眼见不为实，杀毒技巧的一个误区

最近翻了翻以前的一些安全杀毒方面的技巧教程，觉得有不少至今仍然实用，不过在翻看的过程中个无意中发现了一个小小的误区，源于这篇文章：http://www.killdu.cn/zhishi/628.html

文中提到的观看程序的最后修改写入时间和创建时间对于分析一些文件是否被病毒木马篡改变动比较有用，这个方法虽然效率低些，但是不得不说在手工分析病毒时候确实是有帮助的。不过还是存在一定的漏洞和不足的

这个漏洞很简单，那就是没有考虑到病毒木马会重新改变文件的那些写入修改时间
具体怎么体现呢，我自己简单制作立刻一个小程序，在程序里一共有三行，第一行是试验的文件位置，第二行一句话是要写入文件的内容，第三行则是这个文件目前的修改时间，如下图，我们用桌面上的一个新建的文本所示范



然后右击文本选择属性，里面没有内容，所以大小是 0 字节，再看看它目前的创建和修改时间



然后再打开这个监视工具，它能监控系统里所有的行为和一举一动，需要详细了解这个工具的朋友可以下载电子书：http://www.killdu.cn/gongju/5491.html学习下
现在将该工具设置为只监视我的这个小程序



好了，现在我点击按钮，现实已经成功将那句话写入到了文本里，而我们的监视工具也检测到确实写入成功



双击打开文本，再打开属性，里面却是添加进了一句话，而且访问和修改时间自然也变成最新的了



继续吧，点击恢复时间的按钮，提示恢复时间成功


再回头看看文本吧，里面内容没变化，但是属性里面的时间已经被恢复成原样了



大家可以在到上面和第二张图做个比较，是不是文本的内容和大小发生了变化，但时间没变？因为我们很轻松地将修改时间给恢复了

通过上面的示范只是说明了一点：即使像我这样的新手都能很容易的编程实现文件时间的修改（代码不复杂），那么病毒木马作者也可以同样做到，当然现在很多病毒木马似乎没有这个功能，我想不是他们不会做或者不愿做，估计只是一时没想到或忘了而已吧！

所以希望可以以本文提醒一下和我一样正在学习安全和杀毒知识的入门新手们，安全技巧很重要，但是不要轻易迷信或完全放心，病毒很狡猾，学习无止境。在安全维护设置方面一定要尽可能考虑周全，方法多样化，以便弥补不足

这个技巧不是绝对的，只是个辅助技巧而已。它没问题不代表文件没问题，但它出了问题文件就一定可疑，仅此而已。

这个时间戳是任何人都可以修改的~~

了解了，这个根据时间来找的技巧的确不好使了