如何快速简单有效地判断一个文件是否为病毒
有一些小人,在发布的软件里插些小玩具,当灰客,这个时候就需要用户有一定的识别能力。
本篇文章主要分为两个部分,第一部分是介绍通过一些工具进行手动解析,第二部分是通过一些第三方线上工具自动解析
如果您觉得手动解析不够简单,可以直接跳到第二部分,通过介绍的第三方平台傻瓜式执行
第一部分
先说一下必要的工具:Sandboxie、PEID、OD以及你的杀毒软件
比如说,我从论坛上下载一个别人发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看一下报的病毒名。如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳,那么可以稍稍放松下警惕。对于一些壳,杀软脱不了,为了方便,就把这种壳当作病毒来处理。另外,如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的,就需要注意,这个文件可能被人恶意插入木马,或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题,还是属于杀软的误报。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,这个一看就是云安全分析出来的病毒,没有什么有效的信息,所以无法通过病毒名判断是否是误判。
根据杀软的信息,可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的,更多的还是信任自己。用PEiD查一下壳,如果是一些简单的压缩壳,就在沙盘中运行OD,脱掉,分析。这时要做的不是一步步跟下去,而是找一下这个文件调用的API。在反汇编窗口右击,查找——当前模块中的名称(标签)。
观察一下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、文件函数则要多加留意。比如说,看到了CreateFile,就在这个函数上下断,注意看有没有对系统敏感位置写入文件。同样,查看字符串也是有效的方式。一般地,可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样,发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳,脱掉它是很困难的,这时可以借助下沙盘。
让程序在沙盘里完全运行,之后终止所有程序。
查看一下程序生成了什么。
从程序生成的文件基本可以判断是否是病毒了。当然,也不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体,可以用来参考。如果你觉得手工检测太麻烦,可以借助在线沙盘,既快又详细。
引用个例子
对一个带毒外挂的分析,大家可以看看录像,很有学习意义.下面我按照上面说的方法做一下.
先查一下壳,应该是没壳的.
此时我比较喜欢用PEiD的反汇编工具看看字符串,这个功能很方便.
注意选中的部分,很可疑.是一个URL,指向的还是个exe文件.这时应该怀疑这个外挂是个下载器.
下面将它用OD载入(在沙盘或虚拟机中进行),看一看当前模块中的名称(标签),有一个URLDownloadToFileA,这个函数可以实现将一个网络上的文件下载到本地的功能,一般的ShellCode常用到它.
在输入函数上切换断点,运行,可以看出具体的行为.
在此之后要做的就是对下载下来的这个文件进行分析
一般来说微软的程序不会有这样的图标,而一个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了.
同理,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,会发现在临时目录里.在外挂的目录下还会发现一个隐藏文件,应该就是干净的外挂.
挂的这个马应该变了,与小生附件中的程序已经不同了.
如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析.
第二部分
几款在线软件行为分析沙盘
1.Anubis是一个提供可控环境来执行用户提交的二进制文件的动态恶意软件分析平台。该系统通过监视关键的Windows API和系统服务调用、跟踪网络数据流、记录网络通讯,实现对二进制文件的分析,并生成综合分析报告。由于它通过公开的网络接口和很多安全组织、反病毒公司获得恶意程序样本,用户群广泛,所以收集到的样品体现了互联网上广泛而多样的恶意程序。
相对于Norman的在线沙盒,来自奥地利的Anubis沙盒界面更加的友好,同时提供的分析资料更加详细。另外分析处理的速度也很快。基本上在2分钟之内就可以搞定。同时如果不方便在线看网页,Anubis也可以把分析报告发送到您的邮箱去,择日再看也是可以的。
服务地址: http://anubis.iseclab.org/index.php
2.Threat Expert是一套高级的自动在线分析系统,用于分析和报告有关电脑病毒,蠕虫,木马,广告软件,间谍软件和其它与电脑安全有关的风险程序,本系统是完全自动的,无需人工干预。
只要将可疑的档案上传到ThreatExpert网站中,它会透过内建的ATAS机制进行档案型为分析与病毒检测,完成后会再提供一个详尽的检测报告。报告内容会包含病毒名称与叙述、风险分类、档案变更细节、记忆体执行细节、登录档修改细节、对外网路连线状态、SMTP流量细节…与其他可疑的行为报告。报告可通过邮箱发送。
服务地址: http://www.threatexpert.com/submit.aspx
3.Comodo Instant Malware Analysis(CIMA)是Comodo推出的云端服务:在线沙盘。可以上传可疑文件(必须是可执行文件),CIMA会实时运行和分析,生成一份详尽的报告,这份报告会记录是否有可疑行为。
CIMA的好处是分析结果马上就可以看到,不像某些在线沙盘,只能用email,需要等待。CIMA 不能处理交互式的程序,就是类似需要点“下一步” 这样的程序。CIMA除了是一个在线病毒分析系统外,同时也是一个病毒收集系统。任何上传的报可疑的文件,将会送到Comodo病毒研究实验室,进行人工分析。
