如何在 VMware 中正确检查程序是否为病毒/木马?

如何在 VMware 中正确检查程序是否为病毒/木马?

我应该如何检查 VMware 中的程序是否是病毒?有些程序确实需要管理员权限才能安装,这是有道理的。但我怎么知道它是否做了超出我想要的事情?一些想法是:

  • 启动应用程序时打开了多少个进程
  • msconfig 中的启动选项卡中添加了什么
  • 是否添加了任何服务。

这就是我几乎所有的想法。即使它做了一些我认识的事情,我也不知道它是否有必要。有哪些经验法则?

-编辑- 那么注册表呢,我可以使用这些信息来提供帮助吗?也许可以让扫描仪告诉我我刚刚使用的应用程序是否弄乱了它不应该有的部分(如启动)?

答案1

运行提示新连接的传出防火墙。

如果软件尝试建立许多出站连接,那么它可能没有用。许多软件会在首次启动时或定期检查更新,因此您必须让第一个更新通过。不要选中“记住我对此应用程序的回答”选项(应该存在),这样您就可以看到它下次“呼叫回家”的时间。

这还会提醒您未直接启动的软件发出的传出连接尝试 - 这是您安装了一些恶意软件的另一个迹象。

答案2

使用 Wireshark 监控流量,使用 Process Explorer 监控文件和注册表更改。每次启动时保留一个“已知良好”的快照,以减少可能的污染。如果没有必要,不要给它互联网连接。

答案3

按照你的分析(不过,检查下载位置并使用本地防病毒软件总是更安全的),

  1. 检查它尝试了哪些网络通信。
    从程序描述中枚举可能的网络活动总是相当容易的。
    您可以使用 SysinternalsTCP查看器遵循它或只是经常这样做netstat
    一些主机防病毒/防火墙工具还允许为进程配置阻止。
    • 大多数恶意软件专注于“破坏”系统上的其他应用程序。
      这意味着,仅仅跟踪新安装的应用程序是不够的。
      您还需要一种方法来检测它何时开始与系统中的其他可执行文件一起运行。

相关内容