随着计算机及电子信息技术的飞速发展，病毒和木马的伪装越来越深，相应的，反病毒软件作为电脑的守护神，也在不断地识破这些病毒的各种伪装。而这群终日和病毒打交道，同黑客斗法的人就是真正的安全守护神——病毒分析师。病毒分析师的职业需求1.较强的汇编语言知识及高级语言代码编写能力2.对Windows系统体系结构及底层有所了解3.WindowsPE文件构型4.熟练使用诸如OD、IDA等工具对文件进行脱壳解密和逆向分析病毒分析需要多种技术知识融合才能达到一个比较高的境界，但每个步骤都需要我们有一定的专业知识做基础才能有所扩展，而且知识的入门阶段往往会晦涩难懂，略显枯燥，经常会有没有任何进步的感觉，但一定要有明知山有虎，偏向虎山行的精神。举个例子：学习汇编知识，大家都知道，汇编是机器语言的一种表示方法，虽然有较机器语言好的可读性，但是学习过程中一般会经历，一点都看不懂，能看懂但自己写不出来，能写一些简单的过程，最后达到精通。但是当你精通了汇编，后面的脱壳等步骤可能就会有柳暗花明的感觉，很容易上手，多加练习即可。就像之前提到过的，病毒的发展是日新月异，时刻不停的，那么反病毒工作也必须夜以继日，这样才能尽可能地让大多数人在安全的环境下使用电脑，尽可能地减少计算机犯罪的发生以及用户信息和财产的丢失。看病毒分析师如何“解剖”病毒一切都从折腾电脑开始我和大多数我这个年龄段的人接触电脑的过程差不多，从红警、HYPERLINK"http://mydown.yesky.com/soft/other/others/179/442179.shtml"\t"_blank"QQ等开始接触计算机，后来大学选择了计算机专业，大学阶段主要给自己补充了计算机相关知识原理的基础部分，对能够影响计算机的各种病毒产生了浓厚的兴趣。为什么同样是程序(病毒也是一段程序)，病毒却能够达到这么大的破坏力呢？起初我对于病毒也和大多数人一样，仅限于说自己或朋友的机器中毒了，会去参谋怎么手工修复，也就是看看HYPERLINK"http://mydown.yesky.com/soft/utilitie/systems/18/407518.shtml"\t"_blank"进程管理器，改改注册表之类的，而且最重要的是常常弄到最后，灰头土脸地发现重装系统才是正道……后来工作中接触了病毒才发现，其实当时的操作也算是一种正确的努力，只不过缺少专门的工具和发现解决问题的经验。当时的折腾也给我带来了浓厚的兴趣和不屈不挠的钻研精神，而这正是这份工作需要的，因为这个工作要面对枯燥代码。我这样进行病毒分析病毒分析其实跟很多软件的白盒HYPERLINK"http://product.yesky.com/saas/cs/"\t"_blank"测试相同，需要在虚拟系统的环境下对病毒发挥作用时影响到的位置进行监测，并对病毒最后造成的效果进行评估。这中间就会用到虚拟机去模拟病毒运行的环境，用监测软件对虚拟机中受病毒影响的位置进行监控，针对有加壳的病毒(换句话说就是病毒的变种)使用脱壳软件进行脱壳，然后使用反编译软件对病毒的编码进行破解，下面就是一个标准的病毒分析流程。第一，在虚拟机中模拟它的运行，但有时必须是在真机上，因为某些病毒狡猾无比可以检测是否在虚拟环境下运行。此过程中我们要从以下几个方面进行检测获取相应信息：1.文件系统的变化，即与样本运行前相比，系统是否增减了某些文件，一些原有文件是否有被修改的痕迹，注册表的修改痕迹。2.进程变化，即样本运行后进程中是否出现某些可疑进程。3.网络链接监控，检查进出系统的数据包是否异常。4.API调用，其实就是样本与HYPERLINK"http://product.yesky.com/os/"\t"_blank"操作系统的交互，程序希望系统完成什么任务。以上可称之为主动检测，即主动获取系统变化。常用HYPERLINK"http://mydown.yesky.com/soft/utilitie/systems/135/440135.shtml"\t"_blank"ProcessExplorer、HYPERLINK"http://mydown.yesky.com/soft/197/197810.html"\t"_blank"Filemon、HYPERLINK"http://mydown.yesky.com/soft/network/netassistant/133/441633.shtml"\t"_blank"TracePlus/Win32、HYPERLINK"http://mydown.yesky.com/soft/network/netassistant/309/443309.shtml"\t"_bla