攻防：识别TXT文件陷阱

2022-11-17 08:43:54| 收藏本文下载本文作者：山姆超市小麻薯

以下是小编帮大家整理的攻防：识别TXT文件陷阱（共含10篇），欢迎大家分享。同时，但愿您也能像本文投稿人“山姆超市小麻薯”一样，积极向本站投稿分享好文章。

攻防：识别TXT文件陷阱

篇1：攻防：识别TXT文件陷阱

说起病毒、木马，那可真是老鼠过街人人喊打，

攻防：识别TXT文件陷阱

。饱受折磨的用户早知知道，对于来历不明的文件需持怀疑态度，尤其是EXE之类的文件更不会随意去运行。但是对于TXT这样的纯文本文件来说，大家还是比较放心的，一般对于此类文件都会不假思索的直接打开。殊不知，有很多病毒、木马正是披着善良的羊皮，巧妙布设陷阱，来引诱人们。这样说或许有很多人不相信，TXT文件不是一直都很安全的吗！怎么可能暗藏陷阱呢？今天我们就来和大家一起看看它们所采用的欺骗手段吧。

一、修改图标伪装

由于用户对TXT格式文件的图标非常熟悉，这样就放松了警惕。一些病毒、木马就利用这样的道理，将其图标伪装成记事本文件图标，类似的手段经常被采用。不过它们一般会伪装成一些游戏、动画来引诱用户运行，但是伪装成记事本文件更容易让用户上当。

对于来历不明的这一类文件，例如邮箱中附件，在查看之前不要先直接双击打开。你可以右击打开其属性窗口，然后在“常规”标签中，查看其文件类型，如果文件类型为“应用程序”，那么就证明这是不安全的；如果类型为“文本文件”，那么则可以放心打开。对于这一类文件，也可以直接采取在“记事本”工具中通过“文件”菜单下的“打开”命令来打开查看，这也不会被感染。

二、修改扩展名伪装

这一类伪装只是在修改图标的方式上稍加改动，除将文件图标改成记事本图标以外，还修改了文件的扩展名。它的通常做法是将文件命名为1.txt.exe，这样用户在一般情况下看到的就是1.txt名称，因为最后的exe扩展名被自动隐藏了，一看到是txt文件，毫不犹豫的就打开了，这样自然就掉入陷阱了。

因此，建议用户在“我的电脑”中打开“工具”菜单下的“文件夹选项”命令，将打开文件夹选项窗口切换到“查看”标签，然后把“隐藏已知文件类型的扩展名”项取消，这样我们就能够看到完整的文件名了。

三、邮件附件伪装

我们知道，很多病毒都是通过邮件来传播的。而我们前面介绍的两种伪装方法一般都需要借助第三方工具的帮助，才能达到伪装的效果。事实上，还有一种比较普遍的伪装方法，那么就是借助Outlook来完成。

那么它到底是怎样伪装的呢？其实方法很简单，启动Outlook后新建一个邮件，然后打开“格式”菜单下的“带格式文本”命令，接下来再通过“插入”菜单下的“对象”命令，将要插入的病毒文件、木马文件等程序添加进来。

添加成功后会在邮件中看到其文件名和程序的图标，这时我们只需要右击该图标，并选择“编辑对象包”命令，在打开的窗口中单击“插入图标”按钮，然后选择系统目录下的\System32\Shell32.dll，再通过“编辑”菜单下的“标签”命令，起一个名字，例如“公告.txt”，这样保存设置后邮件中看到的文件就变成了记事本图标，文件名也变成了公告.txt，

对于这种伪装方式，由于它并不是以附件的形式存在的，而是嵌入其中的OLE对象，因此一般用户并不会防范它。根据其制作方法，我们在碰到这一类嵌入在邮件中的文件时，可以直接通过右击，选择“编辑包”命令，这样在打开的窗口中就可以看到其伪装的真实内容了。

