怎样判断文件是否为恶意文件(2)

三、根据在线的自动分析系统判断

即使是通过前面两种方式，仍然有大量的文件无法判断是正常文件还是木马。这时可以利用沙盘(沙箱)、虚拟机、已编写好规则的HIPS软件来判断是否是病毒木马，但由于通过这些判断样本都有较大的难度，同时沙箱有漏沙的危险，HIPS的规则可能有漏洞。所以这里介绍一个用得较少但更安全，更简单易行的办法——在线沙盘(有些又叫在线自动分析系统等)。目前，对公众开放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即时恶意软件分析)，由于金山火眼需要邀请码，故这里只介绍comodo那个。

Comodo Instant Malware Analysis的地址是：http://camas.comodo.com，它自动运行用户上传的文件，并记录该文件运行中的行为，包括文件及文件夹创建、删除、修改，注册表键及键值创建、删除、修改，驱动的加载、卸载，加载的模块，API的调用，访问的网址及DNS的修改等，最后得出结论(Verdict)。其中危险的行为和最终结果将会被标为红色。

我们只需要注意其中的红色部分，特别是结论，在Comodo Instant Malware Analysis中该项为“Verdict”。

如果文件不安全，“Verdict”下的值就是“Suspicious”，代表这个文件是可疑的，也就是该文件进行了一些只有病毒木马才会进行的操作，如果文件很危险，后面还会带上个+号，那么那个文件几乎可以肯定是病毒木马。即使没有+号，那类文件都是很危险的，不建议运行那类文件。

第二种结果是“Undetected”，即没有检测到任何可疑行为，也就是该软件的所有行为都是正常的，这类文件不可能是病毒，可以放心运行。

第三种结果是“Unexecutable”，也就是那个文件是不能单独运行的，如果是单文件，可以放心。

四、其他方法

除了上面这些方法外，还有一些方法，例如利用具有信誉云功能的软件进行检查，如卡巴斯基的KSN，诺顿的文件智能分析、360的360闪电云鉴定器等，一般来说，这几个定为安全(暂无风险、良好等)的文件和使用人数较多、发布时间较久的文件几乎可以肯定是安全的。

上面这些方法都是一些简单的办法，几个结合起来出现误判、漏判的可能性虽小，但还是有可能的。最可靠的办法是给你所使用的反病毒厂商通过发邮件、打电话等方式要求技术支持，当然，如果你使用的是免费杀毒软件，那就只能到杀软官方论坛上发帖，请求官方鉴定了。正版用户发邮件，最多一天就会有结果，一般都会在收到邮件后几分钟告知已收到邮件，在十来个小时内告知对可疑文件的鉴定结果，如果是可以修复的文件，还会将文件修复后发给你;打电话的，听说都会马上得到技术支持，一般都是通过QQ之类的进行远程协助。免费杀毒软件发帖求助，一般会在一两个小时内得到官方人员回复，但对样本的鉴定时间就难说了，快的一天，慢的就没消息了。