如何快速判断个文件是否为病毒.docx

如何快速判断一个文件是否为病毒
2

———————————————————————————————— 作者：
———————————————————————————————— 日期：

by是昔流年
先说一下写这篇文章的背景和目的。现在吾爱的『原创发布区』和『精品软件区』人气很旺，发布的软件非常多。但也有一些小人，在发布的软件里插些小玩具，当灰客。论坛派专人检测也是很困难的，工作量太大，查不过来，因此很大程度上要靠用户自己识别，于是就有了这篇文章。需要说明一下的是，这篇文章主要是快速辨别正常文件与病毒，我自己也不是专业人员，方法是我自己总结出来的，很业余，不过我觉得还是有些用处的。如果你有更好的办法，欢迎跟帖提出。下面正文开始。
分析一个文件是否为病毒有多种方法，比如用OD这样的调试器，用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法，用最短的时间，最少的知识，来判断一个文件是否安全。
先说一下必要的工具：Sandboxie、PEiD、OD以及你的杀毒软件。
比如说，我从论坛上下载一个别人发布的软件，这时候杀毒软件也许会报毒。这种情况下，先看一下报的病毒名。如果报的是“Win32/ 特洛伊木马 的变种”这样的壳，那么可以稍稍放松下警惕。对于一些壳，杀软脱不了，为了方便，就把这种壳当作病毒来处理。另外，如果是“Win32/ 特洛伊木马”以及“Win32/ 病毒”这类的，就需要注意，这个文件可能被人恶意插入木马，或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题，还是属于杀软的误报。然而，也有一些例外。比如“”，这个一看就是云安全分析出来的病毒，没有什么有效的信息，所以无法通过病毒名判断是否是误判。
根据杀软的信息，可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的，更多的还是信任自己。用PEiD查一下壳，如果是一些简单的压缩壳，就在沙盘中运行OD，脱掉，分析。这时要做的不是一步步跟下去，而是找一下这个文件调用的API。在反汇编窗口右击，查找——当前模块中的名称(标签)。
3

by是昔流年
观察一下API，这时也是有所取舍的。对于字符函数和字符串处理函数这类的，可以忽略过去；对于注册表函数、文件函数则要多加留意。比如说，看到了CreateFile，就在这个函数上下断，注意看有没有对系统敏感位置写入文件。同样，查看字符串也是有效的方式。一般地，可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样，发现一些邮件地址以