三、根據(jù)在線的自動(dòng)分析系統(tǒng)判斷

即使是通過前面兩種方式，仍然有大量的文件無法判斷是正常文件還是木馬。這時(shí)可以利用沙盤(沙箱)、虛擬機(jī)、已編寫好規(guī)則的HIPS軟件來判斷是否是病毒木馬，但由于通過這些判斷樣本都有較大的難度，同時(shí)沙箱有漏沙的危險(xiǎn)，HIPS的規(guī)則可能有漏洞。所以這里介紹一個(gè)用得較少但更安全，更簡單易行的辦法——在線沙盤(有些又叫在線自動(dòng)分析系統(tǒng)等)。目前，對(duì)公眾開放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即時(shí)惡意軟件分析)，由于金山火眼需要邀請(qǐng)碼，故這里只介紹comodo那個(gè)。

Comodo Instant Malware Analysis的地址是：http://camas.comodo.com，它自動(dòng)運(yùn)行用戶上傳的文件，并記錄該文件運(yùn)行中的行為，包括文件及文件夾創(chuàng)建、刪除、修改，注冊表鍵及鍵值創(chuàng)建、刪除、修改，驅(qū)動(dòng)的加載、卸載，加載的模塊，API的調(diào)用，訪問的網(wǎng)址及DNS的修改等，最后得出結(jié)論(Verdict)。其中危險(xiǎn)的行為和最終結(jié)果將會(huì)被標(biāo)為紅色。

我們只需要注意其中的紅色部分，特別是結(jié)論，在Comodo Instant Malware Analysis中該項(xiàng)為“Verdict”。

如果文件不安全，“Verdict”下的值就是“Suspicious”，代表這個(gè)文件是可疑的，也就是該文件進(jìn)行了一些只有病毒木馬才會(huì)進(jìn)行的操作，如果文件很危險(xiǎn)，后面還會(huì)帶上個(gè)+號(hào)，那么那個(gè)文件幾乎可以肯定是病毒木馬。即使沒有+號(hào)，那類文件都是很危險(xiǎn)的，不建議運(yùn)行那類文件。

第二種結(jié)果是“Undetected”，即沒有檢測到任何可疑行為，也就是該軟件的所有行為都是正常的，這類文件不可能是病毒，可以放心運(yùn)行。

第三種結(jié)果是“Unexecutable”，也就是那個(gè)文件是不能單獨(dú)運(yùn)行的，如果是單文件，可以放心。

四、其他方法

除了上面這些方法外，還有一些方法，例如利用具有信譽(yù)云功能的軟件進(jìn)行檢查，如卡巴斯基的KSN，諾頓的文件智能分析、360的360閃電云鑒定器等，一般來說，這幾個(gè)定為安全(暫無風(fēng)險(xiǎn)、良好等)的文件和使用人數(shù)較多、發(fā)布時(shí)間較久的文件幾乎可以肯定是安全的。

上面這些方法都是一些簡單的辦法，幾個(gè)結(jié)合起來出現(xiàn)誤判、漏判的可能性雖小，但還是有可能的。最可靠的辦法是給你所使用的反病毒廠商通過發(fā)郵件、打電話等方式要求技術(shù)支持，當(dāng)然，如果你使用的是免費(fèi)殺毒軟件，那就只能到殺軟官方論壇上發(fā)帖，請(qǐng)求官方鑒定了。正版用戶發(fā)郵件，最多一天就會(huì)有結(jié)果，一般都會(huì)在收到郵件后幾分鐘告知已收到郵件，在十來個(gè)小時(shí)內(nèi)告知對(duì)可疑文件的鑒定結(jié)果，如果是可以修復(fù)的文件，還會(huì)將文件修復(fù)后發(fā)給你;打電話的，聽說都會(huì)馬上得到技術(shù)支持，一般都是通過QQ之類的進(jìn)行遠(yuǎn)程協(xié)助。免費(fèi)殺毒軟件發(fā)帖求助，一般會(huì)在一兩個(gè)小時(shí)內(nèi)得到官方人員回復(fù)，但對(duì)樣本的鑒定時(shí)間就難說了，快的一天，慢的就沒消息了。