1. 使用杀毒软件

这不是废话吗，在我们正式开始自己的探索之前，先让我们相信一下，“医生”的判断。
总所周知，杀毒软件存在着误报，漏报等多种不可靠情况。接下来，我要告诉你的是如何通过正确姿势，尽可能的避免之前所说的问题。

1.1使用多种杀毒软件

我们很难在一台电脑上装多款杀毒软件，否则你很有可能使PC丧失基本的工作能力。
但是得益于网络的发展，我们有各种各样的工具，可以提供多种杀软的报毒结果。

• VirusTotal
  VT作为全球最大的在线病毒分析平台，可以提供多达70家杀毒软件的报毒结果。
  VirusTotal报毒结果
  报毒结果点我
  然而我要说的是，介于某些杀软的报毒结果是抄别家等情况。我们仅需要重点关注几家杀软的报毒结果即可。

1. ESET-NOD32
2. Microsoft Kaspersky（卡巴斯基）
3. BitDefender Tencent Qihoo-360 等

对于一个报毒名，通常会包含主类型，家族名以及变种号。

遇到下面这些以及其他有明确描述的主类型，一般误报的可能性很小。

1. Virus(感染型)
2. Worm(蠕虫)
3. Ransom(勒索)
4. Backdoor(后门)
5. Downloader(下载者)

针对上述样本，具体分析如下

1.Eset

其中可以看到，ESET报毒名为
a variant of Win32/Packed.FlyStudio potentially unwanted
主类型为 Win32/Packed
家族名为 FlyStudio
无变种号。
其中FlyStudio是Eset对于易语言程序的别称，无论是否为病毒，只要是易语言基本都会有这个报毒名。所以对于我们没有参考价值。

2.卡巴斯基 与 微软

Kaspersky报毒名为：not-a-virus:RiskTool.Win32.FlyStudio.dtk
同样没有参考价值，只是没有参考价值，并不能排除不是病毒的可能。

Microsoft 报毒名为：
Trojan:Win32/Occamy.C
主类型为Trojan:Win32
家族名为Occamy
感叹号后面的字符串是变种号：C
看到微软的这个报毒名，就要小心了，虽然不能明白具体是什么样的病毒，但是是病毒的可能性大大提升了。

3. BitDefender 360

接下来再看BitDefender。
Generic.Keylogger.2.7E2302DA
Generic的意思，一般是说这个是通过计算hash入库的，这种一般都很稳的。
Keylogger，字面意思，键盘记录。
看到这里，再结合40家的爆出率，基本就可以不用看了，病毒无误了。

360
HEUR/QVM11.1.CC2D.Malware.Gen
360的报毒名是最没用的了~什么有用的信息你也看不出来,其实讲道理，这个样本是我前几天就传了的，我没刷新VT报毒结果之前(详见PS)，他是没报毒的...

结论：是病毒，废话T_T

其他类似的网站（包括带有在线行为分析的网站）

微步在线
魔盾安全分析
腾讯哈勃
等等
再推荐一个好使的软件，可以快速看到文件的各类信息，以及VT结果等。
PPEE

image.png

VT里没有火绒，不过火绒的误报率还是很低的,可信度非常高。尤其是中国市场。起码不会把所有易语言都报毒。2333

作为小白，我们要相信杀毒软件，误报是极其少数的情况，为了你的财产安全，隐私安全，

请点阻止。

PS：
如果是以前上传过的样本，VT不会重新分析，而会使用之前的结果，你需要使用VT自带的刷新功能，重新查看当前时间的报毒情况。
上文以1月31号的报毒结果为准。

2. 使用火绒剑等行为监控工具运行或参考在线的行为分析网站

3. 提取字符串

emmmmm，不想写了，笔者语文水平太差，而且懒癌犯了。溜了。