怎樣判斷文件是否為惡意文件(2)

三、根據在線的自動分析系統判斷

即使是通過前面兩種方式，仍然有大量的文件無法判斷是正常文件還是木馬。這時可以利用沙盤(沙箱)、虛擬機、已編寫好規則的HIPS軟件來判斷是否是病毒木馬，但由于通過這些判斷樣本都有較大的難度，同時沙箱有漏沙的危險，HIPS的規則可能有漏洞。所以這里介紹一個用得較少但更安全，更簡單易行的辦法——在線沙盤(有些又叫在線自動分析系統等)。目前，對公眾開放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即時惡意軟件分析)，由于金山火眼需要邀請碼，故這里只介紹comodo那個。

Comodo Instant Malware Analysis的地址是：http://camas.comodo.com，它自動運行用戶上傳的文件，并記錄該文件運行中的行為，包括文件及文件夾創建、刪除、修改，注冊表鍵及鍵值創建、刪除、修改，驅動的加載、卸載，加載的模塊，API的調用，訪問的網址及DNS的修改等，最后得出結論(Verdict)。其中危險的行為和最終結果將會被標為紅色。

我們只需要注意其中的紅色部分，特別是結論，在Comodo Instant Malware Analysis中該項為“Verdict”。

如果文件不安全，“Verdict”下的值就是“Suspicious”，代表這個文件是可疑的，也就是該文件進行了一些只有病毒木馬才會進行的操作，如果文件很危險，后面還會帶上個+號，那么那個文件幾乎可以肯定是病毒木馬。即使沒有+號，那類文件都是很危險的，不建議運行那類文件。

第二種結果是“Undetected”，即沒有檢測到任何可疑行為，也就是該軟件的所有行為都是正常的，這類文件不可能是病毒，可以放心運行。

第三種結果是“Unexecutable”，也就是那個文件是不能單獨運行的，如果是單文件，可以放心。

四、其他方法

除了上面這些方法外，還有一些方法，例如利用具有信譽云功能的軟件進行檢查，如卡巴斯基的KSN，諾頓的文件智能分析、360的360閃電云鑒定器等，一般來說，這幾個定為安全(暫無風險、良好等)的文件和使用人數較多、發布時間較久的文件幾乎可以肯定是安全的。

上面這些方法都是一些簡單的辦法，幾個結合起來出現誤判、漏判的可能性雖小，但還是有可能的。最可靠的辦法是給你所使用的反病毒廠商通過發郵件、打電話等方式要求技術支持，當然，如果你使用的是免費殺毒軟件，那就只能到殺軟官方論壇上發帖，請求官方鑒定了。正版用戶發郵件，最多一天就會有結果，一般都會在收到郵件后幾分鐘告知已收到郵件，在十來個小時內告知對可疑文件的鑒定結果，如果是可以修復的文件，還會將文件修復后發給你;打電話的，聽說都會馬上得到技術支持，一般都是通過QQ之類的進行遠程協助。免費殺毒軟件發帖求助，一般會在一兩個小時內得到官方人員回復，但對樣本的鑒定時間就難說了，快的一天，慢的就沒消息了。