我在虚拟机中运行 Windows XP。我想下载几个应用程序并逐个安装,然后检查它们是否可能是病毒。我认为病毒需要在启动文件夹中添加一些内容,或者在注册表的启动部分中添加应用程序或添加服务。它还能做什么来激活?
无论如何,我如何检查某个程序是否可能是病毒?我使用 hijack 来获取进程列表,然后简单地比较安装前后的进程,看看是否有任何不同。这样够好吗?我的主要操作系统是 Windows 7,但我的虚拟机中没有这个操作系统,因此没有理由用它来测试。
答案1
处理可疑文件并不容易,首先要建议的是使用其他安全源。
但是如果您想在虚拟机中测试文件,这里有一些不错的工具:
- 检查系统:进程、启动、服务……
- 使用 Virus Total、Virus Jotti 及其自己的数据库检查文件
- 或者病毒总上传器
- 创建快照来比较磁盘和注册表更改之前/之后
其他有用的工具:
- 防病毒:根据最新av-比较词主动(启发式)测试,
Microsoft Security Essentials
(免费软件)和卡巴斯基(付费软件)是最佳选择(Avira 的检测率也很高,但误报率也很高) - HIPS(基于主机的入侵防御系统):
ThreatFire
(或者温帕特罗,MJ 注册观察员) - 防火墙:
Comodo
(或者在线装甲) - 网络连接检查员:
CurrPorts
(或者TCP查看器) - Rootkit 扫描程序:
Gmer
(或者Rootkit揭露者功能较弱,但更易于使用) - 在线行为分析:
Anubis
(或者沙地酸,威胁专家,诺曼沙箱) - 文件校验和(谷歌搜索最常见的:MD5、SHA-1):
HashCalc
Svchost analyzer
但最后,唯一能确定的方法是反汇编软件并理解 asm 代码,这是一项非常繁琐的任务。所以回到第一个建议...
答案2
答案3
事后检测其实没什么用;病毒可能会立即扰乱你的系统,并且你不想问题变得十分严重(过多的重复进程、.exe 文件的图标被剥离、无缘无故地反复出现系统错误,互联网连接繁忙....)
最好的安全是预防:避免使用不可靠的来源,例如公共点对点、免费下载主机(rapidshare 等)、直接博客链接和电子邮件附件。虽然有些软件搜索网站是合法的,但有些肯定不是 - 如果您发现有趣的东西,请寻找作者的网站并从那里下载!
尝试沙盒软件运行应用程序,但无法进行不必要的更改。没有主驱动器写入权限的测试虚拟机仍然是一种可靠的测试方法,无需处理权限 - 您可以真正地将其放任不管。
最后,一次好的病毒/间谍软件扫描绝不会有什么坏处...
答案4
如何检查某个程序是否可能是病毒?
如果你没有安装任何常驻保护软件,还有其他方法可以扫描文件,例如使用 A-squared 的优秀命令行扫描器,免费(供个人使用)且便携。
此外,许多下载源确实提供校验和或哈希和信息,以便可以验证文件的完整性。