赞
踩
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析。
在分析一个可以的恶意软件样本时,第一步就是拿多个反病毒软件扫描这个文件,看是否有哪个引擎已经能够识别它。因为不同的反病毒软件使用了不同的特征库和启发式检测方法。所以对同一个恶意代码样本,运行多个不同的反病毒软件进行扫描检测是相当必要的。类似VirusTotal这样的网站允许你上传一个文件,然后调用多个反病毒引擎来进行扫描。VirusTotal网站会生成一份报告,其中提供了所有引擎对这个样本的识别情况、表示这个样本是否恶意、恶意代码名称、以及其他额外信息,如图1所示。
图1. 通过VirusTotal检查可疑软件
哈希是一种用来唯一表示恶意代码的方法。恶意代码通过一个哈希程序,会产生出一段用于唯一标识这个样本的独特哈希值(类似于一种指纹)。常见的哈希值包括,MD5、SHA-1、SHA-256。通过将可疑文件提交到VirusTotal,可以实现可以文件哈希值的生成(DETAILS表格),如图2所示。
图2. 通过VirusTotal生成可疑文件的哈希值
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。