如何制作病毒分析仪？

Question

想要创建一个程序，可以检查一个文件并给出关于文件是否受感染的输出，还需要知道该文件有什么样的感染(例如:特洛伊木马、蠕虫等)。

有没有一种方法可以使用java或python创建这样的分析器而不使用API？

Answer 1

在回答你的问题之前，我想澄清一件事，恶意软件是指(恶意软件)，包括木马、病毒、蠕虫等。

在回答你的问题时，恶意软件分析是一个很大的课题。做这样一个程序是非常困难的，你需要成为一个恶意软件分析师来理解不同的恶意软件是如何工作的，如何分析它们并理解它们的恶意行为。

您的程序应该能够识别该文件是否已打包，如果是的话，它应该用正确的工具解压它，识别任何恶意行为和许多其他需要考虑的事情。

如果您决心要执行该程序，我建议您阅读实用恶意软件分析书籍，了解恶意软件分析是如何工作的，然后您可以开始构建您的程序时，您的程序应该如何工作，以及它应该做什么。

希望这会有所帮助:)

Answer 2

但是，如果我想这样做的话，这个问题可能更适合于堆栈溢出：

• 我将从重新安装操作系统开始，并获得硬盘上每个文件的md5 & sha256哈希，以便将已知的好文件与潜在有害的文件进行比较。当连接新媒体(如CD或Thumbdrive)时，还需要触发扫描。
• 我将查找OS的API，查找访问文件的事件，并尝试在这些文件加载到内存和/或创建/修改这些文件时扫描它们。
• 我会查找OS的API中访问网络地址的事件。

在编写了一个服务以预先形成上述所有三个步骤之后，我将使用结果创建一个白色列表，列出已知的好文件、已知的坏文件和用户修改的文件，这些文件可以任意选择。然而，来自一台计算机的信息并不是那么有用.从更大的用户群中获得这些相同的统计数据，以获得更准确的好与坏视图会好得多。

现在，考虑到我上面列出的所有事情.我不会写我自己的防毒软件.出于同样的原因，我不写我自己的密码。这些东西最好留给专业人士，他们每天都能得到反工程师病毒和恶意软件的报酬。

但是，如果您真的想学到更多，通过查看OpenSource项目的代码(如ClamAV )，可能会更容易。