本帖最后由 永久禁言 于 2012-11-25 12:40 编辑
对于网民来说上网下载程序,安装程序是家常便饭了,而病&毒木&马就是通过这种方式来散布病&毒的。那么如何快速判断一个文件是否有病&毒呢?
1.用16进制编辑器(比如WinHex)打开目标程序,【WinHex下载:http://down.admln.cc/adown/WinHex_14.2_SR-3_SC.zip】
然后搜索文本,寻找.exe或者.vbs字符, 如果搜索到该字符串,则查看附件是否有显示http://xxx.com/xxx/xxx.exe或者http://xxx.com/xxx/xxx.vbs那么你就要注意了,则有可能就是病&毒,这样的程序建议你直接删除掉。 2. 用exeinfope插件查。【exeinfope下载:http://down.admln.cc/adown/ExeinfoPE_PowerPack.zip】
把目标程序拖到exeinfope界面,然后点RiP按钮,弹出菜单
选择第1项,软件就会自动搜索目标程序的内含的EXE,如果搜索到EXE,那么目标程序就有可能打包有木&马病&毒在里面,当然你也可以提取出来,然后提交到病&毒检测网站去检测。 再选择第5项,就可以搜索目标程序会连接到那些网站,见到可疑网站的也可以判断程序带有病&毒或者后&门。 3. 把目标程序放到沙盘中运行,然后再关闭程序,然后在沙盘中选择‘浏览保存内容’就可以查看运行目标程序以后产生了什么东西,被放到了哪里,有可疑的就是病&毒或者木&马。 4. 用OD(ollyice)或者PEID的插件, 【PEiD下载:http://down.admln.cc/adown/PEiD.zip】【OLLYICE暂不提供下载】 进行反汇编,搜索字符串,有http://xxx.com/xxx/xxx.exe或者http://xxx.com/xxx/xxx.vbs之类的基本就可以确定程序有&毒了。或者OD加载程序,然后下断bp createfile然后F9运行,也可以查看程序运行之后会写入什么文件,通过这个也可以判断是否有&毒。 5. 查看计算机的用户,是否有可&疑用户或者说以前没有,安装了程序以后就有了。 方法基本就这几个,如果你有更好的办法,欢迎交流。
|