用客户端快速检测可疑文件

　　网上有很多安全网站，可以帮助用户检测可疑文件的安全性。但是要通过这些网站进行操作，首先需要登录到这些网站，然后再根据网站提示进行操作。但是这样的操作是比较烦锁的，因此就有一些网友开发出了专门的客户端。直接利用这些客户端进行操作，所有的操作都会马上变得快捷方便很多。

　　多引擎的快速查询

　　VirusTotal是一个非常好用的在线文件分析网站，由于它的服务器里面带有几十种国内外的杀毒引擎，所以通过它分析判断以后就可以确认文件的安全性。而为了更好的使用这个网站，网友开发出了PhrozenSoft VirusTotal Uploader这款工具。首先运行这款客户端工具，选择Uploads Process标签，通过鼠标选择要分享的一个文件或多个文件，将其拖拽到标签列表中进行释放，工具就可以自动将它们上传到VirusTotal的服务器上。还有一种文件上传方法，选择文件后右击，选择Scanwith VirusTotal命令进行上传。接下来切换到Awaiting Results标签，通过列表可以看到文件进行分析的过程。同时可以看到被分享文件的其他信息，比如MD5、SHA1等信息。当文件分析完成以后，客户端就会在系统桌面下方弹出一个提示窗口。现在点击Available Results标签，在列表中可以看到所有分析完成的文件。任意双击一个文件的名称，在弹出的窗口里面就可以看到，所有杀毒引擎对这个文件的判断结果。如果杀毒引擎前面是绿色的对勾，说明该杀毒引擎判断它是安全的。如果是红色的叉就说明该杀毒引擎认为该文件存在安全问题，在后面就会给出一个病毒名称的编号进行说明。

　　网络沙箱直接分析

　　VirusTotal虽然可以通过多款杀毒引擎进行分析，但是它仍然存在杀毒软件一个致命的缺陷。就是如果杀毒软件的病毒库没有收录该病毒的病毒代码，那么这些杀毒引擎就无法分析出这个文件真正的安全性。所以有的时候我们需要换一种其他的方式来进行验证，比如金山毒霸推出的“火眼”系统就非常不错。因为它不是通过病毒库进行文件判断，而是通过对可疑文件的行为来进行分析判断的。

　　运行“金山火眼”的客户端，在弹窗输入金山网络帐号进行登录。连续两次点击窗口中的“分析文件”按钮，在弹出的对话框中选择要分析的可疑文件。当文件成功的上传到云端服务器系统以后，客户端在系统托盘中的图标就会弹出一个气泡，提示用户上传成功以及给出这个文件的MD5等信息。在进行上传的过程中，可以在文件列表中点击鼠标右键，选择其中的“取消上传”命令。需要说明的是，火眼不仅可以分析常见的EXE文件，还可以分析安卓系统的安装包文件。

　　接下来点击“上传历史”按钮，在列表中可以看到所有分析的文件名称，以及该文件的分析进度等内容。一旦文件分析完成以后，在列表的“行为描述”中就可以看到结果。如果用户觉得这样的结果太简单，可以点击鼠标右键选择“查看样本报告”命令，在弹出的网页里面可以看到所有分析出的行为。在每一个行为的下方有一个“行为可疑度”的提示，而且通过不同的颜色来进行表示，比如绿色表示安全而红色不少危险。如果这是一个正常安全的文件的话，在网页报告的下方还可以看到该文件运行后的操作界面。

　　文/万立夫