• <div id="k8zm4"><ol id="k8zm4"><mark id="k8zm4"></mark></ol></div>

    <div id="k8zm4"><ol id="k8zm4"></ol></div>
        1. QQ新闻 QQ软件
          Q币Q钻 CF活动
          话费流量 LOL活动
          现金活动 DNF活动
          个性?#35797;?/a> 软件下载
          关键字为2个最准: 试下高级搜索

          病毒文件快速判断方法

           2017-08-18 发布者:PoPo  黑客大神

          小编从网上截来得稿子

                         分析一个文件是否为病毒有多种方法,比如用OD这样的调试器,用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法,用最短的时间,最少的知识,来判断一个文件是否安全。

          先说一下必要的工具:Sandboxie、PEID、OD以及你的杀毒软件。

          比如说,我从论坛上下载一个别人发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看一下报的病毒名。如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳,那么可以稍稍放?#19978;?#35686;惕。对于一些壳,?#27604;?#33073;不了,为了方便,就把这种壳当作病毒来处理。另外,如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的,就需要注意,这个文件可能被人恶意插入木马,或者被感染过。从?#27604;?#25253;的病毒名基本可以判断出这个文件是真的有问题,还是属于?#27604;?#30340;误报。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,这个一看就是云安全分析出来的病毒,没有什?#20174;?#25928;的信息,所以无法通过病毒名判断是否是误判。

          根据?#27604;?#30340;信息,可以对该文件的安全性有一个初步的了解。我想不会有人完全信任?#27604;?#30340;,更多的还是信任自己。用PEiD查一下壳,如果是一些简单的压缩壳,就在沙?#35752;性?#34892;OD,脱掉,分析。这时要做的不是一步步跟下去,而是找一下这个文件调用的API。在反汇编窗口?#19968;鰨?#26597;找——当前模块中的名称(标签)。

          观察一下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、文件函数则要多加留意。比如说,看到了CreateFile,就在这个函数上下断,注意?#20174;?#27809;有对系统敏感位置写入文件。同样,查看字符串也是有效的方式。一般地,可以从字符串?#39029;?#19968;些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样,发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳,脱掉它是很困难的,这时可以借助下沙盘。

          从程序生成的文件基本可以判断是否是病毒了。?#27604;唬?#20063;不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体,可以用来参考。如果你觉得手工检测太麻烦,可以借助在线沙盘,既快又详细。

          分享:

          相关文章

        2. 超强电脑病毒肆虐,伦敦Met警察局1.8万Windows XP成“潜在炸弹”超强电脑病毒肆虐,伦敦Met警察局1.8万Windows XP成“潜在炸弹”
        3. 黑客邮箱被封:勒索病毒Petya受害者支付赎金也拿不回文档黑客邮箱被封:勒索病毒Petya受害者支付赎金也拿不回文档
        4. 天津4所国办幼儿园报名系?#31243;被荊稍?#40657;客攻击天津4所国办幼儿园报名系?#31243;被荊稍?#40657;客攻击
        5. 英国黑客盗取美军数据,网上教人控制美国卫星英国黑客盗取美军数据,网上教人控制美国卫星
        6. 泡泡乐园 - 让我们的Q生活更加精彩!

          Copyright (C) QQPAOPAO.COM, All Rights Reserved.

          泡泡乐园 版权所有 皖ICP备14002127号-3

          天津快乐十分开奖走试图

        7. <div id="k8zm4"><ol id="k8zm4"><mark id="k8zm4"></mark></ol></div>

          <div id="k8zm4"><ol id="k8zm4"></ol></div>
              1. <div id="k8zm4"><ol id="k8zm4"><mark id="k8zm4"></mark></ol></div>

                <div id="k8zm4"><ol id="k8zm4"></ol></div>