我下载的文件到底安全吗?

我下载的文件到底安全吗?

不知经常从网上下载各种资源的你是否考虑过这个问题:我下载的文件到底真的安全吗?


你可能会说有杀毒软件把关,没有什么好担心的;也可能会说自己平时上网习惯很好,走遍江湖,经验老道。


那句话怎么说来着:淹死的都是会水人,翻车的都是老司机。


要知道,你和你正在用的杀毒软件的判断总有出错的时候,那么有什么简单易行的办法能将查毒结果的准确率提升到最高程度呢?


思路很简单,那就是不能只依赖单个检测结果,而应 多方检测、交叉比对,这样才靠谱。


当然不是让你装一堆杀毒软件,你可以使用在线查毒网站,比如我今天要祭出的神器VirusTotal


什么是 VirusTotal?

VirusTotal

VirusTotal 是 全球最大的免费在线查毒网站,现隶属于 Google 的母公司 Alphabet。有谷歌背书,大家尽可以放心使用。


VirusTotal.com 是一个免费的病毒,蠕虫,木马和各种恶意软件分析服务。它与传统杀毒软件的不同之处是它通过多种防毒引擎扫描文件。使用多种反病毒引擎可以令使用者通过各防毒引擎的侦测结果,判断上传的档案是否为恶意软件。

事实上,没有任何一款软件可以提供 100% 的病毒及恶意软件检测率。它可以通过电子邮件或直接上传的方式分析不大于 128MB 的文件。

VirusTotal.com 曾在 PC World 杂志(美国版)的评选中,荣获 2007 年最优秀的 100 款产品之一的称号。2012 年 9 月 7 日 被 Google 收购。

——引自维基百科


并且最妙的是,VirusTotal 无需挂梯子即可直接访问。


VirusTotal 的使用方法也很简单,只需访问 http://VirusTotal.com并将需要检查的文件拖放到其页面的任意位置上,VirusTotal 就会返回近 70 款杀毒软件对该文件的扫描结果。在如此多的杀毒软件的把关之下,想出差错都难


如何最简捷地使用 VirusTotal?


将浏览器的主页按钮设置为 VirusTotal.com,或者将 VirusTotal.com 存为书签。 这样一来,每当我们从网上下载文件后,就能以最快的速度访问 VirusTotal 并将文件拖放进去。


演示


「下载文件 → 打开 VirusTotal → 拖放文件」的流程形成肌肉记忆后,你的上网体验将会前所未有地安全。


如何分析 VirusTotal 的扫描结果?


由于不同杀毒软件对同一个文件的安全性有着不同的判断,一个安全的文件(比如真正的破解器)有可能会被很多杀毒软件判定为危险,而一个危险的文件(比如广告软件)也有可能会被很多杀毒软件判定为安全。


这下我们该怎么办才好呢?这时,我们可以将注意力重点放在 ESET 和 Kaspersky 这两家实力强劲但报毒风格不太一致的业界顶级杀毒软件上。借助这个表格,你可以非常轻松地判断出文件的本质:


知阳总结的 VirusTotal 分析方法


这张图之所以将判断的重点放在了破解资源(包括游戏外挂)上,是因为这类文件往往是各种病毒伪装的对象。ESET Kaspersky 对于真正有害的文件都有着近乎相同的态度,但是前者更倾向于明确指出破解器和游戏外挂本身的性质,比如 HackTool PUA,而后者更倾向于将这类灰色软件标记为安全。因此,综合考量两家杀毒软件的共性和差异,就可以八九不离十地判断出文件的庐山真面目了


此外,VirusTotal 还会计算出文件的特征值(MD5、SHA-1 和 SHA-256)并核查其数字签名的状态。 将这两个信息与文件官方提供的特征值和数字签名信息做比对,我们就能知晓这个文件在传播的过程中是否遭到恶意篡改。


文件特征值
文件数字签名


最后,VirusTotal 还有一套评分机制VirusTotal 的注册用户可以对一些误报情况较为严重的文件给出自己的看法,「赞」和「踩」的比例可以让我们的判断更加准确。


社区评分

案例演示(一)


先从网上找个 Office 激活器试试:


激活器的扫描结果


虽然 67 个杀毒软件中有 43 个认为它不安全,但是社区评分很高,有正数 70 分。


ESET 扫描激活器的结果


ESET HackTool.IdleKMS,明确指出它是 KMS 激活器。


Kaspersky 扫描激活器的结果


Kaspersky not-a-virus,明确指出它并不是病毒。


综上所述,我们可以认定这个文件的确是真正的 Office 激活器,而不是假冒成这款激活器的病毒或者木马


案例演示(二)


再从网上找个软件试试:


勒索软件的扫描结果


68 个杀毒软件中有 47 个认为它不安全,并且它的社区评价也很差劲,只有零下 50 分。


ESET 扫描勒索软件的结果


ESET Filecoder,明确指出它会加密文件。

Kaspersky 扫描勒索软件的结果


Kaspersky Trojan Ransom,明确指出它是个会勒索赎金的木马。


综上所述,我们可以认定这是个危险的勒索软件,必须赶紧删掉它


结语

在这个混乱的网络世界中,单凭自己的头脑或是单一的杀毒软件来判断文件的善恶是远远不够的。借助 VirusTotal 综合考量大量杀毒软件和大量网友的意见,并辅以自己清醒冷静的头脑分析,即可将风险降到最低。


愿本文所述的技巧能让你今后在网上的驰骋更加安全,更加安心!

编辑于 2019-08-16

文章被以下专栏收录