四、恶意碎片伪装

这一类伪装方式危险最大，也不容易被发现，因为碎片文件在Windows中是是合法的文件，而且对于杀毒软件也查不出来。

当然，系统自动生成的碎片文件是没有什么危害的，但是经过人工编辑修改的碎片文件就另当别论。它的伪装方式与是第二、三种方式的结合体。为了让读者认识到其危害，我们简单介绍其操作方法。首先新建一个记事本文件，可以在里面随便添加一个一些内容；然后再打开附件中的写字板工具，再通过“插入”菜单下的“对象”命令，将新建的记事本加入其中；再单击选中加入的记事本图标，打开“编辑”菜单中“包对象”下的“编辑包”命令，在打开的对象包装程序中，用户则可以通过“编辑”菜单下的“命令行”命令来添加要运行的程序，例如“cmd cmd /c “del d:\*.*”，这个语句的作用就是删除D盘所有内容；再后再通过前面的方法修改其图标和标签名称。最后只需要在写字板中打开“文件”菜单下的“更新”命令，再把修改后的嵌入对象拖到桌面上，这样一个碎片文件就制作好了，但是用户看到的却是普通的记事本图标和文件名，而碎片文件的扩展名SHS却被自动隐藏了。

对于这一类伪装方式，其识别方法和前面是一样的，可以取消隐藏扩展名的方式来避免。除此之外，我们也可以运行regedit打开注册，然后展开HKEY_CLASSES_ROOT\ShellScrap，将右侧的“NeverShowExt”键删除，这样即使隐藏扩展名，但是碎片文件的SHS扩展名对不被隐藏；同样的道理，也可以在HKEY_CLASSES_ROOT\exefile下新建AlwaysShowExt字符串值，这样就可以让EXE扩展名一直显示。

另外用户还可以打开文件夹选项窗口，在“文件类型”标签中已注册的对文件类型中找到碎片对象，然后单击“高级”按钮，在打开的窗口中再单击“更改图标”按钮，将碎片文件的默认的记事本图标改成其它样式的新图标，这样也能够增加用户的警惕性。

通过上面知识的学习，再次验证了没有绝对的安全这一道理。连最普通不过的记事本里竟然能够藏如此多的猫腻，是不是很令人担心呢！其实，只要你按照我们所介绍的方法对其加以防范，识破羊皮背后的狼，那么就不会掉入“TXT”陷阱的。

篇2：如何识别合同陷阱

，

必须签书面合同，试用期内也要签合同，不然试用期间很容易走进陷阱，一些基本的利益也得不到保障。

篇3：如何识别.txt文件欺骗

在众多媒体的宣传报道下，今天的我们都知道了不能轻易打开电子邮件里的可执行文件类的附件，但是显然那些破坏活动的制造者们也看了那些警告防范的文章，他们开始玩一些新的把戏，让您以为那些附件只不过是没有危险的文本文件或是图像文件等就是其手段之一，

如何识别.txt文件欺骗

，

篇4：如何识别并防范求职陷阱

如何识别并防范求职陷阱

1、拒交各种名义的费用!任何招聘单位，以任何名义要求求职者收取抵押金，服装费，产品押金，风险金，报名费，培训费等收费行为，都属于违法行为，

2、不要轻信许诺到外地上岗、到外地企业、到国外打工或某某外地分公司、分厂、办事处的高薪招聘!无论其待遇多好，求职者千万要保持清醒的头脑和高度的警惕，不要轻信他们的口头许诺，一是不去，二是到劳动保障部咨询，否则会吃大亏，被骗工、骗钱，甚至被人贩子骗卖，悔之晚矣。

3、不要将重要的证件作抵押。不要将自己的身份证，学生证，毕业证等相关重要证件作抵押。有的用人单位以保证学生实习时间等为由扣住学生的证件，根据相关的规定，任何单位都不能扣押证件。

4、掌握劳动法规和相关政策。主动学习一些劳动法规和相关政策，提高自己的求职素质和独立思考的能力。

5、多种途径了解公司的背景。在求职者正式进入公司之前，想法设法加强对企业的了解以免误入骗子设下的陷阱。

比如：上网查找该招聘单位的相关资料，注意招聘单位的.营业执照等相关证件;正规单位的招聘单位一般会将设在单位的办公室，会议室，一些以租用房间作为应聘地点的单位，要警惕。工商部门咨询电话：123156、谨慎签订劳动合同。与用人企业签订合同是要注意“三看”：

一看企业是否经过工商部门的登记以及企业注册的有效期限，否则所签的合同无效;

