如何发现未知病毒

north_wolf

如何发现未知病毒

由于目前的病毒种类繁多，且大有变种等新样本层出不穷的形势，又由于杀软厂家捕获样本的途径普遍存在不同程度的“盲区”，造成有时杀毒软件并不能及时更新和查杀最新病毒。鉴于这种情况，杀软厂家十分需要广大的用户及时提供最新的样本来完善自己的病毒库，以保障计算机和网络的安全。在这里，我特别将有关新样本的发现和病毒上报的途径，整理成帖，并谈谈个人的浅见，希望能够帮助一些对于发现未知病毒和对病毒上报途径不清楚的用户了解这一过程，并及时将自己手中的样本传递给杀软厂家，以便第一时间内能够得到完善的处理。这样的行为不仅利于解决自己的问题，避免下次继续中毒，更是有利于社会这个整体的大环境，可谓一举两得。所以希望大家及时上报手中的新病毒，共同营造一个安全和谐的网络环境。
一、关于未知病毒：
1.最近流行的一些病毒如viking、熊猫烧香均具有很明显的表现形式，比如导致杀软不能正常工作、将应用程序的图标更改、不能修改显示系统隐藏文件的属性等。遇到这些情况，则证明很有可能遇到新病毒。这时就需要我们在计算机中寻找一些可疑的文件并及时的上报给杀软厂家来寻求解决问题的方法和避免疫情进一步扩大蔓延。
2.有些病毒的症状不是很明显，比如一些远程控制和盗号木马等。中了这些病毒之后，系统看似很正常，但已经处于一种十分危险并且会随时泄漏隐私和重要文件的状态中。自己就好像是鱼肉，种植木马的人好比是刀板一样，将任人宰割，且无还手之力。
二、如何发现这些未知病毒
平时就要养成一个良好的上网习惯和安全意识，这样就可以很大程度上避免那些已知或未知的病毒的侵袭了。这些良好的习惯和意识在许多文章中都已经反复介绍过了，在此不再赘述。但百密一疏，没有绝对和永远的安全，万一我们哪天被某种未知的病毒“亲吻”了，我们该怎么办？
1.使用杀毒软件提供的《未知病毒扫描》进行探测－－
江民杀毒软件就自带了一个很好的发现未知病毒的工具《江民未知病毒检测》。这种程序应该是根据一种叫启发式病毒检测的技术开发的，专门针对那些最新的未知病毒。这种技术将一些病毒具有的危险指令赋予相应的“权值”并且做成一个集合，当分析某个可疑程序时，如果发现该程序中有集合中相应的危险指令，则加上相应的权值。最后再根据一定的算法计算出该程序的可疑概率，并以此为判断的依据。当然，这种技术也有自己的缺点就是存在误报。比如某种木马具有线程注入的功能，可某些正常程序也有此功能（例如windows meida player）；比如某些病毒或者流氓软件占用较多CPU资源，某些正常程序也具有这样的情况；或者某些病毒具有拦截或修改系统API的行为，某些正常程序比如杀毒软件的监控也有这样的行为。这样就造成了误判的情况的发生。江民的这个程序也存在这样的情况，比如有时我们在扫描未知病毒的时候会发现许多正常的程序也在里面。但是这种正常的程序一般的可疑概率都比较低，大多都在50％以下，而且我们也可以在扫描之后将这些正常程序添加进白名单中屏蔽。如果遇到某些程序它的可疑概率较高，比如达到了50％以上或者更高概率就说明这个程序已经相当的可疑了。
2.使用《Sreng》发现可疑程序－－
Sreng虽然不具备上述直接检测可疑文件的功能，但是它具有很强大和全面的系统危险和薄弱之处的检测功能，比如注册表启动项目键值的检测、系统服务和驱动的检测、系统进程和调用模块的检测等等。Sreng会将对这些关键部位的检测结果生成一份日志以供参考和查阅。不过看这些日志需要一定的安全常识和经验，如果自己不了解这些东西，最好请求别人的帮助。
3.使用《IceSword》发现可疑程序－－
IceSword是一款功能很强大的系统监测软件。可以监测进程、进程调用模块、线程信息、内存读写、端口情况、系统服务、驱动、启动项目、LSP、浏览器辅助对象、系统服务调用、钩子监视、进程创建与关闭、隐藏进程和驱动的检测（正在完善）以及注册表浏览与修改和硬盘文件浏览机器相应操作等功能，可谓十分之全面和强大。这个工具利用了许多未公开的技术来达到全面详细检测的目的，要想全面驾驭它需要许多专业知识，所以比较适合高级的专业人士使用。但是它的一般功能比如进程、服务、驱动、文件也适用于有一定系统知识和经验的普通用户。在进程、服务和驱动的显示功能中，对那些可疑的隐藏项目都采用红色来加强标识，方便了我们的识别。