杀毒软件怎么确定文件有病毒的

A. 怎么查看电脑是否有病毒

1. 最简单，最有效，最直观用杀毒软件。x0dx0a2. 用系统自带的命令，netstat －an。查看下是否有向外的连接。这里要注意看得时候要把所有联网的东西都关了，包括QQ，浏览器，还有一些下载软件等。查看到有向外联接的IP不一定就是中病毒了。可以到网上查询下IP的来源，羡扰可以简单判断，但不一定准的。x0dx0a3. 用网络抓包工具，看是否向外发送不明数据包。x0dx0a4. 查看启动项，运行msconfig，然后在启动里看看有没有可疑的启动项，有的话去看看源文件。x0dx0a5. 右击“我的电脑”在里选“管理”然后再点服绝中务，看下有没有可疑的服务存在，大部分服务只要去大的搜索网站搜一下就知道存在不存在了，是什么作用等等都很详细。如果确定了服务是个病毒服务，那么就可以右击该服务，看下属性里，是不是有可执行文件路径，这是病毒的并派山路径，删掉就行了，再到注册表里删掉相应的服务就可以了

B. 如何快速判断一个文件是否被捆绑病毒

用杀毒软件查查，如果有病毒就被拦截了。如果担心病毒是最新的就用卡巴斯基的一个安全桌面功能运行这个文件，就不会感染到真实的电脑。

1、防止预防计算机病毒的入侵。

2、有效及时的提醒你当前计算机的安全状况。

3、当染毒时，可以对计算机内的所困毁罩有文件进行查杀。

4、清理电脑垃圾和冗余注册表。

5、防止进入钓鱼网站。

(2)杀毒软件怎么确定文件有病毒的扩展阅读

杀毒软件的工作原理：

杀毒软件的任务是实时监控和扫描磁盘。杀病毒软件通过在系统添加驱动程序的方式，进驻系统，并随操作系统启动。大部分的杀毒软件具有防火墙功能。杀毒软件余厅实时监控方式因软件而异。

有的杀毒软件是汪闹通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库的特征码相比较，以判断是否为病毒。部分杀毒软件在所划分到的。

C. 杀毒软件通过什么判断是否是病毒

杀毒软件是根据文件中的一段代码来判断是否是病毒的。当然不一定一定准确，有很小很小的源塌几率，刚好一个数据文件的部分代码纯裂租和病毒的特征部分一致，这个就没有办法分出来了。有做兆时候会报错。

D. 杀毒软件是怎么识别病毒的，它的原理是什么

常用的反病毒软件技术 特征码技术：基于对已知病毒分析、查解的反病毒技术 目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。 特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分肆山或代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。 但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。 虚拟机技术：启发式探测未知病毒的反病毒技术 虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。 那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，裂伍问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。 目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。 受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可唯宴达到100％。这是惟一的却又是无可奈何的缺憾。 未来的反病毒技术： 虚拟现实 对于未来技术的展望可能只是一种近乎飘渺的幻想，但是就如同计算机病毒最初的描述出现在科幻小说里，虽然还有许许多多我们目前仍在实现却仍未实现的技术，甚至还有许多我们根本未考虑到的因素。只要技术足够成熟，网络世界中是完全有可能出现类似人工智能的反病毒技术。 未来反病毒的疑难之一就是：我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切，它同样能辨识和分析反毒程序，并对自身重新编程；而反毒程序要可能同样地对病毒进行探测，再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现，而这样的结果只能导致网络空间紧张，甚至崩溃！ 我们还可以考虑用另一种方式：人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除，而这就只剩下建立人与计算机之间的“桥”的问题了。 目前的虚拟现实技术重点放在了对人与人的自 查看原帖>>

E. 怎样判断文件是否为恶意文件

使用电脑时，往往会遇到一些不太可信的文件，如解除版游戏或软件，算号器及注册机，小众软件，网购时对方给的文件等，这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全，不打开不舒心;这时就需要一些 方法 判断这个文件是否安全。以下我整理的判断文件蔽源雹是否为恶意文件的技巧，供大家参考，希望大家能够有所收获!

判断文件是否为恶意文件的方法：

一、查看文件属性

1、通过文件名判断

查看文件属性可以说是最简单快捷的一个方法。这个方法，只能对那些伪装为正常文件的病毒木马有效，而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术，例如，某文件名为“照片.gif.exe”或者是“货物exe.jpg”，这类文件几乎可以肯定有问题。

这类文件前者是针对没有在文件夹选项中取消“隐藏已知文件扩展名”的用户，该类用户在收到“照片.gif.exe”时，只能看到“照片.gif”，很容易误以为这是一个后缀名为gif的图片文件，打开这类文件几乎可以肯定会出问题，当然QQ和旺旺貌似都会对可执行文件强制改名，很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用户，这类用户看到陌生文件后往往不会认真查看文件属性，结果往往会将“货物exe.jpg”这类文件误以为是后缀名为jpg的图片文件，但实际上却是可执行文件，运行后肯定又悲剧了。

这里，最主要的就是取消掉“隐藏已知文件扩展名”，方法如下：

依次点击，开始菜单->控制面板->文件夹选项，然后如下图设置即可，

当然，双后缀和unicode反转中没有可执行文件的扩展名时，就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi等。另外，CAD文件、office文件、PDF文件等也需要注意，因为这些文件都有可能感染病毒，如CAD病毒、宏病毒等，打开带有这些病毒的文件时，可能会使电脑上的正常CAD文件和office文件受损，如果可能，尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件，如360等，而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。