二看合同字句是否准确，清楚，完整，不能使用缩写，替代或含糊的文字表达;

三看劳动合同是否有一些必备的内容。劳动合同的一般内容包括：合同期限;工作内容;劳动条件和劳动保护;劳动报酬;劳动纪律;劳动合同终止的条件;社会保险和福利待遇;违反劳动合同者应承担的责任;双方认为需要规定的其他事项。其中前8项为法定条款，必须具备;第9项为协商条款。

6、发觉被骗应及时报案，通知辅导员，应拨打110与公安局取得联系，以保护自己的人身和财产安全。

求职过程中的常见陷阱

陷阱1、不通过正规的渠道招聘人员招聘是单位的一项重要工作，是企业形象的重要组成部分，一般单位对该项工作是非常重视的，会派专人通过正规的局道招聘。不要毫不防备的就把自己的简历等材料交给单位。

陷阱2、要求应聘者交纳“保证金”等费用刚参加工作，薪酬不高是正常的，

相反，如果出现一个不熟悉的单位提供高薪酬时，毕业生就应该引起注意，因为不少不法人员企图利用高新待遇的幌子，骗取毕业生所谓的押金，培训费，服装费等。在当前的就业形势下，毕业生千万不要相信在工作的初期就很容易的获得高收入，对有些单位提出的所谓押金，培训费，服装费要敢于说不。

陷阱3、要求应聘者介绍他人加盟有些大学生因被骗而涉足，到头来后悔不已。因此，毕业生在求职的过程中如遇到类似单位对你非常主动，把加盟后的前景说的异常振奋人心，并要你介绍朋友和同学一起加入时，就要想想这句老话：天上是不会掉馅饼的。

陷阱4、不签订就业协议书就业协议书是传递毕业生人事关系的依据，如不签订就业协议，毕业生的人事档案，户籍等人事关系就无法转入工作单位及所在的城市。而这些关系的办理涉及毕业生的切身利益，如办理社会保险，购买经济使用房，评审职称等。因此，单位不予毕业生签订就业协议书，对毕业生的工作，生活，职业发展是不利的。毕业生应主动要求用人单位解决这些问题，并通过当地的人才交流中心协助办理人事档案，户口等关系的接收。

陷阱5、不将承诺写入合同用人单位对招聘中的内容并非必须承担履行义务。作为毕业生，如想要招聘的那位兑现招聘广告中的承诺，最好将这些承诺写入双方的劳动合同条款中，由劳动法的约束力来督促用人单位向毕业生履行承诺。

陷阱6、窃取应聘者的私人资料或作品企业以选人为名，在笔试、业务考察等环节中让求职者撰写策划案、翻译文章，而这些都应是公司员工的本职工作。除了把求职学生当免费劳力外，学生在简历中把自己的毕业设计和研究理念写得一清二楚，也让不少企业坐享其成。

陷阱7、招聘单位“无限期试用”依据有关规定，试用期人员底薪通常是正式员工的1/4，劳保用品、物质奖励、各种保险和其他福利等又不与正式职工享受同等待遇。因此一些用人单位为降低人力资本，大量招募短期员工，且不签订劳动合同，待三个月试用期满，就以各种各样的借口予以解雇。这样一来，求职者总是辛辛苦苦给单位低薪干了几个月，然后被扫地出门。就这样，一群又一群学生被单位榨取劳动果实。实习期过长，以有问题为名予以辞退，这是大学生以往找工作的普遍遭遇。

篇5：网上招工陷阱应细心识别

先在网上发布“百乐门夜总会招聘男女公关、服务员、保安员……”的招工信息，吸引那些梦想挣大钱、或是急于找工作的人，再用QQ和应聘者联系，进一步迷惑对方，随后约定在百乐门夜总会或是附近的餐厅面试，以“百乐门夜总会经理”的名义收取数百、上千元所谓的进场费、管理费，

网上招工陷阱应细心识别

。日前，上海市静安区检察院受理了一起招工诈骗案件。

记者在看守所内见到了进行招工诈骗的鲍某。鲍某曾经也是一个受害者。，鲍某开始在网上找工作。无意中，他看到招聘百乐门夜总会经理助理的消息，随即应聘。一位自称“张经理”的男子在一幢住宅楼内对其进行了面试，并收取了600元的报名费。两天后，当鲍某去百乐门准备上班时，“张经理”又收取了500元的进场费，但把他领进夜总会后，就一走了事。

