ฉันจะตรวจสอบได้อย่างไรว่าโปรแกรมอาจเป็นไวรัสได้หรือไม่

4

ฉันใช้ Windows XP ใน VM ฉันต้องการดาวน์โหลดแอปพลิเคชั่นบางตัวและติดตั้งทีละตัวและตรวจสอบว่าพวกเขาอาจเป็นไวรัสหรือไม่ ฉันถือว่าไวรัสจำเป็นต้องเพิ่มบางสิ่งในโฟลเดอร์เริ่มต้นหรือแอปพลิเคชันในส่วนเริ่มต้นในรีจิสทรีหรือเพิ่มบริการ มันจะทำอะไรอีกที่จะเปิดใช้งาน?

อย่างไรก็ตามฉันจะตรวจสอบว่าโปรแกรมอาจเป็นไวรัสได้อย่างไร ฉันใช้จี้นี้เพื่อรับรายการของกระบวนการและฉันเพียงแค่เปรียบเทียบจากก่อนที่ฉันจะติดตั้งหลังจากและดูว่ามีอะไรที่แตกต่างกัน ดีพอหรือไม่ ระบบปฏิบัติการหลักของฉันคือ Windows 7 แต่ฉันไม่มีใน VM และไม่เห็นเหตุผลในการทดสอบ

— ปีเตอร์มอร์เทนเซ่น
แหล่งที่มา

4

โปรดจำไว้ว่าการพิจารณาว่าโปรแกรมนั้นหรือไม่ใช่ไวรัสนั้นมีความสำคัญเท่ากับปัญหาการหยุดชะงัก: คุณสามารถแก้ไขได้ในกรณีพิเศษและคุณสามารถมั่นใจได้ในหลายกรณี แต่โดยทั่วไปไม่สามารถมั่นใจได้

— David Thornley

4

ไม่ใช่เรื่องง่ายที่จะจัดการกับไฟล์ที่น่าสงสัยสิ่งแรกที่จะแนะนำให้ใช้แหล่งที่ปลอดภัยอื่นแทน

อย่างไรก็ตามหากคุณต้องการทดสอบไฟล์ใน VM นี่เป็นเครื่องมือที่ดี:

All-In-One System Explorer:

ตรวจสอบระบบ: กระบวนการ, เริ่มต้น, บริการ, ...
- หรือ Sysinternals Autoruns , ProcessExplorer , การตรวจสอบกระบวนการ
ตรวจสอบไฟล์ด้วย Virus Total, Jotti ไวรัสและเป็นฐานข้อมูลของตัวเอง
- หรือตัวอัปโหลดไวรัสทั้งหมด
สร้างสแน็ปช็อตเพื่อเปรียบเทียบก่อน / หลังการเปลี่ยนแปลงดิสก์และรีจิสตรี
- หรือเครื่องมือ SpyMe , WhatChanged

เครื่องมือที่มีประโยชน์อื่น ๆ :

Antivirus: จากการทดสอบav-comparatives pro-active (heuristic) ล่าสุดMicrosoft Security Essentials(ฟรีแวร์) และKaspersky (เพย์แวร์) เป็นตัวเลือกที่ดีที่สุด (Avira มีอัตราการตรวจจับที่สูงเช่นกัน แต่ก็มีอัตราการเตือนที่ผิดพลาดสูง)
HIPS (ระบบป้องกันการบุกรุกบนโฮสต์): ThreatFire(หรือWinPatrol , MJ Registry Watcher )
ไฟร์วอลล์: Comodo(หรือเกราะออนไลน์ )
ตัวตรวจสอบการเชื่อมต่อเครือข่าย: CurrPorts(หรือTCPView )
เครื่องสแกน Rootkit: Gmer(หรือRootkitRevealer ใช้พลังงานน้อยกว่า แต่ใช้ง่ายกว่า)
ออนไลน์การวิเคราะห์พฤติกรรม: Anubis(หรือCWSandlox , ThreatExpert , Norman Sandbox )
ไฟล์ checksums (google ทั่วไป: MD5, SHA-1): HashCalc
Svchost analyzer

แต่ในที่สุดวิธีเดียวที่จะตรวจสอบให้แน่ใจคือถอดแยกชิ้นส่วนซอฟต์แวร์และทำความเข้าใจกับรหัส asm ซึ่งเป็นงานที่ค่อนข้างพิถีพิถัน ดังนั้นกลับไปที่คำแนะนำแรก ...

