以为是“天然的”、“健康的”,认为比牛奶中提取的奶油更健康。实际上,所谓“植物奶油”就是“人造黄油”,也叫做“麦淇淋”,是植物油经过人工氢化反应制成的。经过这个反应之后,植物油中的不饱和脂肪也变成了饱和的脂肪,营养价值并不比天然黄油更高。
植物奶油唯一的优点便是不含胆固醇。然而更令人担心的是,在植物油的人工氢化过程中,不可避免地会产生一种非天然构型的脂肪酸,也就是所谓的“反式脂肪酸”。经常摄入这种脂肪酸会大幅度地提高心血管疾病、糖尿病的发病率,还会妨碍幼儿的大脑和神经系统发育。所以,宁可给宝贝购买含有黄油的食物,也不要给他们购买所谓的“植物奶油”。
营养麦片
许多所谓的“营养麦片”实际上大部分成分是糖和糊精,而不是燕麦片。其中每包的蛋白质含量只有1克左右,说明奶粉和燕麦含量都很少,香味主要来自香精,其营养价值尚不如普通的粥。如果用它来当作早餐的主要成分,一定令人极为失望。因为一份成人早餐需要提供全天25%~30%的蛋白质,大约相当于16~25克,宝贝也需要10克左右的蛋白质。
因此,如果要购买优质的早餐食品,应当选择纯麦片和奶粉为主要原料的产品。注意看每一包当中的蛋白质含量,如果是40克包,其中的.蛋白质含量应当超过5克。按很多国家的规定,如果产品上有“营养”二字,则应当标明产品中的维生素和矿物质含量。假如对产品标签不放心,则不妨自己买相对廉价得多的纯燕麦片,煮成粥加牛奶食用。
美味素肉
目前,“素鸡”、“素鱼香肉丝”、“素孜然羊肉”等豆制品越来越受到人们的喜爱,因为它们能做出和肉相似的口感,并且商家对其“高蛋白低脂肪,不含胆固醇”的宣传也迎合了人们追求健康的心理。其实,这类豆制品可能用大量的油炸过,“低脂肪”的宣称未必名副其实,而且为了加强口味,添加了较多的盐和味精。它们对于健康的好处,主要是钙含量高一些,其他方面并不比真正的肉类更大。
样子普通的水豆腐、豆腐丝、豆腐皮、白豆腐干等,才是真正高蛋白、低脂肪的健康大豆食品。此外,需要注意的是,肉类可以提供高效价的血红素铁,而豆制品则不能。所以贫血的宝贝最好不要完全用仿肉豆制品代替肉类。
植物蛋白饮品
不少饮料类产品标榜自己是植物蛋白饮料,如核桃乳、花生奶、杏仁奶、红豆乳等,以区别于可乐、果味饮料等除了糖分几乎毫无营养价值的饮料。很多父母因此经常给宝贝购买这类饮料,以补充蛋白质。实际上,这些饮料含蛋白质通常不足1%,在提供蛋白质方面作用甚微,而其中所含的糖分却不比其他甜饮料少。
一听蛋白饮料大约200克,其中仅含有2克蛋白质,和人体每天65~75克的需要量相比微不足道。按照发达国家的标签法,如果一份食品所提供的某种营养素达不到一日所需量的10%,便不能在包装上宣称是这种营养素的来源。按这个标准,能成为蛋白饮品的只有牛奶和豆浆。
奶精
很多时尚美味食品,如珍珠奶茶、咖啡伴侣、各式甜品等,当中都有一种听起来十分诱人的配料――“奶精”。人们想当然地以为,奶精就是牛奶的精华,营养丰富,风味天然。
其实所谓“奶精”,就是氢化植物油、糊精(淀粉水解物)、少量酪蛋白酸钠、奶油香精、乳化剂、抗结剂等成分的混合物。其中脂肪含量达20%~75%,热量比淀粉还要高。别看它颜色白白的,奶香浓浓的,化在水中有乳白的颜色,其实和牛奶没什么关系,营养价值更是差之万里。奶精的香味来自于奶油香精和香兰素,乳白的牛奶质感则来自乳化剂。
由于奶精中所含牛奶成分微乎其微,它不仅不能补钙,也不能补充蛋白质。其第一大主要成份,不是油脂,便是淀粉水解物。可以说,它不仅不能增加营养,反而会提供糖分和脂肪。
奶精中最糟糕的成分,便是所谓的“氢化植物油”。这种油脂看起来和黄油的感觉差不多,是用植物油经过“人工氢化”处理之后制作而成的。别看带上“植物”二字,其实所含的饱和脂肪酸比猪油还多!经过人工氢化之后,还会带来对心血管危害最大的“反式脂肪酸”,真是让人避之唯恐不及!
所谓“植脂末”,不过是粉末状“奶精”的另一种说法而已。
奶精要比奶粉廉价得多,而且容易储存,容易加工,添加之后能让食物的口味更为诱人,难怪食品厂家爱它没商量!可是,父母们却应当好好想一想:我的孩子真的需要吃那么多“奶精”吗?
要在五光十色的食品市场中辨清食物的真实品质,确实不是一件很容易的事。但是只要父母们每次购物的时候仔细阅读成分表,平时多注意积累一些营养健康的小知识,相信不用多久,就一定能够练就一双火眼金睛,看得清清楚楚,买得明明白白。
篇6:教你如何识别病毒
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名,虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的CIH,还有近期闹得正欢的振荡波蠕虫病毒的家族名是Sasser。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B,因此一般称为振荡波B变种或者振荡波变种B。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等,
这些病毒的一般公有的特性是可以感染Windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3、木马病毒、 病毒
木马病毒其前缀是:Trojan, 病毒前缀名一般为Hack.木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。而 病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、 病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而 病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有 的功能(这些字母一般都为密码的英文password的缩写)一些 程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
★病毒作文
文档为doc格式