得知受骗后，鲍某十分气愤，转而想，既然别人能骗他，自己也可以去骗其他人。随后，鲍某和在百乐门附近搭识的几个“朋友”，一起干起了招工诈骗的勾当。

他们先在网站发布百乐门夜总会招聘服务员、男女公关、保安员的就业信息，并留下手机号、QQ号等联系方式。有人联系后，就让其到百乐门附近的餐厅等处应聘，

鲍某化名“张东”，变身为百乐门的经理，在向应聘者介绍了所谓的工作情况后，就收取数百至上千元的管理费，随后找个借口一走了之。两个多月时间，鲍某等人先后骗取了五名被害人4000余元。

记者了解到，近日，上海市静安区检察院共受理了三起类似招工诈骗案件，检察官通过审查案件发现，此类案件犯罪分子的作案手法通常为：网上发布虚假的招聘信息，犯罪嫌疑人通常发布的是酒吧、夜总会等娱乐场所招聘公关、服务员、保安的信息；在娱乐场所附近进行面试，犯罪嫌疑人通常选择档次高、环境好的娱乐场所进行面试，以优厚的待遇为诱饵，使应聘者放松警惕；以各种名义收取费用，犯罪嫌疑人通常以收取招工费、进场费、管理费、办卡费、酒水费等名义向应聘者收取钱财。

采访中，检察官认为，网上招聘有风险，应聘者要多留心眼。在这些案件中，虽然犯罪嫌疑人精心准备骗局，但也存在很多漏洞，只要细心发现，应当能够避免。

一是对网上招聘信息的辨别。由于娱乐场所的工作具有特殊性，人员招聘不甚规范，犯罪分子通常利用应聘者的心理，发布虚假信息。可以通过娱乐场所的正规对外电话，而非犯罪分子留下的联系方式进行咨询，以辨明真伪。

二是对行骗者自报身份的辨别。犯罪分子通常分工负责，有的自称娱乐场所负责人，有的自称招聘人员，有的自称应聘人员。可以要求其出示身份证明，或者通过与其细致交谈，从细节处辨明真伪。

三是对面试地点的筛选。犯罪分子一般会在娱乐场所门口或附近进行简单面试。应聘者可以要求其在正规办公地点面试。

四是对收缴费用行为的应对。正常招聘不应收取各种名目的费用，如果在招聘过程中出现此种情况，可以要求其出具收据或发票。

篇6：如何学会识别并防范求职陷阱

如何学会识别并防范求职陷阱

因招聘而被骗的常常都是大学生，这是为何?因为大学生的社会经验短浅，所以大学生要学会识别并防范求职陷阱：

1拒交各种名义的费用!任何招聘单位，以任何名义要求求职者收取抵押金，服装费，产品押金，风险金，报名费，培训费等收费行为，都属于违法行为， 2、不要轻信许诺到外地上岗、到外地企业、到国外打工或某某外地分公司、分厂、办事处的高薪招聘!无论其待遇多好，求职者千万要保持清醒的头脑和高度的警惕，不要轻信他们的口头许诺，一是不去，二是到劳动保障部咨询，否则会吃大亏，被骗工、骗钱，甚至被人贩子骗卖，悔之晚矣。 3、不要将重要的证件作抵押。不要将自己的身份证，学生证，毕业证等相关重要证件作抵押。有的用人单位以保证学生实习时间等为由扣住学生的证件，根据相关的规定，任何单位都不能扣押证件。

4、掌握劳动法规和相关政策。主动学习一些劳动法规和相关政策，提高自己的求职素质和独立思考的能力。

5、多种途径了解公司的背景。在求职者正式进入公司之前，想法设法加强对企业的了解以免误入骗子设下的陷阱。比如：上网查找该招聘单位的相关资料，注意招聘单位的营业执照等相关证件;正规单位的招聘单位一般会将设在单位的办公室，会议室，一些以租用房间作为应聘地点的单位，要警惕。工商部门咨询电话：123156、谨慎签订劳动合同。与用人企业签订合同是要注意“三看”：一经工商部门的登记以及企业注册的有效期限，否则所签的合同无效;二同字句是否准确，清楚，完整，不能使用缩写，替代或含糊的文字表达;三看劳动合同是否有一些必备的内容。劳动合同的一般内容包括：合同期限;工作内容;劳动条件和劳动保护;劳动报酬;劳动纪律;劳动合同终止的条件;社会保险和福利待遇;违反劳动合同者应承担的责任;双方认为需要规定的其他事项。其中前8项为法定条款，必须具备;第9项为协商条款。

