巧用数字签名揪出“马脚”.docVIP

巧用数字签名揪出“马脚” 　　现在网络上各种木马病毒异常的疯狂，有时系统中了病毒和流氓软件，查了个把小时的病毒，杀毒软件却报无毒，让人倍感无助。怎么呢?还是靠自己!手工检测清除病毒的方法是最可靠的，今天就看我们为大家带来最简便的方法吧! 　　 　　数字签名与“马脚” 　　 　　今天要介绍的检测分辨木马病毒流氓程序的是数字签名法，伪装的木马病毒流氓文件，在数字签名前面一下子就露出了“马脚”! 　　打开系统文件夹目录“C：\windows\system32”，在其中随便找一个系统文件，这里以“shell32.dll”为例：右键点击此文件，在弹出菜单中选择“属性”命令，打开属性对话框。可看见有一个“版本”选项页，在其中选择“项目名称”中的“公司”，可看到文件出品公司为“Microsoft Corporation”。其实“版本”中的信息，就是某个文件的数字签名。 　　假设某个文件的“版本”信息中显示出品公司为第三方，那么说明此文件不是微软的系统文件；如果某个文件，没有“版本”选项页信息，也就是没有数字签名信息，那么此文件就很可能是木马病毒或流氓软件文件。再结合此文件的调用进程，我们就可以很清楚的确定此文件是否为有害文件了。 　　 　　快速数字签名扫描 　　 　　检测文件数字签名的工具很多，我们先介绍一个易用的工具“数字签名检测工具V1.0正式版”。使用数字签名检测工具。可实现对微软数字签名的检查和系统文件的可信性验证，我们可以通过此程序扫描系统相关目录。迅速的定位和检测出来所有未经过微软签名的不可信文件。检测出被黑客和木马病毒破坏的系统文件。定位可疑程序文件，及时分析和处理。 　　 　　扫描所有未签名文件 　　运行“数字签名检测工具V1.0正式版”后。点击“扫描目录”旁的浏览按钮，浏览指定Windows系统目录文件夹路径“C：\WINDOWS\system32”，一般的木马病毒都是将自身隐藏在这个目录中的。勾选“包括子文件夹”项，点击“开始检测”按钮，即可开始自动扫描检测文件夹中的所有文件数字签名信息了。扫描检测完成后。勾选“仅显示没有数字签名的文件”项，即可查看到所有不存在数字签名的文件列表。从中就可检测分辨是否为木马病毒有害程序文件了。 　　 　　文件时间与数字签名结合 　　但是通常检测出来没有数字签名的文件会很多，因为有一些正常的程序文件也可能没有数字签名，怎么从中快速分辨出木马病毒程序来呢?只需结合系统时间功能，就可以快速找出有问题的文件了。 　　首先，我们要确定自己的电脑出现不正常状态的时间，比如频繁弹出广告网页、运行缓慢等。然后打开系统“搜索”工具，在“要搜索的文件或文件夹名”中输入“*.exe；*.dll”。这是用于确定搜索文件类型的，一般的木马病毒文件往往是EXE或DLL类型。“搜索范围”中指定系统文件夹目录；在“搜索选项”中勾选“日期”，指定系统出现不正常状态的时间段；在“高级选项”中指定搜索包括系统文件和隐藏文件。点击“立即搜索”，即可查找出所有符合时间段的文件了。 　　这些文件都是可疑的，如何确定呢?在搜索结果列表中。选择所有文件。复制到某个新文件夹中，然后在数字签名检测工具中扫描此文件夹。如果发现没有数字签名的文件，那么基本上就可确定这是木马病毒了，某个文件，没有任何身份标识。而且它一出现后。系统就开始有中毒症状，它不是病毒。谁还是病毒呢? 　　 　　小提示 　　数字签名辨木马的原则 　　1、所有拥有合法数字签名的文件都是不会对系统产生危害的； 　　2、所有的病毒木马流氓软件都没有合法的数字签名； 　　3、并不是所有没有数字签名的文件都是有害的； 　　4、如果一个文件以前拥有合法数字签名，但是现在签名失效了，要当心这个文件很有可能感染了病毒。 　　 　　数字签名，揪出DLL木马 　　 　　大家都知道DLL木马是最难查杀的。不过现在好办了。正常的DLL文件都是有数字签名的，因此可通过检测进程中的DLL模块数字签名信息。来查找出DLL木马。要检测进程模块的数字签名。可使用“SystmeDetector v1.0”。 　　运行“SystmeDetector v1.0”程序，在左侧边栏中选择“工具箱”一“进程管理”项目，SystmeDetector将会自动检测当前系统中的活动进程，同时使用独有的数字签名检测功能，能够对找到的进程进行数字签名认证，以防木马改成与系统一样的名字蒙混过关。所有受信进程将会使用蓝色标识出来，不安全进程则用灰色标记。一般来说。我们可以将注意力集中在灰色显示的进程名上面。另外，“Explorer.exe”、“lexplore.exe”和“svchost.exe”是DLL木马病毒最喜欢藏身的地方，要重点检测一下；“crss.exe”、“w