VirusTotal的進擊

一直以來 VirusTota1都是檢測惡意程式的好幫手。透過 VirusTotal 可以一次透過多達 50 多套的掃毒引擎檢測，讓惡意程式無所遁形。

然而使用 VirusTotal 有個限制，那就是 VirusTotal本身是線上服務，因此使用者必須要自己將疑似惡意的檔案上傳，才能檢測。可是對於絕大部分非專業的電腦用戶而言，到底有哪些檔案是需要檢測的呢？

在 Windows 環境中，想要知道有哪些程式正在執行，除了內建的工作管理員外，另一個最常見的選擇是微軟免費提供的 Process Explorer2。Process Explorer 堪稱豪華版的工作管理員，透過 Process Explorer可以進一步瞭解程式執行的狀態。而 Process Explorer 到了第 16 版之後，更提供了一個殺手級的功能 – 整合 VirusTotal。啟用方式非常簡單，只需要勾選「Options」選單中「VirusTotal.com」選單下的「Check VirusTotal.com」即可。在啟動該選項後，Process Explorer 就會針對每個執行中的程式顯示其 VirusTotal 上的病毒掃描結果，甚至連程式載入模組的掃描結果都有。

而除了 Process Explorer 外，另一個好用的工具 – Autoruns3也在 13 版之後支援用 VirusTotal 的檢測。Autoruns 是一個用來檢測 Windows 開機時會自動載入哪些程式項目的工具。如果惡意程式的啟動方式跟作業系統開機項目有關，則透過 Autoruns 將可輕鬆找出有問題的開機項目。然而作業系統開機時的啟動項目多如牛毛，到底哪些項目是有問題的？透過 Autoruns 整合 VirusTotal，使用者將可更快、更輕鬆的識別有問題的開機項目。如要啟動該功能，只需要在「Options」選單、「Scan Options」選項中勾選「Check VirusTotal.com」即可。

除了上述兩個工具可以整合 VirusTotal 檢測檔案外，微軟的另一個小工具 – Sigcheck4也整合了 VirusTotal。Sigcheck 是一個用來檢查 Windows 執行檔是否含有數位簽章的工具。一般而言，有簽章的執行檔，風險較低。不過由於這幾年各大科技廠簽章憑證被盜用的新聞不斷。因此現在含有簽章的執行檔，特別是驅動程式，其風險也都不低。而如何快速的檢測這些檔案，也就成為頭痛問題。不過所幸 Sigcheck 也支援整合 VirusTotal，因此在檢查數位簽章的同時，也可以透過 VirusTotal 檢測該檔案。使用的方式很簡單，只需要在執行 Sigcheck 時，加上 –v 參數即可。

1.https://www.virustotal.com/
2.Process Explorer: https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3.Autoruns:https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
4.Sigcheck:https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx

您可在下列課程中了解更多技巧喔！

相關學習資源

【CEH】EC-Council CEH駭客技術專家認證課程
【ECSA】EC-Council ECSA資安分析專家認證課程