6、知辅导员，应拨打110与公安局取得联系，以保护自己的人身和财产安全。

求职过程中的常见陷阱

陷阱1、不通过正规的渠道招聘人员招聘是单位的一项重要工作，是企业形象的重要组成部分，一般单位对该项工作是非常重视的，会派专人通过正规的局道招聘。不要毫不防备的就把自己的简历等材料交给单位，

陷阱2、要求应聘者交纳“保证金”等费用刚参加工作，薪酬不高是正常的。相反，如果出现一个不熟悉的'单位提供高薪酬时，毕业生就应该引起注意，因为不少不法人员企图利用高新待遇的幌子，骗取毕业生所谓的押金，培训费，服装费等。在当前的就业形势下，毕业生千万不要相信在工作的初期就很容易的获得高收入，对有些单位提出的所谓押金，培训费，服装费要敢于说不。

篇7：准确识别QQ 陷阱的方法

QQ被盗当然郁闷了！QQ里有那么多朋友的联系方式，还有那么多重要的个人和客户资料！所以不要等到QQ号被盗，再去想为什么丢了号码了，

毫不夸张地说，几乎100%的丢号都是用户自己不小心把号码透露给了所谓的“QQ ”。为什么这么说呢？事实上，尽管“ ”们盗窃QQ号的花样每隔一段时间就有翻新，但万变不离其宗，所有的手段综合起来也不过“偷看”、“木马”、“记录键盘”和“欺诈信息”四种而已。只要我们认清这些陷阱，养成良好的上网习惯，就可以从根本上避免QQ号码被盗。

陷阱之一：偷看

这是最原始而又最容易被忽视的密码盗窃方式，多见于网吧等公共场所。QQ用户在输入用户名和密码时，站在旁边的别有用心的人就有可能把你按过的键尽数记录下来。

对付这种的方法很简单，也算是给广大QQ用户提个醒：在公共场合登录QQ时，千万要注意周围有没有人注视自己。另外，给自己设置一个超长的QQ密码也是个防偷窥的办法――像“1212”这种密码很容易被人记住，但如果是一个由字母和数字甚至其他符号组成的15位密码，能过目不忘的人恐怕也不多吧，

陷阱之二：木马

倘若有人通过邮件或QQ发给你诸如“我的照片.exe”这样的文件，那你可千万要小心了，这很可能就是传说中窃取QQ密码的“特洛伊木马”。这种程序在运行后，就会把你的QQ号码和密码自动发送到木马程序指定的邮箱中，不仅如此，你的QQ还会自动将类似的木马程序发送给其他好友，让你的电脑也成为真正的“害群之马”。

所以，不管是和你多熟的QQ好友，如果对方没有任何交待或者很突然地发了一个文件或提供一个链接，一定要多嘴问几句哦，最好确认是不是你的好友，这样才能放心接收或者点开链接。

要防止这种行为，安装杀毒软件并定期更新病毒库是基础中的基础。此外，坚决不运行来历不明的可执行文件，不打开任何奇怪的页面也是必要的。QQ从 Beta3版本开始，已经增加了“安全中心”功能，会自动过滤任何可疑的文件或页面，不过它并不过滤压缩文件，因此如果有人发送ZIP或RAR等格式的压缩文件给你，并要求你解压缩后运行，你也一定要三思而行。

