首页 › IT技术› 技术方案 › 查看内容

快速判断文件是否为恶意文件

技术方案 9547 0 2015-6-16 17:23

使用电脑时，往往会遇到一些不太可信的文件，如破解版游戏或软件，算号器及注册机，小众软件，网购时对方给的文件等，这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全，不打开不舒心; ...

使用电脑时，往往会遇到一些不太可信的文件，如破解版游戏或软件，算号器及注册机，小众软件，网购时对方给的文件等，这些东西有可能包含病毒木马或者是会有修改IE设置等流氓行为;打开这些文件不安全，不打开不舒心;这时就需要一些方法判断这个文件是否安全。
　　一、查看文件属性
　　1、通过文件名判断
　　查看文件属性可以说是最简单快捷的一个方法。这个方法，只能对那些伪装为正常文件的病毒木马有效，而这类病毒多见于网购时和U盘里。其中最典型的是双后缀和unicode反转技术，例如，某文件名为"照片.gif.exe"或者是"货物exe.jpg"，这类文件几乎可以肯定有问题。
　　这类文件前者是针对没有在文件夹选项中取消"隐藏已知文件扩展名"的用户，该类用户在收到"照片.gif.exe"时，只能看到"照片.gif"，很容易误以为这是一个后缀名为gif的图片文件，打开这类文件几乎可以肯定会出问题，当然QQ和旺旺貌似都会对可执行文件强制改名，很大情况上避免了这类事件的发生;后者主要是针对那些不够细心的用户，这类用户看到陌生文件后往往不会认真查看文件属性，结果往往会将"货物exe.jpg"这类文件误以为是后缀名为jpg的图片文件，但实际上却是可执行文件，运行后肯定又悲剧了。
　　这里，最主要的就是取消掉"隐藏已知文件扩展名"，方法如下：
　　依次点击，开始菜单-控制面板-文件夹选项，然后如下图设置即可，
　　

　　当然，双后缀和unicode反转中没有可执行文件的扩展名时，就没多大必要担心了。可执行文件的扩展名包括exe、bat、com、msi等。另外，CAD文件、office文件、PDF文件等也需要注意，因为这些文件都有可能感染病毒，如CAD病毒、宏病毒等，打开带有这些病毒的文件时，可能会使电脑上的正常CAD文件和office文件受损，如果可能，尽量使用最新的正版软件打开这类文件或者是考虑安装能防CAD病毒或宏病毒的杀毒软件，如360等，而PDF文件只要使用最新正式版的Adobe Reader、Foxit Reader等打开就没事。
　　除了双后缀和unicode反转，某些特殊的文件名的文件也需要注意，例如过于简单的文件名，如1.exe、d.exe等;与系统文件或有名软件的名称极为相似的文件名，如expIore.exe、QQDown1oad.exe等;看起来像网址的文件，如wenwen.soso.com、www.baidu.com等;扩展名偏门的文件也不要随意打开，例如hta、pif、vbs之类的。
　　2、通过数字签名判断
　　程序上的数字签名标明了程序的厂商，在软件上主要就是用于验证软件的完整性，在发布后有没有被修改过。正规公司出品的软件都有有效的数字签名。
　　如果声称自己是正规公司出品，或者是软件名或文件名是某个有名的软件，但有没有有效的数字签名，那就可以肯定该软件是仿冒的。其中数字签名无效的软件比没有数字签名的软件更可疑，因为数字签名无效在属性里不能直接看到，很容易将之误解为是某个正规公司的软件。需要注意的是，大多数破解软件、第三方修改版软件都没有数字签名，这些很危险，因为无法验证在发布后是否被修改过。
　　下面是数字签名的验证方式(以傲游3为例)：
　　(1)、在傲游3主程序(Maxthon.exe)上右击，在弹出菜单中选择"属性"，在属性窗口中单击数字签名选项卡：
　　

