经常在网上下载一些QQ辅助类的软件,使用时却被安全软件报为木马病毒或存在后门,那么我们该如何判断该文件是否安全呢?到底是杀软误报还是程序真的有危险。你有木有老是遇到这样的情况呢?好吧,答案就在介个教程里哦。先说一下菲菲写这篇博文是有一点点小情绪在里面的,因为昨晚刚编写的QQ2013版透明补丁就被360报毒了...有措词不合适的地方请见谅。
不能说的太过专业化了,为了让大家更容易理解,这里我就结合昨天发布的QQ透明美化补丁来写吧。如果你用的时候被360卫士拦截了,你会选择?先说一下菲菲自己吧,如果一个来源不明的文件被数字报木马,我当然不会直接运行了,然后我会分析一下这个程序的行为,正好想到金山最近推出的火眼可以帮到我们呀。
首先在线进入金山火眼>> ,点击登录,没有帐号也可以直接授权关联QQ帐号来登录(第一次使用请按提示自动创建金山网络帐号)。选择“分析文件”上传可疑程序后,由于火眼尚处在内测阶段所以需要先激活才能使用。很简单直接按提示获取即可,然后回答三个关于火眼系统的单选题提交正确后分享微博即可完成激活(都是很简单的,猜也能猜出来,不会答请Q我哈)。
接着就可以上传分析你的可疑文件了,支持exe\dll\bat\apk安卓软件。这里菲菲.博客当然就来分析那个被报毒的易语言写的补丁了。上传成功后大概需要等待2分钟就可以出结果了。好了分析完毕,我们来查看样本分析报告。关键信息有火眼点评和新毒霸点评。另外如其他行为监控、运行截图等等也可以参考一下。分析结果如图:
这里火眼对于菲菲出品的透明补丁给出的点评是查找QQProtect文件,没错,目的是判断用户的QQ版本是否为2013。然后然后...后续行为就没了?很显然,这里火眼的分析是不全面的,后续肯定是要替换QQ对应的rdb资源才能实现透明效果的呀。看来火眼还有待改进,不过里面的新毒霸点评还是比较权威的“暂无风险”就对了。其实看到这里,我们对火眼的分析原理大概也能猜个八九不离十了吧,应该是类似将样本在云端服务器的虚拟环境中运行,然后监控记录其行为的(菲菲自己猜测的,不对莫怪)。
最后再来说360,360文件安全鉴定一直给我的感觉是宁可对易语言程序错杀1000,绝不放过1个,当然这点对于用户来讲很“靠谱”!但是误报对于易程序作者一直是很头疼的问题。不过话又说回来了,易语言以“易”著称很多坏人拿它写病毒写恶意程序写多了,杀毒软件当然不放过它了。而且测试发现360云鉴定对于样本存在读取QQ进程的行为一律报毒,也难怪误报我的透明补丁了(补丁程序会判断QQ是否在运行,以告知用户需退出才能使用)。
总结:写本文的目的不是说360和金山谁好谁不好,也不是说凡是易语言写的程序都是误报(但是菲菲写的E程序保证绝无任何恶意行为)。关键还是要自己怎么去看待,我给大家的建议是如果下载的软件遇到被杀软报毒了,暂不要直接使用(别管是不是误报),如果该软件你真的很想用,那么可以按上面的方法在线上传到金山的火眼系统分析一下文件的行为参考一下对于文件是否安全还是很有帮助的。同时建议大家对于疑似误报/报毒/可疑文件可以通过放在安全沙盘里或右键选择沙箱运行(360金山应该都有沙箱功能的)。 【菲菲博客·原创博文】
(原创文章版权所有,如需转载请注明原文链接!)