篇8：大学生要学会识别求职陷阱

大学生要学会识别求职陷阱

因招聘而被骗的常常都是大学生，这是为何?因为大学生的社会经验短浅，所以大学生要学会识别并防范求职陷阱

4、掌握劳动法规和相关政策。主动学习一些劳动法规和相关政策，提高自己的求职素质和独立思考的能力。

5、多种途径了解公司的背景。在求职者正式进入公司之前，想法设法加强对企业的了解以免误入骗子设下的陷阱。

比如：上网查找该招聘单位的相关资料，注意招聘单位的营业执照等相关证件;正规单位的招聘单位一般会将设在单位的办公室，会议室，一些以租用房间作为应聘地点的单位，要警惕。工商部门咨询电话：123156、谨慎签订劳动合同。与用人企业签订合同是要注意“三看”：

一看企业是否经过工商部门的登记以及企业注册的有效期限，否则所签的合同无效;

二看合同字句是否准确，清楚，完整，不能使用缩写，替代或含糊的文字表达;

6、发觉被骗应及时报案，通知辅导员，应拨打110与公安局取得联系，以保护自己的人身和财产安全。

求职过程中的常见陷阱

陷阱1、不通过正规的渠道招聘人员招聘是单位的一项重要工作，是企业形象的重要组成部分，一般单位对该项工作是非常重视的，会派专人通过正规的局道招聘，

不要毫不防备的就把自己的简历等材料交给单位。

陷阱2、要求应聘者交纳“保证金”等费用刚参加工作，薪酬不高是正常的。相反，如果出现一个不熟悉的单位提供高薪酬时，毕业生就应该引起注意，因为不少不法人员企图利用高新待遇的幌子，骗取毕业生所谓的押金，培训费，服装费等。在当前的就业形势下，毕业生千万不要相信在工作的初期就很容易的获得高收入，对有些单位提出的所谓押金，培训费，服装费要敢于说不。

陷阱4、不签订就业协议书就业协议书是传递毕业生人事关系的依据，如不签订就业协议，毕业生的.人事档案，户籍等人事关系就无法转入工作单位及所在的城市。而这些关系的办理涉及毕业生的切身利益，如办理社会保险，购买经济使用房，评审职称等。因此，单位不予毕业生签订就业协议书，对毕业生的工作，生活，职业发展是不利的。毕业生应主动要求用人单位解决这些问题，并通过当地的人才交流中心协助办理人事档案，户口等关系的接收。

篇9：火眼金睛识别病毒文件的方法

一、文件时间

如果你觉得电脑不对劲，用杀毒软件检查后，没什么反映或清除一部分病毒后还是觉得不对劲，可以根据文件时间检查可疑对象。

文件时间分为创建时间、修改时间(还有一个访问时间，不用管)，可以从文件的属性中看到，点选文件，右击，选择菜单中的属性就可以在“常规”那页看到这些时间了。

通常病毒、木马文件的创建时间和修改时间都比较新，如果你发现的早，基本就是近几日或当天。c:/windows和c:/windows/system32，有时还有c:/windows/system32/drivers，如果是系统，就把上面的windows改成winnt，这些地方都是病毒木马常呆的地方，按时间排下序(查看-详细资料，再点下标题栏上的“修改时间”)，查看下最新几日的文件，特别注意exe和dll文件，有时还有dat、ini、cfg文件，不过后面这些正常的文件也有比较新的修改时间，不能确认就先放一边，重点找exe和dll，反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。

当然更新或安装的其它应用软件可能会有新的修改时间，可以再对照下创建时间，另外自己什么时间有没装过什么软件应该知道，实在不知道用搜索功能，在全硬盘上找找相关时间有没建立什么文件夹，看看是不是安装的应用软件，只要时间对得上就是正常的。如果都不符合，就是病毒了，删除。

说明一点，正如不是所有最新的文件都是病毒一样，也不是说所有病毒的时间都是最新的，有的病毒文件的日期时间甚至会显示是几年前。

当然我们还有其他的分辨方法。

二、文件名

文件名是第一眼印象，通过文件名来初步判断是否可疑是最直接的方法，之所以放在时间判断后面，实在是从一大堆文件中分拣可疑分子太难了，还是用时间排下序方便些。

我们常说的随机字母(有时还有数字，较少)组合的文件名，病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯，每次文件名都不一样，动机可疑，还有某猫的驱动程序也看似随机组合，不过幸好有厂商信息可以协助分辨，这个下一点再说)。