除了双后缀和unicode反转，某些特殊的文件名的文件也需要注意，例如过于简单的文件名，如1.exe、d.exe等;与系统文件或有名软件的名称极为相似的文件名，如expIore.exe、QQDown1oad.exe等;看起来像网址的文件，如wenwen.soso.com、www..com等;扩展名偏门的文件也不要随意打开，例如hta、pif、vbs之类的。

2、通过数字签名判断

程序上的数字签名标明了程序的厂商，在软件上主要就是用于验证软件的完整性，在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。

如果声称自己是正规公司出品，或者是软件名或文件名是某个有名的软件，但有没有有效的数字签名，那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑，因为数字签名无效在属性里不能直接看到，很容易将之误解为是宏帆某个正规公司的软件。需要注意的是，大多数解除软件、第三方修改版软件都没有数字签名，这些很危险，因为无法验证在发布后是否被修改过。

下面是数字签名的验证方式(以傲游3为例)：

(1)、在傲游3主程序(Maxthon.exe)上右击，在弹出菜单中选择“属性”，在属性窗口中单击数字签名选项卡：

2、在数字签名选项卡中选中签名，单击详细信息查看证书的详细信息：

在这里面，需要特别注意查看数字签名是否有效，数字签名有效，该软件可信，数字签名无效，该软件就很可疑了;还需要注意颁发者，如果颁发者名不见经传，那也需要注意。比较常见的有一下几种：COMODO、VeriSign、Microsoft等。

二、根据多引擎扫描网站的结果判断：

这是判断某个文件是否是病毒木马的另一个较快的办法。

多引擎扫描网站利用网站服务器上的杀软引擎，将用户上传的文件进行扫描，得出扫描结果。利用这个结果，有时候可以很快判断文件是裂掘不是病毒。

一般来说，当某个文件，所有杀毒软件引擎都报毒，或上段提到的几个杀毒软件都报毒，那几乎可以肯定该文件是恶意文件，打开会导致电脑出问题。如果所有杀毒软件都没有报毒，而文件在网络上又已经有一段时间了，那该文件几乎不可能是恶意软件。

当然更多的情况是一些杀毒软件报毒，一些不报毒，这个时候就需要对杀毒软件的及病毒名进行综合查看，有名的杀毒软件，特别是在AV-TEST、AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由，例如：backdoor意为后门，即软件作者可能绕过安全性控制而获取对程序或系统访问权;spy、Trojan为间谍软件，即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息;malware是病毒的一种，可能感染并损害计算机;win32一般多见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性最高)等等，具体可以在软件官网上查询到。

F. 杀毒软件是如何区别病毒文件的

杀毒软旁拦件查杀病毒是通过对比病毒特征码方试来辨别病毒的、并不是根据文件名辨别哪个是病毒、
一下是杀毒软件查杀病毒的一些方法：
1、文件查杀
是把病毒特征码与杀毒软件中的病毒库中的代码来进行比较，如果病毒库中有相同的特征码，就会认为这个是病毒、特征码--通俗一点讲，比如你身上一个特征 它就会认识到这个特征就是你了 。所以，对于这样的查杀模式。只要改变特征码杀毒软件就会不认识了。

2、内存查杀
其实内存查杀也是通过特征码的，和文件查杀基本上一样，模启哪一个区别就是它是通过内存特征码来查杀的。

3、行为查杀
是通过判断程序的动作来进行定义，如果程序对某个地方进行动作就会被旦码认为是病毒了，
现在许多病毒都通过“加壳”、“加花指令”....等方式来躲避杀毒软件的查杀！

G. 杀毒软件是如何确定病毒的

杀毒软件是通过以下的途径来判断程序中带有病毒的:首先是通过杀毒软件体内内置的杀毒软件病毒特征库特征码来发现病毒的。杀毒软件首先会打开并自动检查文件的内容，如果发现了和自己的病毒库有类似的内容时，既可以判断这个程序有病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。

其特点：

A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。

B.误报警率低。

非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。

D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。
校验和法

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。

这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。

校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

运用校验和法查病毒采用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法

利用病毒的特有行为特征性来监测病毒的方法，称为行吵局为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行拦碰裂时，监视其行为，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

A.占有INT 13H

所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT
13H功能，因为其他系统功能未设置好，简闭无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。

B.改DOS系统为数据区的内存总量

病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。

C.对COM、EXE文件做写入动作

病毒要感染，必须写COM、EXE文件。

D.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。

软件模拟法

多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。

最近的病毒,会发作一些时间之后..杀软公司就会收集到这病毒程序..然后更新特征库..就是所谓的更新.. 这句话正确

H. 杀毒软件怎么判断某个文件是病毒文件呀

分类: 电脑/网络 >> 反病毒
解析:

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分链嫌禅的杀毒软件还具有防火墙功能。

杀毒软件的实时监控方式因软件而异。有的杀毒者茄软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内棚尘存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。

而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。

另外，杀毒软件的设计还涉及很多其他方面的技术。

脱壳技术，即是对压缩文件和封装好的文件作分析检查的技术。

自身保护技术，避免病毒程序杀死自身进程。

修复技术，对被病毒损坏的文件进行修复的技术。