三、根據(jù)在線的自動分析系統(tǒng)判斷

即使是通過前面兩種方式，仍然有大量的文件無法判斷是正常文件還是木馬。這時可以利用沙盤(沙箱)、虛擬機、已編寫好規(guī)則的HIPS軟件來判斷是否是病毒木馬，但由于通過這些判斷樣本都有較大的難度，同時沙箱有漏沙的危險，HIPS的規(guī)則可能有漏洞。所以這里介紹一個用得較少但更安全，更簡單易行的辦法——在線沙盤(有些又叫在線自動分析系統(tǒng)等)。目前，對公眾開放的只有金山火眼和Comodo Instant Malware Analysis(科莫多即時惡意軟件分析)，由于金山火眼需要邀請碼，故這里只介紹comodo那個。

Comodo Instant Malware Analysis的地址是：http://camas.comodo.com，它自動運行用戶上傳的文件，并記錄該文件運行中的行為，包括文件及文件夾創(chuàng)建、刪除、修改，注冊表鍵及鍵值創(chuàng)建、刪除、修改，驅(qū)動的加載、卸載，加載的模塊，API的調(diào)用，訪問的網(wǎng)址及DNS的修改等，最后得出結(jié)論(Verdict)。其中危險的行為和最終結(jié)果將會被標為紅色。

我們只需要注意其中的紅色部分，特別是結(jié)論，在Comodo Instant Malware Analysis中該項為“Verdict”。

如果文件不安全，“Verdict”下的值就是“Suspicious”，代表這個文件是可疑的，也就是該文件進行了一些只有病毒木馬才會進行的操作，如果文件很危險，后面還會帶上個+號，那么那個文件幾乎可以肯定是病毒木馬。即使沒有+號，那類文件都是很危險的，不建議運行那類文件。

第二種結(jié)果是“Undetected”，即沒有檢測到任何可疑行為，也就是該軟件的所有行為都是正常的，這類文件不可能是病毒，可以放心運行。

第三種結(jié)果是“Unexecutable”，也就是那個文件是不能單獨運行的，如果是單文件，可以放心。

四、其他方法

除了上面這些方法外，還有一些方法，例如利用具有信譽云功能的軟件進行檢查，如卡巴斯基的KSN，諾頓的文件智能分析、360的360閃電云鑒定器等，一般來說，這幾個定為安全(暫無風險、良好等)的文件和使用人數(shù)較多、發(fā)布時間較久的文件幾乎可以肯定是安全的。

上面這些方法都是一些簡單的辦法，幾個結(jié)合起來出現(xiàn)誤判、漏判的可能性雖小，但還是有可能的。最可靠的辦法是給你所使用的反病毒廠商通過發(fā)郵件、打電話等方式要求技術(shù)支持，當然，如果你使用的是免費殺毒軟件，那就只能到殺軟官方論壇上發(fā)帖，請求官方鑒定了。正版用戶發(fā)郵件，最多一天就會有結(jié)果，一般都會在收到郵件后幾分鐘告知已收到郵件，在十來個小時內(nèi)告知對可疑文件的鑒定結(jié)果，如果是可以修復的文件，還會將文件修復后發(fā)給你;打電話的，聽說都會馬上得到技術(shù)支持，一般都是通過QQ之類的進行遠程協(xié)助。免費殺毒軟件發(fā)帖求助，一般會在一兩個小時內(nèi)得到官方人員回復，但對樣本的鑒定時間就難說了，快的一天，慢的就沒消息了。