如何快速判断一个文件是否为病毒

分析一个文件是否为病毒有多种方法，比如用OD这样的调试器，用 HIPS都可以达到目的。在这里主要讨论一下快速判断的方法，用最短的 时间，最少的知识，来判断一个文件是否安全。

先说一下必要的工具：Sandboxie、PEiD、OD以及你的杀毒软件。

比如说，我从论坛上下载一个别人发布的软件，这时候杀毒软件也 许会报毒。这种情况下，先看一下报的病毒名。

如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的 壳，那么可以稍稍放松下警惕。

对于一些壳，杀软脱不了，为了方便，就把这种壳当作病毒来处 理。

另外，如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病 毒”这类的，就需要注意，这个文件可能被人恶意插入木马，或者被感 染过。 从杀软报的病毒名基本可以判断出这个文件是真的有问题，还是属于杀 软的误报。

然而，也有一些例外。比如“Trojan.Win32.Generic.122E105A”，这个一 看就是云安全分析出来的病毒，没有什么有效的信息，所以无法通过病 毒名判断是否是误判。

根据杀软的信息，可以对该文件的安全性有一个初步的了解。我想 不会有人完全信任杀软的，更多的还是信任自己。用PEiD查一下壳，如 果是一些简单的压缩壳，就在沙盘中运行OD，脱掉，分析。这时要做的 不是一步步跟下去，而是找一下这个文件调用的API。

在反汇编窗口右击，查找——当前模块中的名称(标签)。

一般地，可以从字符串找出一些病毒的特征。比如有的灰鸽子会有 “客户端安装成功”之类的字样，发现一些邮件地址以及相应密码的。这 些都是很可疑的。遇到一些猛壳，脱掉它是很困难的，这时可以借助下 沙盘。

从程序生成的文件基本可以判断是否是病毒了。当然，也不乏一些 检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链 接。分析的结果十分具体，可以用来参考。如果你觉得手工检测太麻 烦，可以借助在线沙盘，既快又详细。