如何快速判断一个文件是否为病毒

前言

下载 上的软件，怕软件里插有某些小玩具，很大程度需要自己识别。

分析一个文件是否为病毒有多种方法，比如用OD这样的调试器，用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法，用最短的时间，最少的知识，来判断一个文件是否安全。

先说一下必要的工具：Sandboxie、PEID、OD以及你的杀毒软件。

比如说，我从论坛上下载一个别人发布的软件，这时候杀毒软件也许会 毒。这种情况下，先看一下 的病毒名。如果 的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳，那么可以稍稍放松下警惕。对于一些壳，杀软脱不了，为了方便，就把这种壳当作病毒来处理。另外，如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的，就需要注意，这个文件可能被人恶意插入木马，或者被感染过。从杀软 的病毒名基本可以判断出这个文件是真的有问题，还是属于杀软的误 。然而，也有一些例外。比如“Trojan.Win32.Generic.122E105A”，这个一看就是云安全分析出来的病毒，没有什么有效的信息，所以无法通过病毒名判断是否是误判。

根据杀软的信息，可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的，更多的还是信任自己。用PEiD查一下壳，如果是一些简单的压缩壳，就在沙盘中运行OD，脱掉，分析。这时要做的不是一步步跟下去，而是找一下这个文件调用的API。在反汇编窗口右击，查找——当前模块中的名称(标签)。

,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,会发现在临时目录里.在外挂的目录下还会发现一个隐藏文件,应该就是干净的外挂.
挂的这个马应该变了,与附件中的程序已经不同了.
如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析.
比如说我认为下载下来的这个文件nSPack壳比较难脱,或者说我根本不会脱壳，那就选择 上大多的在线沙盘。