服务地址: http://camas.comodo.com/
4.Norman Sandbox是Norman公司推出的免费在线病毒分析服务, 所谓Sandbox,顾名思义就是创建一个虚拟的环境,让文件在其中执行,通过分析文件的动作来判断该文件是否为恶意程序。 Norman Sandbox除了进行行为检测外,还会对文件进行特征码扫描,因此它是进行病毒(特别是未知)病毒分析、处理的有力工具。
其人工智能虚拟机分析结果包括:
(1)文件是否对硬盘读写,创建了什么文件。
(2)可疑文件是否进行网络连接,连接什么端口
(3)创建了那些系统进程。
(4)相关的可疑文件大小和md5
(5)文件是否加壳压缩
(6)是否是已知病毒
服务地址: http://www.norman.com/security_center/security_tools/
5.GFI Sandbox的前身是CWSandbox,是一个业界领先的动态恶意软件分析工具。其使用方便,只需要填写email后上传文件即可,文件限制在12288kb内。可分析几乎所有的Windows应用程序或文件,包括感染的Office文档,PDF文件,恶意网址,Flash广告和定制的应用程序。
服务地址: http://www.sunbeltsecurity.com/sandbox/
整理汇总前人成果
特别鸣谢原作者是昔流芳
原文地址 https://www.52pojie.cn/thread-69716-1-1.html
参考文章https://blog.csdn.net/super_mimi/article/details/41759087?utm_source=blogxgwz8,来源safecn
如何快速简单有效地判断一个文件是否为病毒相关推荐
- 如何快速判断一个文件是否为病毒
如何快速判断一个文件是否为病毒 这篇文章主要是快速辨别正常文件与病毒,我自己也不是专业人员,方法是我自己总结出来的,很业余,不过我觉得还是有些用处的.如果你有更好的办法,欢迎跟帖提出.下面正文开始. ...
- 如何快速判断一个文件是否为病毒,如何检测自己的电脑是不是中毒了或者存在病毒软件?
这篇文章主要是快速辨别正常文件与病毒,我自己也不是专业人员,方法是我自己总结出来的,很业余,不过我觉得还是有些用处的.如果你有更好的办法,欢迎跟帖提出.下面正文开始. 分析一个文件是否为病毒有多种方法 ...
- 如何快速判断一个文件是否为病毒 by 是昔流芳
先说一下写这篇文章的背景和目的. 现在吾爱的『原创发布区』和『精品软件区』人气很旺,发布的软件非常多. 但也有一些小人,在发布的软件里插些小玩具,当灰客. 论坛派专人检测也是很困难的,工作量太大,查不 ...
- linux shell 文件空,linux shell编程 如何判断一个文件是否为空
shell 判断文件/目录是否为空 jfkidear144932015-01-15 shell中如何判断一个变量是否为空 l_nan365492014-07-14 在shell中如何判断一个变量是否为 ...
- python怎样判断一个文件是否存在_python如何判断一个文件是否存在
python如何判断一个文件是否存在 发布时间:2020-09-23 11:38:42 来源:亿速云 阅读:82 作者:Leah python如何判断一个文件是否存在?针对这个问题,这篇文章详细介绍了 ...
- python怎么判断一个文件是否存在-利用Python如何判断一个文件是否存在
通常在读写文件之前,需要判断文件或目录是否存在,不然某些处理方法可能会使程序出错.所以最好在做任何操作之前,先判断文件是否存在. 这里将介绍三种判断文件或文件夹是否存在的方法,分别使用os模块.Try ...
- 如何用Python判断一个文件是否被占用?
今天有同学问,用os模块的access()能否判断一个文件是否被占用?直觉上,这是行不通的,因为access()返回的是文件的读写属性.为了确认这一点,我简单测试了一下. >>> i ...
- C++ 判断一个文件是否存在。存在则删除
判断一个文件是否存在 #include <sys/stat.h> #include <string> #include <fstream> #pragma warn ...
- Python判断两个文件夹中互相不同的文件有哪些、判断一个文件夹相对于另外一个文件夹缺少了哪些文件
Python判断两个文件夹中互相不同的文件有哪些.判断一个文件夹相对于另外一个文件夹缺少了哪些文件 目录 Python判断两个文件夹中互相不同的文件有哪些.判断一个文件夹相对于另外一个文件夹缺少了哪些 ...
最新文章
- 北京智源研究院招募社区编辑:我在国内AI研究者密度最大的办公室等你
- Loadrunner压测时,出现的问题汇总
- 科技感的动态设计方法-1
- 事务流程java怎么实现_使用队列和事务实现采集数据实例流程
- 外链式样式表_引入CSS样式表(书写位置)
- matlab global(全局变量)
- 分布式锁(基于redis和zookeeper)详解
- 在VUE项目中使用SCSS,从安装步骤到语法说明,带你快速入门!!
- XenServer 6.5实战:Creating a Storage Repository (CIFS)
- 15个国外最佳免费图片素材网站,快让小伙伴都知道
- 北京服务器托管的必要性浅析
- 电视与电脑连接html线,电视机与电脑连接的方法
- 新建一个html代码页面,三分钟教你创建一个简单的网页
- ISO七层模型与TCP/IP四层参考模型逐层解析
- 软件工程网络15个人作业3——案例分析(201521123107)
- L0 图片汇总(方便回顾)
- vue中的created方法
- 第 13 章 可扩展性设计之 MySQL Replication
- 这套动捕方案居然只用一个摄像头?
- html下拉框属性js,Html下拉框Js对象属性方法总结