专栏首页中二病也要当白帽子如何快速判断一个程序是否带毒

如何快速判断一个程序是否带毒

1. 使用杀毒软件

这不是废话吗,在我们正式开始自己的探索之前,先让我们相信一下,“医生”的判断。 总所周知,杀毒软件存在着误报,漏报等多种不可靠情况。接下来,我要告诉你的是如何通过正确姿势,尽可能的避免之前所说的问题。

1.1使用多种杀毒软件

我们很难在一台电脑上装多款杀毒软件,否则你很有可能使PC丧失基本的工作能力。 但是得益于网络的发展,我们有各种各样的工具,可以提供多种杀软的报毒结果。

  • VirusTotal VT作为全球最大的在线病毒分析平台,可以提供多达70家杀毒软件的报毒结果。

VirusTotal报毒结果 报毒结果点我 然而我要说的是,介于某些杀软的报毒结果是抄别家等情况。我们仅需要重点关注几家杀软的报毒结果即可。

  1. ESET-NOD32
  2. Microsoft Kaspersky(卡巴斯基)
  3. BitDefender Tencent Qihoo-360 等

对于一个报毒名,通常会包含主类型,家族名以及变种号。

遇到下面这些以及其他有明确描述的主类型,一般误报的可能性很小。

  1. Virus(感染型)
  2. Worm(蠕虫)
  3. Ransom(勒索)
  4. Backdoor(后门)
  5. Downloader(下载者)

针对上述样本,具体分析如下

1.Eset

其中可以看到,ESET报毒名为 a variant of Win32/Packed.FlyStudio potentially unwanted 主类型为 Win32/Packed 家族名为 FlyStudio 无变种号。 其中FlyStudio是Eset对于易语言程序的别称,无论是否为病毒,只要是易语言基本都会有这个报毒名。所以对于我们没有参考价值。

2.卡巴斯基 与 微软

Kaspersky报毒名为:not-a-virus:RiskTool.Win32.FlyStudio.dtk 同样没有参考价值,只是没有参考价值,并不能排除不是病毒的可能。

Microsoft 报毒名为: Trojan:Win32/Occamy.C 主类型为Trojan:Win32 家族名为Occamy 感叹号后面的字符串是变种号:C 看到微软的这个报毒名,就要小心了,虽然不能明白具体是什么样的病毒,但是是病毒的可能性大大提升了。

3. BitDefender 360

接下来再看BitDefender。 Generic.Keylogger.2.7E2302DA Generic的意思,一般是说这个是通过计算hash入库的,这种一般都很稳的。 Keylogger,字面意思,键盘记录。 看到这里,再结合40家的爆出率,基本就可以不用看了,病毒无误了。

360 HEUR/QVM11.1.CC2D.Malware.Gen 360的报毒名是最没用的了~什么有用的信息你也看不出来,其实讲道理,这个样本是我前几天就传了的,我没刷新VT报毒结果之前(详见PS),他是没报毒的...

结论:是病毒,废话T_T

其他类似的网站(包括带有在线行为分析的网站)

微步在线 魔盾安全分析 腾讯哈勃 等等 再推荐一个好使的软件,可以快速看到文件的各类信息,以及VT结果等。 PPEE

image.png

VT里没有火绒,不过火绒的误报率还是很低的,可信度非常高。尤其是中国市场。起码不会把所有易语言都报毒。2333

作为小白,我们要相信杀毒软件,误报是极其少数的情况,为了你的财产安全,隐私安全,

请点阻止。

PS: 如果是以前上传过的样本,VT不会重新分析,而会使用之前的结果,你需要使用VT自带的刷新功能,重新查看当前时间的报毒情况。 上文以1月31号的报毒结果为准。

2. 使用火绒剑等行为监控工具运行或参考在线的行为分析网站

3. 提取字符串

emmmmm,不想写了,笔者语文水平太差,而且懒癌犯了。溜了。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Apache CGI模式下修改.htaccess导致服务器500的解决办法

    除了正常的用途外,在渗透中的Apache环境下,可以用.htaccess来重写Apache配置以绕过上传,或者留后门什么的。

    xuing
  • 记一次Linux挖矿病毒的清除

    起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。

    xuing
  • web安全实际应用?(入门)

    学长来给你们讲个web安全在实际生活中的案例。 入门知识,BurpSuite的基础吧。

    xuing
  • 基于jQuery,图片加载loading加载层动画开源库

    ProgressBar.js是一款jQuery图片加载loading加载层动画开源插件库。该插件库在图片加载时,为图片添加垂直的图片逐渐显示效果,非常炫酷。

    用户5997198
  • mysql 大数据量的分页优化

    使用limit进行分页,翻到10000多页后效率低 原因 limit offset 会逐行查找,是先查询再跳过 优化思路 (1)从业务逻辑 不允许翻过100页,...

    dys
  • ZooKeeper 分布式锁实现

    用户1263954
  • Javascript打印网页局部的实现方案

    项目中,需要对页面的部分div进行打印,为了保证界面布局不乱,采取了新建iframe的方法。

    就只是小茗
  • Docker Compose 1.18.0 之服务编排详解

    一个使用Docker容器的应用,通常由多个容器组成。使用Docker Compose,不再需要使用shell脚本来启动容器。在配置文件中,所有的容器通过serv...

    搜云库
  • 机器人终于有触觉了!甚至可以实现膝跳反射丨Science

    虽然我们平常说的深度神经网络跟长在动物身体里的神经没有半毛钱关系,但是已经有科学家已经搞出了“真·人工神经网络”——有触觉,能触发反应的那一种。

    量子位
  • Docker Compose 1.18.0 之服务编排详解

    一个使用Docker容器的应用,通常由多个容器组成。使用Docker Compose,不再需要使用shell脚本来启动容器。在配置文件中,所有的容器通过serv...

    搜云库

扫码关注云+社区

领取腾讯云代金券