殺毒軟體怎麼確定文件有病毒的

A. 怎麼查看電腦是否有病毒

1. 最簡單，最有效，最直觀用殺毒軟體。x0dx0a2. 用系統自帶的命令，netstat －an。查看下是否有向外的連接。這里要注意看得時候要把所有聯網的東西都關了，包括QQ，瀏覽器，還有一些下載軟體等。查看到有向外聯接的IP不一定就是中病毒了。可以到網上查詢下IP的來源，羨擾可以簡單判斷，但不一定準的。x0dx0a3. 用網路抓包工具，看是否向外發送不明數據包。x0dx0a4. 查看啟動項，運行msconfig，然後在啟動里看看有沒有可疑的啟動項，有的話去看看源文件。x0dx0a5. 右擊「我的電腦」在里選「管理」然後再點服絕中務，看下有沒有可疑的服務存在，大部分服務只要去大的搜索網站搜一下就知道存在不存在了，是什麼作用等等都很詳細。如果確定了服務是個病毒服務，那麼就可以右擊該服務，看下屬性里，是不是有可執行文件路徑，這是病毒的並派山路徑，刪掉就行了，再到注冊表裡刪掉相應的服務就可以了

B. 如何快速判斷一個文件是否被捆綁病毒

用殺毒軟體查查，如果有病毒就被攔截了。如果擔心病毒是最新的就用卡巴斯基的一個安全桌面功能運行這個文件，就不會感染到真實的電腦。

1、防止預防計算機病毒的入侵。

2、有效及時的提醒你當前計算機的安全狀況。

3、當染毒時，可以對計算機內的所困毀罩有文件進行查殺。

4、清理電腦垃圾和冗餘注冊表。

5、防止進入釣魚網站。

(2)殺毒軟體怎麼確定文件有病毒的擴展閱讀

殺毒軟體的工作原理：

殺毒軟體的任務是實時監控和掃描磁碟。殺病毒軟體通過在系統添加驅動程序的方式，進駐系統，並隨操作系統啟動。大部分的殺毒軟體具有防火牆功能。殺毒軟體余廳實時監控方式因軟體而異。

有的殺毒軟體是汪鬧通過在內存里劃分一部分空間，將電腦里流過內存的數據與殺毒軟體自身所帶的病毒庫的特徵碼相比較，以判斷是否為病毒。部分殺毒軟體在所劃分到的。

C. 殺毒軟體通過什麼判斷是否是病毒

殺毒軟體是根據文件中的一段代碼來判斷是否是病毒的。當然不一定一定準確，有很小很小的源塌幾率，剛好一個數據文件的部分代碼純裂租和病毒的特徵部分一致，這個就沒有辦法分出來了。有做兆時候會報錯。