还有文件名的长度，有的严重超出8位文件名的标准，有10几位之多，这都应列为可疑对象，尤其是IE插件中有这些的文件名出现。

当然光说文件名古怪、随机组合，似乎没有一个标准，不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合，所以真要依靠文件名判断，还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说，结合上面的时间还有其它手段共同判断，还是可以发现点东西的。

还有一种就是假冒正常文件、系统文件的文件名，这倒比较好识别，比如 svchost.exe和svch0st.exe，很明显后者在假冒前者，这种欲盖弥彰倒更容易暴露，前提是你对系统文件名比较熟悉，有事没事打开任务管理器学习一下吧。

对应于文件名，还有服务名、驱动名、注册表启动项名，相对而言，这些项目的名字如果没有表示出一定含义，倒真是病毒了，还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字，如果服务、驱动、启动项名是有问题的，那么下面使用的文件一定是有问题的。

实在没把握，把文件名(有时要包括完整文件路径，不同路径下的同名文件可不一样，这个以后说)、服务名、驱动名、启动项名放到网上搜索一下，看看别人怎么说的，特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应，或相反情况)，都可以列为可疑对象，

三、版本信息

检查文件时间有不确定性，再加一个检查项目文件版本，也是在文件的属性中查看，有文件版本、厂商信息等。首先明确一下，不是所有文件都有版本信息，也不是所有无版本信息的文件都是病毒文件，更不是所有显示微软信息的文件都真是微软的。

文件名、文件时间，再对上文件版本，基本可以得出一个结果，比如一个奇怪的文件名，显示微软的厂商信息，明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息，可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1，可以考虑删除了，应该不是声卡的程序了。

版本信息中除了厂商以外，还有原文件名，有时你会在这里发现一个与检查文件不同的名字，真是别有天地。

四、位置

病毒木马喜欢呆的地方是系统文件夹，windows、windows/system32、windows/system32/drivers，还有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared，还有就是临时文件夹、IE缓存

首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的，而且可以大胆地删除，不管好坏，删了没事，IE缓存也要清的，不是直接进文件夹删除，而从IE的菜单工具-internet选项进入，删除文件-删除所有脱机文件，最好在高级那设成关闭浏览器时自动清空临时文件，就省事了。

其它文件夹，主要看是否有不该存在的文件存在，比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件，绝对可疑，还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中，而不是在它们应该在的system32中，也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验，相对而言文件比较少的文件夹比较好判断，多出什么很容易发觉，比如windows、ie文件夹，多看看，就知道基本就是那些，多一两个exe或dll，马上可以发现(很多流氓软件是会在这里安身)。

还有就是结合注册表启动项，一般启动项引用到windws中的不多，基本是输入法、声卡管理，更多的就可疑了，指到system32下的了多看两眼，实在拿不准，老办法，到网上查文件名。如果发现启动项指向font字体文件夹的，那不用想了，一定有问题。

服务驱动也是如此，不是在system32或driver中的就要多检查下(自然在它们下面的也要检查，何况不在)。

除了文件夹位置，还有注册表位置，除了几个RUN的启动项，还有映像劫持(IFEO)要检查，值有debugger的都要注意一下，除了最后一个your image file name here without a path有个debugger=ntsd -d，其它的是都没有的，只要有发现就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能运行)，然后就找劫持文件，就是debugger后面的文件，找到后连同注册表项一起删除。但注意，现在的劫持有的用的不是病毒文件，是系统文件或命令，比如svchost.exe或ntsd -d，这就不要删除文件了，只要把注册表项删除。

还有要注意的注册表项有appinit_dlls，一般为空值(例外，卡卡的一个文件会放这)，如果多出值就是病毒，按名字找到删除。还有一个就是userinit，一般也是空的，多东西修改就要查查是否正常。

结语：

说真的，真要从一堆英文名中找出可疑的文件名挺难的，综合使用各个方法，配合工具软件分类显示，把服务驱动列出来，名字、文件、路径一摆，就很明显了，有的名字就是乱写的，对照后面的文件名就很清楚了，有的细心的会冒充系统服务名，不过与正常的一对比，连网也不用上，也可以找出问题(隐藏微软服务后非微软的服务就露出来了，如果还顶个系统服务名或接近系统服务的名字，就一定有问题，不是把正常服务改了，就是额外加进来的李鬼)。