如何快速判断一个文件是否为病毒 by 是昔流芳

[p=30, 2, left]分析一个文件是否为病毒有多种方法，比如用OD这样的调试器，用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法，用最短的时间，最少的知识，来判断一个文件是否安全。[/p][p=30, 2, left]先说一下必要的工具：Sandboxie、PEID、OD以及你的杀毒软件。[/p][p=30, 2, left]比如说，我从论坛上下载一个别人发布的软件，这时候杀毒软件也许会报毒。这种情况下，先看一下报的病毒名。如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳，那么可以稍稍放松下警惕。对于一些壳，杀软脱不了，为了方便，就把这种壳当作病毒来处理。另外，如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的，就需要注意，这个文件可能被人恶意插入木马，或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题，还是属于杀软的误报。然而，也有一些例外。比如“Trojan.Win32.Generic.122E105A”，这个一看就是云安全分析出来的病毒，没有什么有效的信息，所以无法通过病毒名判断是否是误判。[/p][p=30, 2, left]根据杀软的信息，可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的，更多的还是信任自己。用PEiD查一下壳，如果是一些简单的压缩壳，就在沙盘中运行OD，脱掉，分析。这时要做的不是一步步跟下去，而是找一下这个文件调用的API。在反汇编窗口右击，查找——当前模块中的名称(标签)。[/p][p=30, 2, left][img=471,449]https://attach.52pojie.cn/forum/month_1010/1010291824d7d6d05364d40e8f.png[/img][/p]

[p=30, 2, left]观察一下API，这时也是有所取舍的。对于字符函数和字符串处理函数这类的，可以忽略过去；对于注册表函数、文件函数则要多加留意。比如说，看到了CreateFile，就在这个函数上下断，注意看有没有对系统敏感位置写入文件。同样，查看字符串也是有效的方式。一般地，可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样，发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳，脱掉它是很困难的，这时可以借助下沙盘。 [img=214,0]https://attach.52pojie.cn/forum/month_1010/101029182364d1887e0dda4f30.png[/img][/p]
让程序在沙盘里完全运行，之后终止所有程序。
[p=30, 2, left][img=229,0]https://attach.52pojie.cn/forum/month_1010/10102918238c66bf6aed5bd4ab.png[/img][/p]
查看一下程序生成了什么。
[p=30, 2, left][img=202,0]https://attach.52pojie.cn/forum/month_1010/101029182356acba50cc21534c.png[/img][/p]
从程序生成的文件基本可以判断是否是病毒了。当然，也不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体，可以用来参考。如果你觉得手工检测太麻烦，可以借助在线沙盘，既快又详细。
[p=30, 2, left][img=714,0]https://attach.52pojie.cn/forum/month_1010/1010291826c5cdb222a8dc92fc.png[/img][/p]

[p=30, 2, left]这样,举个例子吧.[/p][p=30, 2, left]http://www.52pojie.cn/viewthread.php?tid=58683 这是小生对一个带毒外挂的分析,大家可以看看录像,很有学习意义.下面我按照上面说的方法做一下.[/p][p=30, 2, left]先查一下壳,应该是没壳的.[/p][p=30, 2, left][img=418,0]https://attach.52pojie.cn/forum/month_1010/1010292225502da8cb848d41fd.png[/img][/p]
[p=30, 2, left]此时我比较喜欢用PEiD的反汇编工具看看字符串,这个功能很方便.[/p][p=30, 2, left][img=523,0]https://attach.52pojie.cn/forum/month_1010/10102922268874f9440040f22f.png[/img][/p]
[p=30, 2, left]注意选中的部分,很可疑.是一个URL,指向的还是个exe文件.这时应该怀疑这个外挂是个下载器.[/p][p=30, 2, left]下面将它用OD载入(在沙盘或虚拟机中进行),看一看当前模块中的名称(标签),有一个URLDownloadToFileA,这个函数可以实现将一个网络上的文件下载到本地的功能,一般的ShellCode常用到它.[/p][p=30, 2, left][img=542,0]https://attach.52pojie.cn/forum/month_1010/10102922358d376d303b19da9a.png[/img][/p]

[p=30, 2, left]在输入函数上切换断点,运行,可以看出具体的行为.[/p][p=30, 2, left]在此之后要做的就是对下载下来的这个文件进行分析(地址竟然还有效..).[/p][p=30, 2, left][img=232,0]https://attach.52pojie.cn/forum/month_1010/101029224658d5d2bba0490980.png[/img][/p]

[p=30, 2, left]一般来说微软的程序不会有这样的图标,而一个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了.[/p][p=30, 2, left]同理,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,会发现在临时目录里.在外挂的目录下还会发现一个隐藏文件,应该就是干净的外挂.[/p][p=30, 2, left]挂的这个马应该变了,与小生附件中的程序已经不同了.[/p][p=30, 2, left]如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析.[/p][p=30, 2, left]比如说我认为下载下来的这个文件nSPack壳比较难脱,或者说我根本不会脱壳,那么就打开http://camas.comodo.com/cgi-bin/submit ,选择文件路径,然后Upload File,静候几分钟,就可以出结果,其它的在线沙盘也是大同小异.[/p]

喜欢这样的感觉~~

感谢楼主详尽的教学〜

就爱这种详尽的教学

楼主的教程很详细 我看来8分多钟= =

看了一下，看不懂啊，报毒的东西我一般不敢用

……牛……牛逼啊