病毒樣本的處理，是計算機維護人員常遇到的問題，那么在處理病毒樣本時，應該遵循哪些規范的處理過程，要做哪些準備？我們在本篇文章中將會一一介紹給大家。

一、預處理

所有樣本作了一系列預處理，去除了重復文件、多數殺毒軟件不能識別的文件、同一種病毒感染出的多個文件、和被誤報的文件，詳細步驟如下。

1、經過專用程序生成CRC32、MD5簽名數據庫，剔除重復文件;

2、經過測試前病毒掃描，不能夠同時被三種及以上不同查毒軟件報告出病毒的文件剔除;

3、通過全球最大專業的誤報和Joke程序數據庫，盡可能剔除樣本中可能被誤報的非病毒文件;

4、通過病毒命名交叉索引數據庫，盡可能保證樣本中每一種病毒在被多種殺毒軟件報作相同病毒時只保留一個樣本文件。

二、分類

樣本文件分為基本樣本、打包樣本和加殼樣本，分類情況如下

1、全部文件經手工檢查分類，詳細記錄文件日期、長度;

2、經多數殺毒軟件監測后，按照前綴分類法放入不同的目錄;

3、有較多爭議和沒有前綴的歸入子類別的其他。

最后基本樣本分為37大類共246子類。

三、加殼與打包

1、基本樣本盡可能沒有被打包或加殼

2、打包的樣本在打包前能夠被多數殺毒軟件識別

3、加殼的樣本在加殼前能夠被多數殺毒軟件識別

4、打包和加殼的層數只有一層

5、打包和加殼的時候使用所有歷史版本(如upx 1.0-2.9共359個版本)處理后，然后剔除結果重復文件

6、加殼的時候每種版本使用所有的格式(如upx 2.9共支持10種格式)處理后，然后剔除結果重復文件

Upx 2.x 支持的格式atari/tos、djgpp2/coff、dos/com、dos/exe、dos/sys、linux/386、rtm32/pe、tmt/adam、watcom/le、win32/pe

7、打包的時候每種版本使用所有的壓縮方法(如rar 3.61共支持6種方法)、所有的自解壓格式處理后，然后剔除結果重復文件

Winrar 3.x 支持的壓縮方法:存儲、最快、較快、標準、較好、最好;自解壓格式包括:win界面、控制臺、DOS、Linux自解壓

8、由于多數殺毒軟件出現將加殼后的文件直接報作病毒，而且報告中不明確是否脫殼，在統計時將這種“支持查出這種病毒”情況視為“支持此種加殼格式”。

四、樣本匯總

1、最后樣本文件1,126,464個，其中打包格式文件27296個，加殼格式文件287138個，基本樣本812030個。

2、分布在E、F盤2145個子目錄中，占據硬盤空間760G

3、每個文件平均大小約600K，NTFS分區的單元大小為4K

責任編輯 趙毅 zhaoyi@51cto.com TEL:（010）68476636-8001