请问杀毒软件的反病毒工程师是怎么分析一个可疑文件是不是病毒的呢？

显示全部楼层 · 发表于 2010-3-20 20:09:32

比如说吧，某杀毒软件厂商的反病毒工程师捕获了一个样本，于是开始人工分析该样本，如果是病毒就把他加入杀毒软件的特征库里面。但是，请问工程师是怎么分析样本的呢？分析样本得看样本的行为吧，得看是不是可疑，会不会危害系统，他们用的是什么方法呢？难道是用手动HIPS来监视样本的行为，或者是其它方法？

显示全部楼层 · 发表于 2010-3-20 20:11:11

帮顶。等高人解答

显示全部楼层 · 发表于 2010-3-20 20:11:13

待高手答覆
給大家學習一下

显示全部楼层 · 发表于 2010-3-20 20:11:50

方法很多。。。具体不是专业人士咱也不好说。。。楼主为什么会想起来问这个？难道是没事愣神的时候突然灵机一动。。。有了这种问题？

显示全部楼层 · 发表于 2010-3-20 20:13:54

方法很多。。。具体不是专业人士咱也不好说。。。楼主为什么会想起来问这个？难道是没事愣神的时候突然灵机 ...
寂寞的名侦探发表于 2010-3-20 20:11

没有啊，只是突然想起来啊。如果工程师测试病毒，在电脑上面双击样本的话，你光凭两只肉眼是不知道所谓的样本是不是病毒的啊，那总得有工具看样本的行为吧？不知道他们用不用EQ之类的HIPS查看呢？还是其它方法？

显示全部楼层 · 发表于 2010-3-20 20:26:23

帮定，等高手、、、

显示全部楼层 · 发表于 2010-3-20 20:27:20

本帖最后由暮雨于 2010-3-20 20:32 编辑

估计有两点吧，1，查看有没有恶意代码。（服务器储存足够多的各种恶意代码段落，由服务器进行比对）
2，查看有没有恶意行为。（服务器判断是否对系统文件，文件，注册表及其他数据有更改变动）
最后再由人核差一遍。。。
我个人认为的。。。我个人认为，一般用户上传的病毒先交给主机分析的，因为样本应该比较多吧。

显示全部楼层 · 发表于 2010-3-20 20:37:17

反汇编？

显示全部楼层 · 发表于 2010-3-20 20:39:39

虚拟机+主防，看你是否盗取数据，下载木马。。

显示全部楼层 · 发表于 2010-3-20 20:48:58

... 期待高人解答..

[求助] 请问杀毒软件的反病毒工程师是怎么分析一个可疑文件是不是病毒的呢？