D. 殺毒軟體是怎麼識別病毒的，它的原理是什麼

常用的反病毒軟體技術 特徵碼技術：基於對已知病毒分析、查解的反病毒技術 目前的大多數殺病毒軟體採用的方法主要是特徵碼查毒方案與人工解毒並行，亦即在查病毒時採用特徵碼查毒，在殺病毒時採用人工編制解毒代碼。 特徵碼查毒方案實際上是人工查毒經驗的簡單表述，它再現了人工辨識病毒的一般方法，採用了「同一病毒或同類病毒的某一部分肆山或代碼相同」的原理，也就是說，如果病毒及其變種、變形病毒具有同一性，則可以對這種同一性進行描述，並通過對程序體與描述結果（亦即「特徵碼」）進行比較來查找病毒。而並非所有病毒都可以描述其特徵碼，很多病毒都是難以描述甚至無法用特徵碼進行描述。使用特徵碼技術需要實現一些補充功能，例如近來的壓縮包、壓縮可執行文件自動查殺技術。 但是，特徵碼查毒方案也具有極大的局限性。特徵碼的描述取決於人的主觀因素，從長達數千位元組的病毒體中擷取十餘位元組的病毒特徵碼，需要對病毒進行跟蹤、反匯編以及其它分析，如果病毒本身具有反跟蹤技術和變形、解碼技術，那麼跟蹤和反匯編以獲取特徵碼的情況將變得極其復雜。此外，要擷取一個病毒的特徵碼，必然要獲取該病毒的樣本，再由於對特徵碼的描述各個不同，特徵碼方法在國際上很難得到廣域性支持。特徵碼查病毒主要的技術缺陷表現在較大的誤查和誤報上，而殺病毒技術又導致了反病毒軟體的技術遲滯。 虛擬機技術：啟發式探測未知病毒的反病毒技術 虛擬機技術的主要作用是能夠運行一定規則的描述語言。由於病毒的最終判定準則是其復制傳染性，而這個標準是不易被使用和實現的，如果病毒已經傳染了才判定是它是病毒，定會給病毒的清除帶來麻煩。 那麼檢查病毒用什麼方法呢？客觀地說，在各類病毒檢查方法中，特徵值方法是適用范圍最寬、速度最快、最簡單、最有效的方法。但由於其本身的缺陷問題，它只適用於已知病毒，對於未知病毒，如果能夠讓病毒在控制下先運行一段時間，讓其自己還原，那麼，裂伍問題就會相對明了。可以說，虛擬機是這種情況下的最佳選擇。 虛擬機在反病毒軟體中應用范圍廣，並成為目前反病毒軟體的一個趨勢。一個比較完整的虛擬機，不僅能夠識別新的未知病毒，而且能夠清除未知病毒，我們會發現這個反病毒工具不再是一個程序，而成為可以和卡斯帕羅夫抗衡的ibm深藍超級計算機。首先，虛擬機必須提供足夠的虛擬，以完成或將近完成病毒的「虛擬傳染」；其次，盡管根據病毒定義而確立的「傳染」標準是明確的，但是，這個標准假如能夠實施，它在判定病毒的標准上仍然會有問題；第三，假如上一步能夠通過，那麼，我們必須檢測並確認所謂「感染」的文件確實感染的就是這個病毒或其變形。 目前虛擬機的處理對象主要是文件型病毒。對於引導型病毒、word／excel宏病毒、木馬程序在理論上都是可以通過虛擬機來處理的，但目前的實現水平仍相距甚遠。就像病毒編碼變形使得傳統特徵值方法失效一樣，針對虛擬機的新病毒可以輕易使得虛擬機失效。雖然虛擬機也會在實踐中不斷得到發展。但是，pc的計算能力有限，反病毒軟體的製造成本也有限，而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效，甚至要以此為基礎來清除未知病毒，其難度相當大。 受病毒在理論上就是不可判定的這一根本前提的制約，事實上，無論是啟發式，亦或是虛擬機，都只能是一種工程學的努力，其成功的概率永遠不可唯宴達到100％。這是惟一的卻又是無可奈何的缺憾。 未來的反病毒技術： 虛擬現實 對於未來技術的展望可能只是一種近乎飄渺的幻想，但是就如同計算機病毒最初的描述出現在科幻小說里，雖然還有許許多多我們目前仍在實現卻仍未實現的技術，甚至還有許多我們根本未考慮到的因素。只要技術足夠成熟，網路世界中是完全有可能出現類似人工智慧的反病毒技術。 未來反病毒的疑難之一就是：我們永遠無法寫出一個合理的程序來辨識和查殺病毒。病毒掌握了人類所掌握的一切，它同樣能辨識和分析反毒程序，並對自身重新編程；而反毒程序要可能同樣地對病毒進行探測，再進行自編程。病毒與反毒程序的角逐就變成了自編程能力的實現，而這樣的結果只能導致網路空間緊張，甚至崩潰！ 我們還可以考慮用另一種方式：人工進入計算網路世界的方法來查殺病毒。人有足夠的智能和經驗積累來完成對病毒的辨識和殺除，而這就只剩下建立人與計算機之間的「橋」的問題了。 目前的虛擬現實技術重點放在了對人與人的自 查看原帖>>

