利用文件日期 判断未知病毒

网络与通信

朱际高

众所周知，每个文件都具有两个日期：创建日期和修改日期。这似乎与病毒风马牛不相及，实际就不是这样，我们先分析一下病毒感染可执行文件的过程。
当软件制作完毕，就会生成一个EXE文件发布出来，这时EXE修改日期和创建日期相同，如果软件需要改进，不可能直接改EXE，而是修改源代码并重新生成EXE才发布出来，此时创建日期和修改日期依然相同。
当病毒运行(不是发作)后，将自动寻找EXE文件进行感染，并将病毒代码嵌入文件中，以便再次执行，文件的修改日期也就改变了。
我们可以利用对比文件日期的方法，防止邮件附件带毒：先保存附件，再查看修改、创建日期是否相同，如果不同，马上删除。