Як перевірити, чи може програма потенційно бути вірусом?

4

Я запускаю Windows XP у віртуальній машині. Я хочу завантажити кілька програм і встановити по черзі і перевірити, чи потенційно вони можуть бути вірусом. Я припускаю, що вірусу потрібно буде щось додати до папки запуску або програми у розділі запуску в реєстрі або додати послугу. Що ще може зробити для активізації?

У будь-якому випадку, як я можу перевірити, чи може програма бути вірусом? Я використовую це викрадення, щоб отримати список процесів, і я просто порівнюю його до того, як я встановив його після, і побачити, чи є щось інше. Це досить добре? Моя основна ОС - це Windows 7, але я не маю цього у віртуальній машині і не бачу причин тестувати це.

— Пітер Мортенсен
джерело

4

Майте на увазі, що визначити, чи є програма вірусом, чи ні, це по суті рівне проблемі, що зупиняється: її можна вирішити в особливих випадках, і ви можете бути досить впевненими у багатьох інших випадках, але це, звичайно, неможливо.

— Девід Торнлі

4

Дійти з підозрілими файлами непросто, перше, що потрібно порадити - скоріше використовувати альтернативне захищене джерело.

Однак якщо ви хочете протестувати файл у віртуальній машині, ось кілька хороших інструментів:

Все в одному System Explorer:

Огляньте систему: процес, запуск, послуги, ...
- або Sysinternals Autoruns , ProcessExplorer , Монітор процесів
Перевірте файли за допомогою Virus Total, Virus Jotti та власної бази даних
- або Всього завантажувача вірусів
Створіть знімки для порівняння до / після змін диска та реєстру
- або SpyMe Tools , WhatChanged

Інші корисні інструменти:

Антивірус: згідно з останніми про-активними (евристичними) тестами av-comparatives Microsoft Security Essentials (безкоштовна програма) та Kaspersky (програмне забезпечення) - найкращі вибори (Avira теж має високий показник виявлення, але також має високий показник помилкової тривоги)
HIPS (Система запобігання вторгнень на основі хоста): ThreatFire(або WinPatrol , реєстр реєстрів MJ )
Брандмауер: Comodo(або Інтернет-броня )
Інспектори мережевих з'єднань: CurrPorts(або TCPView )
Сканер Rootkit: Gmer(або RootkitRevealer менш потужний, але простіший у використанні)
Інтернет, аналіз поведінки: Anubis(або CWSandlox , ThreatExpert , Norman Sandbox )
Файлові контрольні суми (google найпоширеніші: MD5, SHA-1): HashCalc
Svchost analyzer

Але в кінці кінців , єдиний спосіб бути впевненим, щоб розібрати програмне забезпечення і розуміти код асемблера, дуже вимоглива завдання. Тому поверніться до першої поради ...

— флюксенду
джерело

3

Самого моніторингових процесів недостатньо. Шкідливі програми можуть приєднатися до запущених процесів, щоб ви не помітили різниці.

Можливо, встановіть антивірус у віртуальній машині? Avira має безкоштовну версію, яка повинна відповідати цьому завдання. Якщо ви не хочете нічого встановлювати, можливо, онлайн-сканер був би більш підходящим.

— Джон Т
джерело

Я переживаю, що антивірус не визнає його вірусом.

АВ, які використовують евристику, як правило, краще в цьому. Вони намагаються підхопити підозрілу поведінку, а не лише використовувати вірусну базу даних для порівняння. Я вважаю, що Авіра використовує евристику. Якщо вам справді страшно, ви можете запускати такі програми в пісочниці з sandboxie ( sandboxie.com ).

— Джон Т

@ acidzombie24 Якщо антивірус не розпізнає його, то чому б це зробити?

— ceejayoz

@ceejayoz, тому що він розумніший за програму

— fluxtendu

@fluxtendu І все-таки жорстоке примушення б'є Гарі Каспарова в шахи. Те саме стосується вірусів, як правило, - так багато різновидів, які роблять так багато речей, використовуючи стільки підступних методик, що антивірус, швидше за все, буде набагато кращим для їх лову.

— ceejayoz

2

Після виявлення не дуже корисно; вірус, швидше за все, зіпсується з вашою системою, і ви не хочете потрапляти до такої важкої проблеми (надмірно дублювання процесів, позбавлення значків у файлах .exe, повторні системні помилки без причини приводу, напружене підключення до Інтернету . ...)

Найкраща безпека - це запобігання: уникайте недостовірних джерел, таких як громадський одноранговий-2-peer, безкоштовні хости завантаження (rapidshare тощо), прямі посилання на щоденники та вкладення електронної пошти. Хоча деякі веб-сайти з пошуку програмного забезпечення є законними, деякі з них точно не є - якщо ви знайдете щось цікаве, відвідайте веб-сайт автора та завантажте звідти натомість!

Спробуйте пісочне програмне забезпечення для запуску програми без можливості вносити небажані зміни. Тестовий VM без доступу до записів на ваші основні диски залишається надійним способом тестувати щось, не маючи возитися з правами - ви дійсно можете пускати його в дику природу.

Нарешті, стара стара перевірка вірусів / шпигунських програм ніколи не шкодить ...

— mtone
джерело

Ось чим я займаюся, окрім використання VMware в якості моєї VM замість пісочниці. На даний момент є додатки, які я хочу використати на своїй головній машині, тому це питання полягає в тому, щоб дізнатися, як я можу перевірити перед переміщенням. Тож ви рекомендуєте просто використовувати антивірус? Я здогадуюсь, я отримаю деякі і просто просканую їх у своєму ВМ, щоб моя основна система не стала повільною.

1

Як я можу перевірити, чи може програма потенційно бути вірусом?

Якщо у вас не встановлено програмного забезпечення для захисту резидентів, існують інші методи сканування файлів, наприклад, з відмінним сканером командної лінії A-kvadrat , який є безкоштовним (для особистого використання) та портативним.

Крім того, багато джерел завантаження надають інформацію про контрольну суму або хеш-суму, щоб цілісність файлу була перевірена.