请教大神们一个问题

gddlxm

想问大神们拿到一款软件是怎么检测是否安全的？是先用普通软件扫描？还是用自己认为查杀功能好的杀软检测？是单个杀软检测还是多款联合检测？还是先逆向分析下？还是不管有毒没毒先沙盘或者虚拟机运行？

11111111111445

我个人顺序是这样 1::传vt 2:跑沙箱 3:虚拟机

gddlxm

11111111111445 发表于 2022-5-13 21:42
我个人顺序是这样 1::传vt 2:跑沙箱 3:虚拟机

我也是先vt，有些小众软件vt一片红哈哈，不敢运行了，只能沙箱跑，老笔记本了懒得启动虚拟机

杀软病综合医院

最近固态硬盘空间不太够用，机械盘跑虚拟机又太慢，就没搞虚拟机了。

第一波，卡巴，eset，360等查一波信誉，如果显示新文件，那就需要全部开启做好防御准备。如果是几年的老文件就比较安全了。当然也不绝对。但是老文件的话一般的主防跑起来都能防御。

第二波，有空间的可以搞虚拟机，不安装杀软，基本可以识别一半的病毒，隐藏类病毒本身不搞破坏也难以察觉。再加一个杀软应该就差不多过滤9成9的病毒。
第三波实机操作，因为在虚拟机里不发作，可能跑实机里发作，所以实机防御还是要有。防御方案主要是影子系统，ssf，卡巴，360，智量，火绒，毛豆等作为主防把关，其他盘要有文件夹保护，沙盘类的也可以搞一搞。如果是只有一款杀毒，那最少要有文件夹保护。保护数据是第一位的。

但是破.解类软件是软肋，此类软件杀软肯定判定有敏感动作，但又想用，主动放行了。这样的话就需要虚拟机用一阵子。即时发作的当时就判定了，隐藏发作的随着时间延长和用户增多也会逐步发现。用急救箱类的应该可以扫描出来。
所以用软件要选择一些久经考验的大站。对所谓的小站官网也要警惕，因为小站有可能被攻破挂马。

Hibike

有效数签且来自官网的，直接信任

任意一条不满足的但人脑研判后认为并不可疑，在HIPS限制下实体机安装

其他的全部虚拟机安装使用。