如何快速判断⼀个⽂件是否为病毒
如何快速判断⼀个⽂件是否为病毒
这篇⽂章主要是快速辨别正常⽂件与病毒,我⾃⼰也不是专业⼈员,⽅法是我⾃⼰总结出来的,很业余,不过我觉得还是有些⽤处的。如果你有更好的办法,欢迎跟帖提出。下⾯正⽂开始。
分析⼀个⽂件是否为病毒有多种⽅法,⽐如⽤OD这样的调试器,⽤HIPS都可以达到⽬的。在这⾥主要讨论⼀下快速判断的⽅法,⽤最短的时间,最少的知识,来判断⼀个⽂件是否安全。
先说⼀下必要的⼯具:Sandboxie、PEID、OD以及你的杀毒软件。
⽐如说,我从论坛上下载⼀个别⼈发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看⼀下报的病毒名。如果报的
是“Win32/Packed.VMProtect.AAA 特洛伊⽊马 的变种”这样的壳,那么可以稍稍放松下警惕。对于⼀些壳,杀软脱不了,为了⽅便,就把这种壳当作病毒来处理。另外,如果是“Win32/Hupigon.NUK 特洛伊⽊马”以及“Win32/Parite.B 病毒”这类的,就需要注意,这个⽂件可能被⼈恶意插⼊⽊马,或者被感染过。从杀软报的病毒名基本可以判断出这个⽂件是真的有问题,还是属于杀软的误报。然⽽,也有⼀些例外。⽐如“Trojan.Win32.Generic.122E105A”,这个⼀看就是云安全分析出来的病毒,没有什么有效的
信息,所以⽆法通过病毒名判断是否是误判。增长率怎么算
根据杀软的信息,可以对该⽂件的安全性有⼀个初步的了解。我想不会有⼈完全信任杀软的,更多的还是信任⾃⼰。⽤PEiD查⼀下壳,如果是⼀些简单的压缩壳,就在沙盘中运⾏OD,脱掉,分析。这时要做的不是⼀步步跟下去,⽽是⼀下这个⽂件调⽤的API。在反汇编窗⼝右击,查——当前模块中的名称(标签)。
观察⼀下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、⽂件函数则要多加留意。⽐如说,看到了CreateFile,就在这个函数上下断,注意看有没有对系统敏感位置写⼊⽂件。同样,查看字符串也是有效的⽅式。⼀般地,可以从字符串出⼀些病毒的特征。⽐如有的灰鸽⼦会有“客户端安装成功”之类的字样,发现⼀些邮件地址以及相应密码的。这些都是很可疑的。遇到⼀些猛壳,脱掉它是很困难的,这时可以借助下沙盘。
让程序在沙盘⾥完全运⾏,之后终⽌所有程序。
查看⼀下程序⽣成了什么。
kara组合图片
00103170616955.png)
从程序⽣成的⽂件基本可以判断是否是病毒了。当然,也不乏⼀些检测沙盘、虚拟机的⼩东西。在病毒样本区的页⾯上⽅有在线沙盘的链接。分析的结果⼗分具体,可以⽤来参考。如果你觉得⼿⼯检测太⿇烦,可以借助在线沙盘,既快⼜详细。
猫不会微笑
这样,举个例⼦吧.
这是⼩⽣对⼀个带毒外挂的分析,⼤家可以看看录像,很有学习意义.下⾯我按照上⾯说的⽅法做⼀下.
先查⼀下壳,应该是没壳的.
此时我⽐较喜欢⽤PEiD的反汇编⼯具看看字符串,这个功能很⽅便.
赵薇黄晓明注意选中的部分,很可疑.是⼀个URL,指向的还是个exe⽂件.这时应该怀疑这个外挂是个下载器.
下⾯将它⽤OD载⼊(在沙盘或虚拟机中进⾏),看⼀看当前模块中的名称(标签),有⼀个URLDownloadToFileA,这个函数可以实现将⼀个⽹络上的⽂件下载到本地的功能,⼀般的ShellCode常⽤到它.
在输⼊函数上切换断点,运⾏,可以看出具体的⾏为.
在此之后要做的就是对下载下来的这个⽂件进⾏分析(地址竟然还有效…).
小沈阳的老婆是⼀般来说微软的程序不会有这样的图标,⽽⼀个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了.
同理,如果⽤沙盘直接运⾏,最终会在沙盘⾥提取到这个⽂件,会发现在临时⽬录⾥.在外挂的⽬录下还会发现⼀个隐藏⽂件,应该就是⼲净的外挂.
挂的这个马应该变了,与⼩⽣附件中的程序已经不同了.
如果你认为很⿇烦,可以直接把它扔到在线沙盘⾥,让机器替你分析.
⽐如说我认为下载下来的这个⽂件nSPack壳⽐较难脱,或者说我根本不会脱壳,选择⽂件路径,然后Upload File,静候⼏分钟,就可以出结果,其它的在线沙盘也是⼤同⼩异.
这次例⼦的很⿇烦,我没有存样本的习惯,那些发⽊马的检测出来之后都被封掉了,他们的光辉附件也就不到了,没有合适的例⼦.况且拿货真价实的病毒来测也有点不⼤现实.在论坛了好久才到仅存的这个程序。
小产权房新政策
(本⽂选⾃5g云论坛,侵删)