頁面特效 UI組件庫 菜單導航 窗口特效 幻燈片滑動 圖像相冊 表單 選項卡 表格 評分星級 手風琴 文本鏈接 布局 日歷 顏色選擇器 按鈕 圖表 html5 提示 ExtJS 在線客服 其他特效 地圖 樹形控件 移動開發 BootStrap 滑動條 文件上傳 表單驗證 分頁 播放器 Angular VUE

如何快速判斷一個文件是否為病毒

文件上傳 7v 2月前  次瀏覽

分析一個文件是否為病毒有多種方法,比如用OD這樣的調試器,用HIPS都可以達到目的。在這里主要討論一下快速判斷的方法,用最短的時間,最少的知識,來判斷一個文件是否安全。

先說一下必要的工具:Sandboxie、PEID、OD以及你的殺毒軟件。

比如說,我從論壇上下載一個別人發布的軟件,這時候殺毒軟件也許會報毒。這種情況下,先看一下報的病毒名。如果報的是“Win32/Packed.VMProtect.AAA 特洛伊木馬 的變種”這樣的殼,那么可以稍稍放松下警惕。對于一些殼,殺軟脫不了,為了方便,就把這種殼當作病毒來處理。另外,如果是“Win32/Hupigon.NUK 特洛伊木馬”以及“Win32/Parite.B 病毒”這類的,就需要注意,這個文件可能被人惡意插入木馬,或者被感染過。從殺軟報的病毒名基本可以判斷出這個文件是真的有問題,還是屬于殺軟的誤報。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,這個一看就是云安全分析出來的病毒,沒有什么有效的信息,所以無法通過病毒名判斷是否是誤判。

根據殺軟的信息,可以對該文件的安全性有一個初步的了解。我想不會有人完全信任殺軟的,更多的還是信任自己。用PEiD查一下殼,如果是一些簡單的壓縮殼,就在沙盤中運行OD,脫掉,分析。這時要做的不是一步步跟下去,而是找一下這個文件調用的API。在反匯編窗口右擊,查找——當前模塊中的名稱(標簽)。

觀察一下API,這時也是有所取舍的。對于字符函數和字符串處理函數這類的,可以忽略過去;對于注冊表函數、文件函數則要多加留意。比如說,看到了CreateFile,就在這個函數上下斷,注意看有沒有對系統敏感位置寫入文件。同樣,查看字符串也是有效的方式。

一般地,可以從字符串找出一些病毒的特征。比如有的灰鴿子會有“客戶端安裝成功”之類的字樣,發現一些郵件地址以及相應密碼的。這些都是很可疑的。遇到一些猛殼,脫掉它是很困難的,這時可以借助下沙盤。

讓程序在沙盤里完全運行,之后終止所有程序。

讓程序在沙盤里完全運行,之后終止所有程序。


查看一下程序生成了什么。


從程序生成的文件基本可以判斷是否是病毒了。當然,也不乏一些檢測沙盤、虛擬機的小東西。在病毒樣本區的頁面上方有在線沙盤的鏈接。分析的結果十分具體,可以用來參考。如果你覺得手工檢測太麻煩,可以借助在線沙盤,既快又詳細。

比如

先查一下殼,應該是沒殼的.

此時我比較喜歡用PEiD的反匯編工具看看字符串,這個功能很方便.

注意選中的部分,很可疑.是一個URL,指向的還是個exe文件.這時應該懷疑這個外掛是個下載器.

下面將它用OD載入(在沙盤或虛擬機中進行),看一看當前模塊中的名稱(標簽),有一個URLDownloadToFileA,這個函數可以實現將一個網絡上的文件下載到本地的功能,一般的ShellCode常用到它.


在輸入函數上切換斷點,運行,可以看出具體的行為.

在此之后要做的就是對下載下來的這個文件進行分析(地址竟然還有效..).


一般來說微軟的程序不會有這樣的圖標,而一個外掛莫名其妙地下載微軟的東西,很奇怪,只能說是欲蓋彌彰,所以可以直接斃掉了.

同理,如果用沙盤直接運行,最終會在沙盤里提取到這個文件,會發現在臨時目錄里.在外掛的目錄下還會發現一個隱藏文件,應該就是干凈的外掛.

掛的這個馬應該變了,與小生附件中的程序已經不同了.

如果你認為很麻煩,可以直接把它扔到在線沙盤里,讓機器替你分析.

比如說我認為下載下來的這個文件nSPack殼比較難脫,或者說我根本不會脫殼,那么就打開http://camas.comodo.com/cgi-bin/submit ,選擇文件路徑,然后Upload File,靜候幾分鐘,就可以出結果,其它的在線沙盤也是大同小異.




相關鏈接

發表評論

2017怎样手机上赚钱