— fluxtendu
แหล่งที่มา

3

กระบวนการตรวจสอบเพียงอย่างเดียวไม่เพียงพอ โปรแกรมที่เป็นอันตรายสามารถแนบตัวเองกับกระบวนการทำงานดังนั้นคุณจะไม่สังเกตเห็นความแตกต่าง

อาจจะติดตั้งโปรแกรมป้องกันไวรัสใน VM? Aviraมีเวอร์ชั่นฟรีซึ่งควรขึ้นอยู่กับภารกิจ หากคุณไม่รู้สึกอยากติดตั้งอะไรเลยบางทีสแกนเนอร์ออนไลน์น่าจะเหมาะสมกว่า

— จอห์นที
แหล่งที่มา

ฉันกังวลว่าโปรแกรมป้องกันไวรัสจะไม่รับรู้ว่าเป็นไวรัส

AV ที่ใช้ฮิวริสติกนั้นดีกว่านี้ พวกเขาพยายามเลือกพฤติกรรมที่น่าสงสัยมากกว่าจะใช้ฐานข้อมูลไวรัสเพื่อเปรียบเทียบ ฉันเชื่อว่า avira ใช้การวิเคราะห์พฤติกรรม หากคุณกลัวจริงๆคุณสามารถเรียกใช้โปรแกรมดังกล่าวใน sandbox ด้วย sandboxie ( sandboxie.com )

— John T

@ acidzombie24 หากโปรแกรมป้องกันไวรัสไม่รู้จักทำไมคุณจะ?

— ceejayoz

@ceejayoz เพราะเขาฉลาดกว่าซอฟต์แวร์สักชิ้น

— fluxtendu

@fluxtendu และยังโง่เขลาบังคับ beary Gary Kasparov ในหมากรุก เช่นเดียวกันกับไวรัสโดยทั่วไป - มีหลายสายพันธุ์ทำสิ่งต่าง ๆ มากมายโดยใช้เทคนิคลับ ๆ ล่อๆมากมายซึ่งโปรแกรมป้องกันไวรัสน่าจะเป็นที่จับได้ดีกว่ามาก

— ceejayoz

2

โพสต์การตรวจจับไม่ได้มีประโยชน์จริงๆ ไวรัสมีแนวโน้มที่จะยุ่งกับระบบของคุณทันทีและคุณไม่ต้องการที่จะได้รับไปยังจุดที่มีปัญหาอาละวาด (มากเกินไปกระบวนการซ้ำ, ไอคอนปล้นบนไฟล์ exe, ระบบผิดพลาดซ้ำแล้วซ้ำอีกโดยไม่มีเหตุผล apparant ที่เชื่อมต่ออินเทอร์เน็ตไม่ว่าง ... )

ความปลอดภัยที่ดีที่สุดคือการป้องกัน: หลีกเลี่ยงแหล่งที่ไม่น่าเชื่อถือเช่น public peer-2-peer, โฮสต์ดาวน์โหลดฟรี (rapidshare เป็นต้น), ลิงค์บล็อกโดยตรงและไฟล์แนบอีเมล แม้ว่าบางเว็บไซต์ค้นหาซอฟต์แวร์จะถูกต้อง แต่บางแห่งก็ไม่แน่นอน - หากคุณพบสิ่งที่น่าสนใจให้ค้นหาเว็บไซต์ของผู้เขียนและดาวน์โหลดจากที่นั่นแทน!

ลองใช้ซอฟต์แวร์ sandboxเพื่อเรียกใช้แอปพลิเคชันโดยไม่สามารถทำการเปลี่ยนแปลงที่ไม่ต้องการได้ VM ทดสอบที่ไม่มีการเข้าถึงเพื่อเขียนไปยังไดรฟ์หลักของคุณยังคงเป็นวิธีที่เชื่อถือได้ในการทดสอบบางอย่างโดยไม่ต้องยุ่งกับสิทธิ์คุณสามารถปล่อยให้มันทำงานได้อย่างเต็มที่

ในที่สุดการสแกนไวรัส / สปายแวร์เก่าที่ดีก็ไม่เคยเจ็บปวด ...

— mtone
แหล่งที่มา

นั่นคือสิ่งที่ฉันได้ทำยกเว้นการใช้ VMware เป็น VM ของฉันแทน sandboxie ตอนนี้มีแอพที่ฉันต้องการใช้กับเครื่องหลักของฉันดังนั้นคำถามนี้คือเพื่อค้นหาวิธีที่ฉันสามารถตรวจสอบก่อนที่จะย้าย ดังนั้นคุณแนะนำเพียงแค่ใช้โปรแกรมป้องกันไวรัส? ฉันเดาว่าฉันจะได้รับบางส่วนและเพียงแค่สแกนพวกเขาใน VM ของฉันดังนั้นระบบหลักของฉันไม่ได้ช้า

1

ฉันจะตรวจสอบว่าโปรแกรมอาจเป็นไวรัสได้อย่างไร

หากคุณไม่ได้ติดตั้งซอฟต์แวร์ป้องกันการมีถิ่นที่อยู่มีวิธีอื่นในการสแกนไฟล์เช่นกับCommand Line Scanner ที่ยอดเยี่ยมของ A-squared ซึ่งเป็นบริการฟรี (สำหรับการใช้งานส่วนตัว) และพกพาได้

นอกจากนี้แหล่งดาวน์โหลดหลายแห่งยังมีข้อมูล checksum หรือ hash sum เพื่อให้สามารถตรวจสอบความถูกต้องของไฟล์ได้