病毒行为分析手段

Windows下的exe，dll，com等PE型文件都是编译好的CPU可以直接执行的二进制代码，因此我们常规下是无法知道该文件被载入内存的时候具体在干什么事情。但是如果对于可疑文件，我们需要判定他到底是不是恶意软件，还是有几种办法。

1、  静态/动态反汇编技术

该技术很高端，通常不具备高超的技术是无法采用这种手段来分析软件，简单说明一下原理

静态反汇编：通过分析文件地址偏移量，调用API，读取文件，注册表等手段来判定该文件是否为恶意软件，比如一个计算器程序调用了ReadProcessMemory，SendMessage，FindWindowEx，advapi32.dll等，可以判定该文件为恶意软件，因为计算器是不需要去读取其他进程的内存，查找指定窗体并发送消息，也不需要调用读写注册表的API。

动态反汇编：有的时候，程序文件可能是经过加壳，精通反汇编是无法获取到真实文件偏移量，他们只在载入内存的时候，才会将真实的程序代码解密并释放到内存中进行执行，此刻，我们就需要动态反汇编来模拟载入该文件，让他释放出真实代码，并分析他的行为。

2、  沙盘软件虚拟运行

在沙盘中运行可以很轻松的看清程序在执行的时候都在干什么，也是比较首选的判定方式，此法不会对系统造成影响。

3、  虚拟机中进行进程监控

著名sysinternal软件processmonitor，能够在进程运行的时候检测到进程的每一步操作，但是由于日志太多而且专业性强，不是首选的方式。

4、  火眼及软件行为分析

现在有些安全公司提供了在线应用程序行为检测服务，可以直接将需要检测的应用程序上传上去后，网站对此程序进行分析，并将结反馈出来，这个也是首选的方式，常用的在线检测网址如下：

https://fireeye.ijinshan.com/

http://a.virscan.org/