小白发问

yangjichao12346

怎么用毛豆看一个软件是否有恶意行为，软件一般改哪些文件哪些注册表，哪些com接口是危险的 ，以前看到柯大说在沙盘中运行程序，然后到注册表编辑器看一下就知道软件有无恶意行为，但是我不会，想学一下怎么看

Couphine

。。。这个你还是算了。

要是这么容易就能被大众看出来，那毛豆要逆天了。

看注册表是看是否有开机启动项。。。问题是正常程序很多也加开机启动项。。。

柯林

上网搜罗一堆病毒行为分析贴，多看看，就有点印象了——譬如说，感染性病毒，全盘修改exe等可执行文件，正常程序绝不会；譬如说，创建exe、dll、sys、bat等文件进系统目录。或者修改系统目录下的可执行文件，正常软件在使用中绝少会这么做（安装程序时才有绝少数程序会干）……整个4D行为，正常与可疑、恶意、明显病毒行为，多少是有差异的，看日志应该有所警觉。至于模糊性的，究竟是不是，一般用户上传云或在线扫描之类，有能力逆码就去文件分析吧。

yangjichao12346

柯林 发表于 2012-6-9 20:17
上网搜罗一堆病毒行为分析贴，多看看，就有点印象了——譬如说，感染性病毒，全盘修改exe等可执行文件，正常 ...

嗯，学习了

fovfinal

yangjichao12346 发表于 2012-6-9 20:38
嗯，学习了

用个比较老土的方法，一个普通平凡的软件运行起来，不会对系统盘（C盘）有过多的接触，不会对启动项等核心区域注册表进行反复修改，还有比如直接磁盘操作，直接访问物理内存等都是高危敏感操作，并且一般情况而言，不应该有大量红色威胁等级的弹窗

柯林

fovfinal 发表于 2012-6-9 20:43
用个比较老土的方法，一个普通平凡的软件运行起来，不会对系统盘（C盘）有过多的接触，不会对启动项等核心 ...

还有一个更土的眼杀——病毒程序，多为个人开发，为了效率和利益，很少有人拼命写几万行的代码……所以，病毒一般多以几KB、几十KB的常见，上百KB的都少见，更别说上M了——因而，看见50KB以下的exe，先想想要不要运行，或者扫描，或者沙盘里。

fovfinal

柯林 发表于 2012-6-9 21:11
还有一个更土的眼杀——病毒程序，多为个人开发，为了效率和利益，很少有人拼命写几万行的代码……所以， ...

同意，小体积exe

紫涵

柯林 发表于 2012-6-9 21:11
还有一个更土的眼杀——病毒程序，多为个人开发，为了效率和利益，很少有人拼命写几万行的代码……所以， ...

现在已经不会单独出现一个小体积的EXE了，多数是集合到正常软件里面去。
真是小体积EXE的话通常不需要人去运行，多数像网马样自动运行了。