当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。
本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。
1、多引擎在线病毒扫描
找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。
VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。
https://www.virscan.org/
VirusTotal:一个在线多杀毒引擎扫描的网站,使用70多种防病毒扫描程序进行检测。
https://www.virustotal.com/gui/
2、文件哈希值
文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。