论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 3247阅读
  • 3回复

[求助-安全问题]安全第五课,关于手杀(病毒)(第二部分) [复制链接]

上一主题 下一主题
离线沉禹倾峰
 

发帖
2442
今日发帖
最后登录
2017-08-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-04-23 08:04:19
— 本帖被 沉禹倾峰 执行提前操作(2011-04-23) —
我们继续第四课的内容,在往下扯之前,首先重申一下一些观点,以下有关判断病毒文件的方法不是百分百准确无误的,只作为参考方法手段,不可生搬硬套,比如时间,我在原文中也说过,文件时间只是我们的参考依据,毕竟有的病毒也可以修改时间属性来达到隐藏目的。

那么除了已说过的,我们还有什么方法来进一步分辨可疑对象呢?搜索引擎是个好东西,我们可以在搜索引擎上搜索我们找到的可疑文件名,看看大家是怎么判定的。就具体使用搜索引擎来说,第一我会略过各种问答网站,比如百度知道、搜搜问问,并不是百度知道们不是没有有用的资料与信息,而是太多了、太杂了,鱼龙混杂,容易影响我们的判断,大量错误的答案夹杂广告推销(什么这一定是病毒,请用XX杀毒软件清除,连优化软件也能来搀和一把的东西,怎么能让人相信呢),还有文不对题的大段复制,真正的答案往往淹没在其中,实在是浪费时间。而一些技术网站、个人博客、论坛,还有安全商网(如杀毒软件的官网)提供的信息相对有用得多,不排除其中一些互相抄袭、甚至抄袭百度知道的页面。

对于一个可疑文件,如果能在网上直接搜索到对它判定的信息当然是好,如果没有直接信息,就得我们自己根据各种蛛丝马迹综合判断,比如有提供单个文件下载的(有的还挺多个下载站),一般都是系统文件,不会是病毒;有的在网上连一条搜索结果也没有的,如果不是你打错了文件名,那它一般不会是系统文件,就算删掉了,至少你的系统不会有事,或者不是知名的软件,是病毒的可疑性直接加大。

最后说一下搜索引擎方法的局限,我们只是搜索文件名,虽然文件名也算是文件特征,显然对于完全判断一个文件来说还是不够的,比如这个文件被病毒感染(可执行文件要特别注意这一点),或者被冒名顶替,那么就要结合其它方法来检查,比如查查签名、文件版权、文件时间等等,或者我们可以使用上传文件样本的方法来验证,比如一些多引擎在线查毒网站(我不列举了,在置顶的常见问题汇总帖的最后一部分有收录这些网站),或者向杀毒软件官网的可疑文件提交地址提交可疑样本(各家地址:http://bbs.icpcw.com/viewthread.php?tid=1969218),与在线查毒不同,这些样本提交网址不会马上给出结果,需要等待,也许几分钟几小时,也许几天几周,甚至一直没回应,相对而言官网的样本提交比在线查毒的准确度要高些,但不是说就一定正确,比如某X,在我等待一周后,回复我上传的样本是安全的,而同时提交的其它杀软已经判定为病毒。

误报是可能的,这里的误报不是杀毒软件的误报,而是我们自己的判断的失误,连专业的都会误报,何况我们凡人呢。误判不可怕,只要有备份,所以大胆的玩去吧。(关于判断误报的扩展阅读:http://www.stormcn.cn/post/854.html

转自:数动论坛   作者:流风33
沉禹倾峰_百度空间_http://hi.baidu.com/zhangjieblog
离线xjscdbx
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2011-04-23 17:55:34
支持一下
离线沉禹倾峰

发帖
2442
今日发帖
最后登录
2017-08-13
只看该作者 板凳  发表于: 2011-04-23 20:52:01
引用第1楼xjscdbx于2011-04-23 17:55发表的  :
支持一下[表情]

谢谢支持
沉禹倾峰_百度空间_http://hi.baidu.com/zhangjieblog
离线chx_panda
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 地板  发表于: 2011-05-06 09:49:37
学习了,多谢分享