毫无疑问,和医学科研一样,计算机病毒自动分析仪产生的最初动机,就是提升病毒分析的效率,用系统去模拟一个专业病毒分析师对可疑文件进行专业分析。 在没有“火眼”之前,安全软件发烧友一般用下面三种方法来分析鉴定文件是不是病毒: 1.杀毒软件扫描 用杀毒软件对目标文件执行扫描是最常见的作法,一个杀毒软件可能不准,就用多个杀毒软件,常见有网民在一台电脑使用2,3个杀毒软件检查。或者将样本提交到VirSCAN扫描,若有多个杀毒软件报毒,就判断这个文件是病毒。到底这个文件是不是病毒呢?实际上扫描之后仍然是吃不准的。因为不清楚这个可疑文件到底有哪些具体的恶意行为。 2.专业分析 通过解壳、解密,反汇编,或者使用IDA、OllySafe这样的专业工具对可疑样本进行分析。这只有具备相应专业技能的软件工程师才能做到。 3.简单行为分析 很多人不具备逆向分析的能力,会使用一些简单的工具完成病毒行为分析和指导手工清除。可采用的工具有:Sreng、AutoRuns、Xuetr等等。比如前几年就流行使用Sreng,发现问题就扫描一个日志,再交给更专业的人分析日志,然后再做一个手动恢复的建议。 也有使用Sandboxie运行可疑文件,观察具体行为,或先用installwatch记录文件运行前后的系统配置镜像变化,用Regshot这样的软件比较都有哪些注册表条目被修改,然后判断这个可疑文件是不是有害的,或者花更多时间使用虚拟机来更清晰的观察程序运行之后的结果。 以上这些方法虽相对精确,但明显存在以下问题需要克服: 1.疲劳 分析员使用IDA、OllySafe静态分析病毒代码,就如同常人阅读一本书,需要从头看到尾,才能大致了解这本书的意图。而分析员可能需要一天到晚看病毒代码,头晕眼花看走眼极有可能出现分析结论出错或者分析不全面。 2.效率 一个分析员处理一般的病毒,一个工作日不过三、五十个,如果需要详细的出具一份病毒分析报告,则需要大量时间。在遇到难缠的病毒时,还可能需要几天时间。普通网友用虚拟机等工具观察一个可疑文件需要花更长的时间。 3.门槛较高 不是随便拉个人过来就能做病毒分析,病毒分析师的门槛较高。一般安全爱好者同样需要对系统有相当的了解。 4.简单分析无法完整展现可疑文件的具体行为 对职业病毒分析员也一样,有人擅长分析蠕虫,可能更了解网络方面的病毒指令,而对其他部分可能会忽略,完整而详尽的病毒分析相当耗时间。