E. 怎樣判斷文件是否為惡意文件

使用電腦時，往往會遇到一些不太可信的文件，如解除版游戲或軟體，算號器及注冊機，小眾軟體，網購時對方給的文件等，這些東西有可能包含病毒木馬或者是會有修改IE設置等流氓行為;打開這些文件不安全，不打開不舒心;這時就需要一些 方法 判斷這個文件是否安全。以下我整理的判斷文件蔽源雹是否為惡意文件的技巧，供大家參考，希望大家能夠有所收獲!

判斷文件是否為惡意文件的方法：

一、查看文件屬性

1、通過文件名判斷

查看文件屬性可以說是最簡單快捷的一個方法。這個方法，只能對那些偽裝為正常文件的病毒木馬有效，而這類病毒多見於網購時和U盤里。其中最典型的是雙後綴和unicode反轉技術，例如，某文件名為「照片.gif.exe」或者是「貨物exe.jpg」，這類文件幾乎可以肯定有問題。

這類文件前者是針對沒有在文件夾選項中取消「隱藏已知文件擴展名」的用戶，該類用戶在收到「照片.gif.exe」時，只能看到「照片.gif」，很容易誤以為這是一個後綴名為gif的圖片文件，打開這類文件幾乎可以肯定會出問題，當然QQ和旺旺貌似都會對可執行文件強制改名，很大情況上避免了這類事件的發生;後者主要是針對那些不夠細心的用戶，這類用戶看到陌生文件後往往不會認真查看文件屬性，結果往往會將「貨物exe.jpg」這類文件誤以為是後綴名為jpg的圖片文件，但實際上卻是可執行文件，運行後肯定又悲劇了。

這里，最主要的就是取消掉「隱藏已知文件擴展名」，方法如下：

依次點擊，開始菜單->控制面板->文件夾選項，然後如下圖設置即可，

當然，雙後綴和unicode反轉中沒有可執行文件的擴展名時，就沒多大必要擔心了。可執行文件的擴展名包括exe、bat、com、msi等。另外，CAD文件、office文件、PDF文件等也需要注意，因為這些文件都有可能感染病毒，如CAD病毒、宏病毒等，打開帶有這些病毒的文件時，可能會使電腦上的正常CAD文件和office文件受損，如果可能，盡量使用最新的正版軟體打開這類文件或者是考慮安裝能防CAD病毒或宏病毒的殺毒軟體，如360等，而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打開就沒事。

除了雙後綴和unicode反轉，某些特殊的文件名的文件也需要注意，例如過於簡單的文件名，如1.exe、d.exe等;與系統文件或有名軟體的名稱極為相似的文件名，如expIore.exe、QQDown1oad.exe等;看起來像網址的文件，如wenwen.soso.com、www..com等;擴展名偏門的文件也不要隨意打開，例如hta、pif、vbs之類的。

2、通過數字簽名判斷

程序上的數字簽名標明了程序的廠商，在軟體上主要就是用於驗證軟體的完整性，在發布後有沒有被修改過。正規公司出品的軟體都有有效的數字簽名。

如果聲稱自己是正規公司出品，或者是軟體名或文件名是某個有名的軟體，但有沒有有效的數字簽名，那就可以肯定該軟體是仿冒的。其中數字簽名無效的軟體比沒有數字簽名的軟體更可疑，因為數字簽名無效在屬性里不能直接看到，很容易將之誤解為是宏帆某個正規公司的軟體。需要注意的是，大多數解除軟體、第三方修改版軟體都沒有數字簽名，這些很危險，因為無法驗證在發布後是否被修改過。

下面是數字簽名的驗證方式(以傲遊3為例)：

(1)、在傲遊3主程序(Maxthon.exe)上右擊，在彈出菜單中選擇「屬性」，在屬性窗口中單擊數字簽名選項卡：

2、在數字簽名選項卡中選中簽名，單擊詳細信息查看證書的詳細信息：

在這裡面，需要特別注意查看數字簽名是否有效，數字簽名有效，該軟體可信，數字簽名無效，該軟體就很可疑了;還需要注意頒發者，如果頒發者名不見經傳，那也需要注意。比較常見的有一下幾種：COMODO、VeriSign、Microsoft等。

二、根據多引擎掃描網站的結果判斷：

這是判斷某個文件是否是病毒木馬的另一個較快的辦法。

多引擎掃描網站利用網站伺服器上的殺軟引擎，將用戶上傳的文件進行掃描，得出掃描結果。利用這個結果，有時候可以很快判斷文件是裂掘不是病毒。

一般來說，當某個文件，所有殺毒軟體引擎都報毒，或上段提到的幾個殺毒軟體都報毒，那幾乎可以肯定該文件是惡意文件，打開會導致電腦出問題。如果所有殺毒軟體都沒有報毒，而文件在網路上又已經有一段時間了，那該文件幾乎不可能是惡意軟體。

當然更多的情況是一些殺毒軟體報毒，一些不報毒，這個時候就需要對殺毒軟體的及病毒名進行綜合查看，有名的殺毒軟體，特別是在AV-TEST、AV-C測試中誤報較少的殺軟報毒一般都可以確定該文件確實有問題。此外病毒名中往往會帶有殺軟判斷該文件是惡意文件的理由，例如：backdoor意為後門，即軟體作者可能繞過安全性控制而獲取對程序或系統訪問權;spy、Trojan為間諜軟體，即軟體作者可能利用此軟體在未經用戶允許的情況下暗中收集用戶信息;malware是病毒的一種，可能感染並損害計算機;win32一般多見於病毒的命名中;Generic代表該文件是被啟發式掃描引擎報毒(這類報毒的誤報可能性最高)等等，具體可以在軟體官網上查詢到。

F. 殺毒軟體是如何區別病毒文件的

殺毒軟旁攔件查殺病毒是通過對比病毒特徵碼方試來辨別病毒的、並不是根據文件名辨別哪個是病毒、
一下是殺毒軟體查殺病毒的一些方法：
1、文件查殺
是把病毒特徵碼與殺毒軟體中的病毒庫中的代碼來進行比較，如果病毒庫中有相同的特徵碼，就會認為這個是病毒、特徵碼--通俗一點講，比如你身上一個特徵 它就會認識到這個特徵就是你了 。所以，對於這樣的查殺模式。只要改變特徵碼殺毒軟體就會不認識了。

2、內存查殺
其實內存查殺也是通過特徵碼的，和文件查殺基本上一樣，模啟哪一個區別就是它是通過內存特徵碼來查殺的。

3、行為查殺
是通過判斷程序的動作來進行定義，如果程序對某個地方進行動作就會被旦碼認為是病毒了，
現在許多病毒都通過「加殼」、「加花指令」....等方式來躲避殺毒軟體的查殺！

G. 殺毒軟體是如何確定病毒的

殺毒軟體是通過以下的途徑來判斷程序中帶有病毒的:首先是通過殺毒軟體體內內置的殺毒軟體病毒特徵庫特徵碼來發現病毒的。殺毒軟體首先會打開並自動檢查文件的內容，如果發現了和自己的病毒庫有類似的內容時，既可以判斷這個程序有病毒。採用病毒特徵代碼法的檢測工具，面對不斷出現的新病毒，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒，自然無法知道其特徵代碼，因而無法去檢測這些新病毒。

特徵代碼法的優點是：檢測准確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做解毒處理。其缺點是：不能檢測未知病毒、搜集已知病毒的特徵代碼，費用開銷大、在網路上效率低（在網路伺服器上，因長時間檢索會使整個網路性能變壞）。

其特點：

A.速度慢。隨著病毒種類的增多，檢索時間變長。如果檢索5000種病毒，必須對5000個病毒特徵代碼逐一檢查。如果病毒種數再增加，檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性，將變得日益困難。

