4

Я использую Windows XP на виртуальной машине. Я хочу скачать несколько приложений и установить одно за другим и проверить, не являются ли они потенциально вирусными. Я предполагаю, что вирус должен будет что-то добавить в папку автозагрузки, или приложение в разделе автозагрузки в реестре, или добавить службу. Что еще это может сделать, чтобы стать активным?

В любом случае, как я могу проверить, может ли программа быть вирусом? Я использую этот способ, чтобы получить список процессов, и просто сравниваю его до установки и с последующим, чтобы узнать, есть ли что-то другое. Это достаточно хорошо? Моя основная операционная система - Windows 7, но у меня ее нет в виртуальной машине, и я не вижу смысла проверять это.

4 ответа4

4

Работать с подозрительными файлами нелегко, первым делом советую использовать альтернативный безопасный источник.

Однако, если вы хотите проверить файл на виртуальной машине, вот несколько хороших инструментов:

Многофункциональный System Explorer:

  • Осмотреть систему: процесс, запуск, услуги, ...
  • Проверьте файлы с помощью Virus Total, Virus Jotti и его собственной базы данных.
  • Создание снимков для сравнения до / после изменений диска и реестра

Другие полезные инструменты:

  • Антивирус: в соответствии с последними про-активными (эвристическими) тестами av- Сравнения, Microsoft Security Essentials (бесплатное программное обеспечение) и Kaspersky (платное программное обеспечение) являются лучшими выборками (Avira также имеет высокий уровень обнаружения, но также имеет высокий уровень ложных срабатываний)
  • HIPS (система предотвращения вторжений на основе хоста): ThreatFire (или WinPatrol, MJ Registry Watcher)
  • Брандмауэр: Comodo (или онлайн броня)
  • Инспекторы сетевых подключений: CurrPorts (или TCPView)
  • Сканер руткитов: Gmer (или RootkitRevealer менее мощный, но более простой в использовании)
  • Онлайн, анализ поведения: Anubis (или CWSandlox, ThreatExpert, Norman Sandbox)
  • Контрольные суммы файлов (Google наиболее распространенных: MD5, SHA-1): HashCalc
  • Svchost analyzer

Но, наконец, единственный способ убедиться в этом - это разобрать программное обеспечение и понять ассемблерный код, что является очень сложной задачей. Итак, вернемся к первому совету ...

3

Одного мониторинга процессов недостаточно. Вредоносные программы могут присоединяться к запущенным процессам, поэтому вы не заметите разницы.

Может, установить антивирус в ВМ? Avira имеет бесплатную версию, которая должна соответствовать поставленной задаче. Если вы не хотите устанавливать что-либо, возможно, вам подойдет онлайн-сканер .

2

Постобнаружение не очень полезно; Вирус, скорее всего, сразу же связывается с вашей системой, и вы не хотите, чтобы возникла такая проблема (чрезмерное дублирование процессов, удаление значков в файлах .exe, повторные системные ошибки без видимой причины, загруженное подключение к Интернету) . ...)

Наилучшая защита - это предотвращение: избегайте ненадежных источников, таких как общедоступные одноранговые узлы, хосты для бесплатной загрузки (rapidshare и т.д.), Прямые ссылки в блогах и вложения электронной почты. Хотя некоторые сайты для поиска программного обеспечения являются законными, некоторые, безусловно, нет - если вы найдете что-то интересное, найдите сайт автора и загрузите его оттуда!

Попробуйте программное обеспечение песочницы, чтобы запустить приложение без возможности вносить нежелательные изменения. Тестовая виртуальная машина без доступа на запись к вашим основным дискам остается надежным способом проверки чего-либо без необходимости связываться с правами - вы можете действительно позволить это в дикой природе.

Наконец, старый добрый скан вирусов и шпионских программ никогда не повредит ...

1

Как я могу проверить, может ли программа потенциально быть вирусом?

Если у вас нет установленного программного обеспечения для постоянной защиты, есть другие способы сканирования файлов, например, с помощью превосходного сканера командной строки A-squared, который является бесплатным (для личного использования) и портативным.

Кроме того, многие источники загрузки предоставляют информацию о контрольной сумме или хэш-сумме, чтобы можно было проверить целостность файла.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .