这不是废话吗,在我们正式开始自己的探索之前,先让我们相信一下,“医生”的判断。 总所周知,杀毒软件存在着误报,漏报等多种不可靠情况。接下来,我要告诉你的是如何通过正确姿势,尽可能的避免之前所说的问题。
我们很难在一台电脑上装多款杀毒软件,否则你很有可能使PC丧失基本的工作能力。 但是得益于网络的发展,我们有各种各样的工具,可以提供多种杀软的报毒结果。
VirusTotal报毒结果 报毒结果点我 然而我要说的是,介于某些杀软的报毒结果是抄别家等情况。我们仅需要重点关注几家杀软的报毒结果即可。
遇到下面这些以及其他有明确描述的主类型,一般误报的可能性很小。
其中可以看到,ESET报毒名为
a variant of Win32/Packed.FlyStudio potentially unwanted
主类型为 Win32/Packed
家族名为 FlyStudio
无变种号。
其中FlyStudio是Eset对于易语言程序的别称,无论是否为病毒,只要是易语言基本都会有这个报毒名。所以对于我们没有参考价值。
Kaspersky报毒名为:not-a-virus:RiskTool.Win32.FlyStudio.dtk
同样没有参考价值,只是没有参考价值,并不能排除不是病毒的可能。
Microsoft 报毒名为:
Trojan:Win32/Occamy.C
主类型为Trojan:Win32
家族名为Occamy
感叹号后面的字符串是变种号:C
看到微软的这个报毒名,就要小心了,虽然不能明白具体是什么样的病毒,但是是病毒的可能性大大提升了。
接下来再看BitDefender。
Generic.Keylogger.2.7E2302DA
Generic的意思,一般是说这个是通过计算hash入库的,这种一般都很稳的。
Keylogger,字面意思,键盘记录。
看到这里,再结合40家的爆出率,基本就可以不用看了,病毒无误了。
360
HEUR/QVM11.1.CC2D.Malware.Gen
360的报毒名是最没用的了~什么有用的信息你也看不出来,其实讲道理,这个样本是我前几天就传了的,我没刷新VT报毒结果之前(详见PS),他是没报毒的...
微步在线 魔盾安全分析 腾讯哈勃 等等 再推荐一个好使的软件,可以快速看到文件的各类信息,以及VT结果等。 PPEE
image.png
VT里没有火绒,不过火绒的误报率还是很低的,可信度非常高。尤其是中国市场。起码不会把所有易语言都报毒。2333
PS: 如果是以前上传过的样本,VT不会重新分析,而会使用之前的结果,你需要使用VT自带的刷新功能,重新查看当前时间的报毒情况。 上文以1月31号的报毒结果为准。
emmmmm,不想写了,笔者语文水平太差,而且懒癌犯了。溜了。