B.誤報警率低。

非C.不能檢查多形性病毒。特徵代碼法是不可能檢測多態性病毒的。國外專家認為多態性病毒是病毒特徵代碼法的索命者。

D.不能對付隱蔽性病毒。隱蔽性病毒如果先進駐內存，後運行病毒檢測工具，隱蔽性病毒能先於檢測工具，將被查文件中的病毒代碼剝去，檢測工具的確是在檢查一個虛假的「好文件」，而不能報警，被隱蔽性病毒所蒙騙。
校驗和法

將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現已知病毒又可發現未知病毒。在SCAN和CPAV工具的後期版本中除了病毒特徵代碼法之外，還納入校驗和法，以提高其檢測能力。

這種方法既能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類，不能報出病毒名稱。由於病毒感染並非文件內容改變的唯一的非他性原因，文件內容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。

病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區分正常程序引起的變動，而頻繁報警。用監視文件的校驗和來檢測病毒，不是最好的方法。

這種方法遇到下述情況：已有軟體版更新、變更口令、修改運行參數、校驗和法都會誤報警。

校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存後，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正常校驗和。

運用校驗和法查病毒採用三種方式：

①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而後進行比較。

②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值。實現應用程序的自檢測。

③將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。

校驗和法的優點是：方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是：發布通行記錄正常態的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。

行為監測法

利用病毒的特有行為特徵性來監測病毒的方法，稱為行吵局為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行攔碰裂時，監視其行為，如果發現了病毒行為，立即報警。

這些做為監測病毒的行為特徵如下：

A.佔有INT 13H

所有的引導型病毒，都攻擊Boot扇區或主引導扇區。系統啟動時，當Boot扇區或主引導扇區獲得執行權時，系統剛剛開工。一般引導型病毒都會佔用INT
13H功能，因為其他系統功能未設置好，簡閉無法利用。引導型病毒占據INT 13H功能，在其中放置病毒所需的代碼。

B.改DOS系統為數據區的內存總量

病毒常駐內存後，為了防止DOS系統將其覆蓋，必須修改系統內存總量。

C.對COM、EXE文件做寫入動作

病毒要感染，必須寫COM、EXE文件。

D.病毒程序與宿主程序的切換

染毒程序運行中，先運行病毒，而後執行宿主程序。在兩者切換時，有許多特徵行為。

行為監測法的長處：可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處：可能誤報警、不能識別病毒名稱、實現時有一定難度。

軟體模擬法

多態性病毒每次感染都變化其病毒密碼，對付這種病毒，特徵代碼法失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特徵的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒後，因為不知病毒的種類，難於做消毒處理。

最近的病毒,會發作一些時間之後..殺軟公司就會收集到這病毒程序..然後更新特徵庫..就是所謂的更新.. 這句話正確

H. 殺毒軟體怎麼判斷某個文件是病毒文件呀

分類: 電腦/網路 >> 反病毒
解析:

殺毒軟體的任務是實時監控和掃描磁碟。部分殺毒軟體通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啟動。大部分鏈嫌禪的殺毒軟體還具有防火牆功能。

殺毒軟體的實時監控方式因軟體而異。有的殺毒者茄軟體，是通過在內存里劃分一部分空間，將電腦里流過內存的數據與殺毒軟體自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些殺毒軟體則在所劃分到的內棚塵存空間裡面，虛擬執行系統或用戶提交的程序，根據其行為或結果作出判斷。

而掃描磁碟的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這里，殺毒軟體將會將磁碟上所有的文件（或者用戶自定義的掃描范圍內的文件）做一次檢查。

另外，殺毒軟體的設計還涉及很多其他方面的技術。

脫殼技術，即是對壓縮文件和封裝好的文件作分析檢查的技術。

自身保護技術，避免病毒程序殺死自身進程。

修復技術，對被病毒損壞的文件進行修復的技術。