　　2、在数字签名选项卡中选中签名，单击详细信息查看证书的详细信息：
　　

　　在这里面，需要特别注意查看数字签名是否有效，数字签名有效，该软件可信，数字签名无效，该软件就很可疑了;还需要注意颁发者，如果颁发者名不见经传，那也需要注意。比较常见的有一下几种：COMODO、VeriSign、Microsoft等。
　　二、根据多引擎扫描网站的结果判断：
　　这是判断某个文件是否是病毒木马的另一个较快的办法。
　　多引擎扫描网站利用网站服务器上的杀软引擎，将用户上传的文件进行扫描，得出扫描结果。利用这个结果，有时候可以很快判断文件是不是病毒。
　　以http://virscan.org/为例，该网站允许用户上传小于20M的文件进行扫描，同时如果文件是压缩包，压缩包内的文件数量不得多于20个。该网站利用小红伞、AVG、avast、比特梵德、大蜘蛛、卡巴斯基、江民、瑞星、金山、迈克菲、诺顿、ESET  nod32、熊猫等三十多款杀毒软件对符合要求的文件进行扫描，并将结果通知用户。
　　一般来说，当某个文件，所有杀毒软件引擎都报毒，或上段提到的几个杀毒软件都报毒，那几乎可以肯定该文件是恶意文件，打开会导致电脑出问题。如果所有杀毒软件都没有报毒，而文件在网络上又已经有一段时间了，那该文件几乎不可能是恶意软件。
　　当然更多的情况是一些杀毒软件报毒，一些不报毒，这个时候就需要对杀毒软件的及病毒名进行综合查看，有名的杀毒软件，特别是在AV-TEST、AV-C测试中误报较少的杀软报毒一般都可以确定该文件确实有问题。此外病毒名中往往会带有杀软判断该文件是恶意文件的理由，例如：backdoor意为后门，即软件作者可能绕过安全性控制而获取对程序或系统访问权;spy、Trojan为间谍软件，即软件作者可能利用此软件在未经用户允许的情况下暗中收集用户信息;malware是病毒的一种，可能感染并损害计算机;win32一般多见于病毒的命名中;Generic代表该文件是被启发式扫描引擎报毒(这类报毒的误报可能性最高)等等，具体可以在软件官网上查询到。
　　三、根据在线的自动分析系统判断
　　即使是通过前面两种方式，仍然有大量的文件无法判断是正常文件还是木马。这时可以利用沙盘(沙箱)、虚拟机、已编写好规则的HIPS软件来判断是否是病毒木马，但由于通过这些判断样本都有较大的难度，同时沙箱有漏沙的危险，HIPS的规则可能有漏洞。所以这里介绍一个用得较少但更安全，更简单易行的办法在线沙盘(有些又叫在线自动分析系统等)。目前，对公众开放的只有金山火眼和Comodo  Instant Malware Analysis(科莫多即时恶意软件分析)，由于金山火眼需要邀请码，故这里只介绍comodo那个。
　　Comodo Instant Malware  Analysis的地址是：http://camas.comodo.com，它自动运行用户上传的文件，并记录该文件运行中的行为，包括文件及文件夹创建、删除、修改，注册表键及键值创建、删除、修改，驱动的加载、卸载，加载的模块，API的调用，访问的网址及DNS的修改等，最后得出结论(Verdict)。其中危险的行为和最终结果将会被标为红色。
　　我们只需要注意其中的红色部分，特别是结论，在Comodo Instant Malware Analysis中该项为"Verdict"。
　　如果文件不安全，"Verdict"下的值就是"Suspicious"，代表这个文件是可疑的，也就是该文件进行了一些只有病毒木马才会进行的操作，如果文件很危险，后面还会带上个+号，那么那个文件几乎可以肯定是病毒木马。即使没有+号，那类文件都是很危险的，不建议运行那类文件。
　　第二种结果是"Undetected"，即没有检测到任何可疑行为，也就是该软件的所有行为都是正常的，这类文件不可能是病毒，可以放心运行。
　　第三种结果是"Unexecutable"，也就是那个文件是不能单独运行的，如果是单文件，可以放心。
　　四、其他方法
　　除了上面这些方法外，还有一些方法，例如利用具有信誉云功能的软件进行检查，如卡巴斯基的KSN，诺顿的文件智能分析、360的360闪电云鉴定器等，一般来说，这几个定为安全(暂无风险、良好等)的文件和使用人数较多、发布时间较久的文件几乎可以肯定是安全的。
　　上面这些方法都是一些简单的办法，几个结合起来出现误判、漏判的可能性虽小，但还是有可能的。最可靠的办法是给你所使用的反病毒厂商通过发邮件、打电话等方式要求技术支持，当然，如果你使用的是免费杀毒软件，那就只能到杀软官方论坛上发帖，请求官方鉴定了。正版用户发邮件，最多一天就会有结果，一般都会在收到邮件后几分钟告知已收到邮件，在十来个小时内告知对可疑文件的鉴定结果，如果是可以修复的文件，还会将文件修复后发给你;打电话的，听说都会马上得到技术支持，一般都是通过QQ之类的进行远程协助。免费杀毒软件发帖求助，一般会在一两个小时内得到官方人员回复，但对样本的鉴定时间就难说了，快的一天，慢的就没消息了。