分析系统中木马病毒的运行方式(4)

第三部分：捆绑和嵌入（感染）正常程序启动

这种启动方式也是一种普遍的病毒启动方式，也是最让一般用户感到头疼的病毒感染方式，它通过感染和嵌入正常程序中达到使病毒启动的目的。

一、查看文件最后修改日期和字节大小

通过列出当前运行的程序目录，我们可以通过显示文件的“详细信息”来查看文件的最后修改日期和当前文件大小，一般来说，病毒感染的文件的修改日期都很近，而且被感染文件比正常程序文件体积要大一些。要注意的是，病毒嵌入后文件体积大小增加可能不明显，必须在该文件的属性中才可以看到最精确的文件体积，通过对比正常程序文件的正确体积和最后修改时间，才能判断该文件是否被感染。

一旦确定被感染文件，我们可以通过文件替换方式来修复被感染的程序。

小提示：

如果病毒感染了你的操作系统文件，无法在windows中直接置换该文件，可以考虑使用光盘虚拟操作系统或将硬盘挂载到其他计算机上的方法，来完成文件替换工作。