如何判断被调试软件已经中毒
今天在虚拟机中调试一款软件,调试了好久毫无头绪,后来发现是虚拟机已经中毒感染了调试文件,请问怎么在一开始判断被调试的程序已经被感染呢?虚拟机中毒怎么看出来呢? 先回答你怎么看的问题,这个没有捷径,除非特征明显,而且还是发作症状,如挖矿,勒索等,其他的真的不好注意到,不然我这病毒样本分析员不久失业了吗哈哈
1.你可以尝试在开始做之前,拿到原程序时候测一遍MD5,SHA1值。你可以提前写段python代码,如果我没记错,测大文件的方法和小文件的方法不同,我这里给你一段我自己写的,测小文件的MD5值的,一般这个就够了,可执行文件一般都较小,然后调试前跑一下python脚本,比对哈希值一看便知。
=================================(3.7版本python下用)
import hashlib
def get_md5():
path = r"A:\3.zip"# 这里写你要检测的路径
m = hashlib.md5()
mfile = open(path, "rb")
m.update(mfile.read())
mfile.close()
md5 = m.hexdigest()
print(md5)
get_md5()
=================================
2.可以打个压缩包并加密原文件,每次用的时候重新解压出来(有的病毒会跑没有加密的压缩包}
3.建议定期给健康的虚拟机拍摄快照,每次分析后还原 另外如果你不是做病毒样本分析,害怕被查杀的话,建议安装正版杀毒软件也可以 继续发表意见啊 a192424 发表于 2019-9-3 09:33
继续发表意见啊
啥啊,啥发表意见{:1_904:}
页:
[1]