识别病毒文件的四个非常不错的方法(2)

　　二、文件名

　　文件名是第一眼印象，通过文件名来初步判断是否可疑是最直接的方法，之所以放在时间判断后面，实在是从一大堆文件中分拣可疑分子太难了，还是用时间排下序方便些。

　　我们常说的随机字母(有时还有数字，较少)组合的文件名，病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯，比如雅虎上网助手，每次文件名都不一样，动机可疑，还有某猫的驱动程序也看似随机组合，不过幸好有厂商信息可以协助分辨，这个下一点再说)。

　　还有文件名的长度，有的严重超出8位文件名的标准，有10几位之多，这都应列为可疑对象，尤其是IE插件中有这些的文件名出现。

　　当然光说文件名古怪、随机组合，似乎没有一个标准，不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合，所以真要依靠文件名判断，还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说，结合上面的时间还有其它手段共同判断，还是可以发现点东西的。

　　还有一种就是假冒正常文件、系统文件的文件名，这倒比较好识别，比如 svchost.exe和svch0st.exe，很明显后者在假冒前者，这种欲盖弥彰倒更容易暴露，前提是你对系统文件名比较熟悉，有事没事打开任务管理器学习一下吧。

　　对应于文件名，还有服务名、驱动名、注册表启动项名，相对而言，这些项目的名字如果没有表示出一定含义，倒真是病毒了，还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字，如果服务、驱动、启动项名是有问题的，那么下面使用的文件一定是有问题的。

　　实在没把握，把文件名(有时要包括完整文件路径，不同路径下的同名文件可不一样，这个以后说)、服务名、驱动名、启动项名放到网上搜索一下，看看别人怎么说的，特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应，或相反情况)，都可以列为可疑对象。

　　三、版本信息

　　检查文件时间有不确定性，再加一个检查项目文件版本，也是在文件的属性中查看，有文件版本、厂商信息等。首先明确一下，不是所有文件都有版本信息，也不是所有无版本信息的文件都是病毒文件，更不是所有显示微软信息的文件都真是微软的。

　　文件名、文件时间，再对上文件版本，基本可以得出一个结果，比如一个奇怪的文件名，显示微软的厂商信息，明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息，可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1，可以考虑删除了，应该不是声卡的程序了。

　　版本信息中除了厂商以外，还有原文件名，有时你会在这里发现一个与检查文件不同的名字，真是别有天地。