如何判断被调试软件已经中毒

hahaya

今天在虚拟机中调试一款软件，调试了好久毫无头绪，后来发现是虚拟机已经中毒感染了调试文件，请问怎么在一开始判断被调试的程序已经被感染呢？虚拟机中毒怎么看出来呢？

烟茶

先回答你怎么看的问题，这个没有捷径，除非特征明显，而且还是发作症状，如挖矿，勒索等，其他的真的不好注意到，不然我这病毒样本分析员不久失业了吗
哈哈
1.你可以尝试在开始做之前，拿到原程序时候测一遍MD5，SHA1值。你可以提前写段python代码，如果我没记错，测大文件的方法和小文件的方法不同，我这里给你一段我自己写的，测小文件的MD5值的，一般这个就够了，可执行文件一般都较小，然后调试前跑一下python脚本，比对哈希值一看便知。
=================================（3.7版本python下用）
import hashlib

def get_md5():
    path = r"A:\3.zip"  # 这里写你要检测的路径
    m = hashlib.md5()
    mfile = open(path, "rb")
    m.update(mfile.read())
    mfile.close()
    md5 = m.hexdigest()
    print(md5)

get_md5()

=================================
2.可以打个压缩包并加密原文件，每次用的时候重新解压出来（有的病毒会跑没有加密的压缩包}
3.建议定期给健康的虚拟机拍摄快照，每次分析后还原

烟茶

另外如果你不是做病毒样本分析，害怕被查杀的话，建议安装正版杀毒软件也可以

a192424

继续发表意见啊

烟茶

a192424 发表于 2019-9-3 09:33
继续发表意见啊

啥啊，啥发表意见