对于可疑文件怎么确定是不是病毒？

mumuren

对于可疑文件怎么确定是不是病毒？
我主要从两个方面来判断：
1.根据这个软件的来源，如果是官方的下载的可以稍微放心。如果是第三方的软件就要保持警惕。
2.上传到这两个网站公测一下：
http://www.virscan.org/
https://virusscan.jotti.org/

可是发现这两种方法并不能解决我的疑问，比如经常遇到这样的情况：电脑上的杀软报毒但不能确定，再把文件上传到上面两个网站公测，
1.如果主流的杀软都报毒（卡巴，BD,eset,NS）这个情况还好处理，基本可以决定这个软件可疑度很高，一般就删掉不用了。
2.如果只有几款杀软报毒（四大重武器只有一个或两个报毒，其他不报毒），这种情况怎么处理呢？
希望各位大神各显神通。谢谢！

fovfinal

首先就是lz说的来源，虽然上次cc也出来问题，但是从正规渠道获取软件还是能帮你规避不少麻烦
其次就是杀软&扫描器检查
同时对于某些本身就是非官方之类的破解软件，沙盘或者虚拟机将是不错的选择

mumuren

fovfinal 发表于 2017-10-29 19:42
首先就是lz说的来源，虽然上次cc也出来问题，但是从正规渠道获取软件还是能帮你规避不少麻烦
其次就是杀软 ...

谢谢分享。我不是重度用户，一直没用沙盘，看来我得下个用用。

fovfinal

mumuren 发表于 2017-10-29 19:49
谢谢分享。我不是重度用户，一直没用沙盘，看来我得下个用用。

我办公室电脑也没有，自己家里安装了，尽管很多游戏都是入正了，但是还有些模拟器和第三方游戏软件，这些文件本身模棱两可，容易误报，送进沙盘就挺方便的

fireherman

1，用其他相同功能的、没有被杀毒软件报毒的、认证度高的、从正规渠道获得的……进行替代。

2，排除了第1点，虚拟机使用

注*：认证度高不等同于使用人数多，例如eMule Xtreme MOD

注**：正规渠道指的是官网提供的下载；有些软件，（因流量需求）官网本身只提供下载链接，如SF（sourceforge.net），必须要由官网自己提供。

mumuren

fireherman 发表于 2017-10-29 19:55
1，用其他相同功能的、没有被杀毒软件报毒的、认证度高的、从正规渠道获得的……进行替代。

2，排除 ...

很好的方法！有没有就可疑文件本身进行分析，确认的方法？

fireherman

mumuren 发表于 2017-10-29 20:17
很好的方法！有没有就可疑文件本身进行分析，确认的方法？

用VT：https://www.virustotal.com/#/home/upload

别用那个VS（VirScan）了，你仔细看看上面厂商的病毒库，都是咸丰年代的。

另外，很多杀软有文件【信誉系统】，例如ESET的Live Grid

（通常只针对可执行文件 或者 类似可执行文件的库、驱动等，包括EXE/COM/MSI/DLL/SYS etc.）；脚本类不适用（如：JS/VBS/BAT/HTML etc.）

歌德塔大蜘蛛

mumuren 发表于 2017-10-29 20:17
很好的方法！有没有就可疑文件本身进行分析，确认的方法？

可以提交样本给安全厂商分析（如卡巴斯基、火绒等）

mumuren

fireherman 发表于 2017-10-29 20:52
用VT：https://www.virustotal.com/#/home/upload

别用那个VS（VirScan）了，你仔细看看上面厂商 ...

这个很好，感谢提供！

ziyerain2015

虚拟机，沙盘，在线分析都可以。你见过CCLEANER之前有几个报大的报毒了。