怎么查文件是不是病毒，木马，或者异常的！

【转载自E城大叔】当遇到网吧出现盗号，或者封号什么的，可以先简单的查下客户机上的文件，用工具ProcessExplorer就可以看，客户机上C盘工具里一般都有的。

打开这个工具

  如果没有数字签名的，觉的怀疑的，就右键这个进程文件-属性-浏览，可以到目录里找到这个文件，然后右键属性-数字签名-详细信息，如果显示此数字签名正常，那就是没有问题的。

    如果是显示此数字签名无效的，就是有问题的了

      看进程下的DLL文件，也是需要去看数字签名是不是正常，一个道理的。

      熟悉的系统进程有签名的一般不用去看的，直接看可疑的，没有签名的，在按照上述方法查下。

去查可疑的文件，其实方法很简单，就是看文件的数字签名是不是合法的，数字签名就好像是我们每个人的身份证一样，简单就这样理解就可以了，具体想了解更加深入的话可以去网上查的。

      下面说具体怎么查看，要看哪些文件？

1：新开机器，打开客户机上的C盘，然后按照下图的操作，意思是把隐藏的文件显示出来，不然有的文件隐藏的就看不到了。

2：我们要查的文件都是看开机时间创建的，点修改日期，排列好后看刚刚开机时间创建的每个文件夹，然后在点开每个文件夹，在看里面刚刚开机创建的每个文件，里面有文件夹的话一个道理，继续点开文件夹，需要点耐心和细心点。

3：下面的图片是前几天查的，他是隐藏的没有签名的，所以是可疑的，在去排查是怎么来的就可以了，排除法，退还原点一个个看。

 另外这里说下，WIN10下看驱动的软件可以用下图的，一般镜像包里都有的。

下面说下盗号的一些事情，我只可以简单大概得说下，毕竟这方面的事情是需要非常非常专业的人去分析的，为什么会被盗号，那是因为有病毒，病毒是利用了软件的漏洞去获取密码，所以盗号是有2个方面组合起来的，1是有病毒+2是软件漏洞，另外是后门，后门可以理解为家里的钥匙被人复制了一把，这个人想什么时候到你家来都可以开门了，后门也就是说盗号的人可以自已控制病毒的下发时间，比如可以在晚上8-10点开启下发病毒的时间，或者是其他随便什么时间，当病毒拿到账号密码后，也不是马上会去改掉你的密码，可能会过几天或者1个礼拜左右。

案例1：

       上个礼拜五查到的一个案例，病毒文件我用IDA分析，发现里面有获取按键信息的代码

     微步沙箱执行确实有相关行为：

其次还会检测相关杀毒软件进程信息，检测到相关程序即退出执行

      然后里面可以看到后门服务器IP信息，然后通过易语言bbtcp函数去交互。所以这个文件应该就是后门，不是直接盗号的。

  然后查询里面的IP45.125.146.239，发现图片里的4个文件有连过这个IP的

相关文件有遍历查找某个进程的行为

这个病毒文件是某个营销软件带下来的，后来用户联系厂商，重新更新了服务端就没有了。

     案例2：

      还是2月份查的了，是某个去广告软件（第一次听说的）带来的病毒。

    这个后缀tmp的文件其实是rar的，需要解压出来再用IDA分析的，这段代码和病毒我给厂商分析确认了，是会盗号的，后期等他们更新解决。

   这里再分享一个小知识，怎么判断后缀是tmp或者dat文件是不是exe文件的，右键tmp或者dat文件-点击打开方式-尝试使用这台电脑上的应用↓-选记事本打开，如下图，里面有MZ的就是exe文件，那么遇到这样的文件就需要分析看看了。

  案例3：某个计费环境下盗号的，给了个升级文件替换后就没有那个随机名的隐藏文件了，应该是某个漏洞导致的。

     总结：盗号环境都不一样，也不是说每个盗号环境都可以查到病毒的，在查不到的环境里，可以取消不是一定要用的软件排除看看的，另外现在好多文件都是加壳的，主要是vmp的壳，这样的是分析不了的，upx壳还是遇到的不多的，如果遇到加vmp壳的可以去下面2个分析参考下的。

1、www.virustotal.com

2、s.threatbook.com