Глубокая проверка файлов на вирусы!
Введение
Всем привет, каждый кто скачивал читы/программы/другой софт думал: "А нет ли в программе вируса?". Конечно же они могут быть, каждый день кто лазит по сайтам с софтом может наткнуться на подобные программы содержащие вредоносный код, который будет майнером/клипером/выкупом или ransomware (почти одно и тоже), и поэтому, для тех кто боится скачивать софт из интернета и боится за свою конфиденциальную информацию, то эта статья для вас, чтобы вы сделали глубокий анализ и убедились что файл чист. Так как не каждый сможет разобрать файл на код и посмотреть, что он содержит, ведь по сути - код программы закрыт.
Начнем !
Сайты, которые мы будем использовать для разбора файла:
1) app.any.run
2) hybrid-analysis.com
3) opentip.kaspersky.com
4) virustotal.com
5) vms.drweb.ru/scan_file/
Для примера мы будем использовать AIO (Checker), кряк которого был слит в lolza. (Я не несу ответственности, если вы запустите его на своей основной машине и с ним что-то случится)
1) Скачайте наш файл
2) Достаем наш файл из архива:
3) Сначала нужно выяснить, содержит ли сам файл вредоносный код, поэтому загрузите его на https://virustotal.com.
Забавно, но на данный момент многие пользователи уже отказались от загрузки, но мы спишем все на «КРЯК».
4) После получения результата заходим в app.any.run и проверяем, работает ли сам файл.
Во-первых, на нем нужно зарегистрироваться, ничего сложного там нет, поэтому объяснять как это делать не буду.
После регистрации нажмите здесь:
Далее тыкаем сюда, после открытия меню:
У нас должно получиться такое меню:
Нажмите «Загрузить» и загрузите наш файл, который мы изучаем. Далее, как видим, загружается чекер:
Сейчас показываю оптимальные настройки, которые вы выставили, все должно быть так:
Нажмите Запустить общедоступный тест:
Соглашайтесь и ждите загрузки. Затем ваш файл автоматически откроется, и вы увидите, что он делает:
Если программа работает стабильно и рядом с названием программы нет значков, например: stealer / trojan / redline, а также файл не отмечен красным цветом, значит файл прошел тест app.any.run на 100 процентов. Кроме того, посмотрите, что файл сделал на виртуальном компьютере, просто щелкните его правой кнопкой мыши, и выйдет следующее:
5) Ладно, вредоносной активности не было, продолжаем анализ. Если app.any.run что-то нашел, значит, это вирус и продолжать анализ бессмысленно. Вот пример из app.any.run, который показывает работу стилизатора красной линии:
6) Далее заходим на сайт https://www.hybrid-analysis.com и загружаем наш файл:
После скачивания файла вылезет меню, которое заполняем и жмем Продолжить.
Можете поставить любую почту, она нам не нужна. Далее появится такое меню (обязательно выберите все как на скриншоте):
Затем перейдите в Параметры времени выполнения и снова выберите все, как я:
Затем нажмите Generate Public Report и дождитесь результата, а затем изучите его:
Как мы видим, он не проходит тест и набирает 100/100.
Далее заходим на сайт https://opentip.kaspersky.com и загружаем туда наш файл. После загрузки нажмите Analyze:
Ждем загрузки:
Странно, но тест от Касперского программа проходит:
Теперь ждем от них более глубокого анализа:
Как видим, вредоносных действий программа не производила, что видно из панели также на app.any.run:
5) И последний шаг, заливаем наш подопытный на сайт https://vms.drweb.ru/scan_file , либо просканируем любым другим антивирусом и получаем следующий результат:
Далее мы собираем и рассматриваем всю информацию об этом файле, анализы, которые мы получили. Скорее всего, антивирус жалуется на взлом, но, конечно, в него может быть встроено вредоносное ПО. И делаем вывод: лучше запускать на виртуальной машине, или на RDP (Dedicated Server).
Это все! Удачи!
Введение
Всем привет, каждый кто скачивал читы/программы/другой софт думал: "А нет ли в программе вируса?". Конечно же они могут быть, каждый день кто лазит по сайтам с софтом может наткнуться на подобные программы содержащие вредоносный код, который будет майнером/клипером/выкупом или ransomware (почти одно и тоже), и поэтому, для тех кто боится скачивать софт из интернета и боится за свою конфиденциальную информацию, то эта статья для вас, чтобы вы сделали глубокий анализ и убедились что файл чист. Так как не каждый сможет разобрать файл на код и посмотреть, что он содержит, ведь по сути - код программы закрыт.
Начнем !
Сайты, которые мы будем использовать для разбора файла:
1) app.any.run
2) hybrid-analysis.com
3) opentip.kaspersky.com
4) virustotal.com
5) vms.drweb.ru/scan_file/
Для примера мы будем использовать AIO (Checker), кряк которого был слит в lolza. (Я не несу ответственности, если вы запустите его на своей основной машине и с ним что-то случится)
1) Скачайте наш файл
2) Достаем наш файл из архива:
3) Сначала нужно выяснить, содержит ли сам файл вредоносный код, поэтому загрузите его на https://virustotal.com.
Забавно, но на данный момент многие пользователи уже отказались от загрузки, но мы спишем все на «КРЯК».
4) После получения результата заходим в app.any.run и проверяем, работает ли сам файл.
Во-первых, на нем нужно зарегистрироваться, ничего сложного там нет, поэтому объяснять как это делать не буду.
После регистрации нажмите здесь:
Далее тыкаем сюда, после открытия меню:
У нас должно получиться такое меню:
Нажмите «Загрузить» и загрузите наш файл, который мы изучаем. Далее, как видим, загружается чекер:
Сейчас показываю оптимальные настройки, которые вы выставили, все должно быть так:
Нажмите Запустить общедоступный тест:
Соглашайтесь и ждите загрузки. Затем ваш файл автоматически откроется, и вы увидите, что он делает:
Если программа работает стабильно и рядом с названием программы нет значков, например: stealer / trojan / redline, а также файл не отмечен красным цветом, значит файл прошел тест app.any.run на 100 процентов. Кроме того, посмотрите, что файл сделал на виртуальном компьютере, просто щелкните его правой кнопкой мыши, и выйдет следующее:
5) Ладно, вредоносной активности не было, продолжаем анализ. Если app.any.run что-то нашел, значит, это вирус и продолжать анализ бессмысленно. Вот пример из app.any.run, который показывает работу стилизатора красной линии:
6) Далее заходим на сайт https://www.hybrid-analysis.com и загружаем наш файл:
После скачивания файла вылезет меню, которое заполняем и жмем Продолжить.
Можете поставить любую почту, она нам не нужна. Далее появится такое меню (обязательно выберите все как на скриншоте):
Затем перейдите в Параметры времени выполнения и снова выберите все, как я:
Затем нажмите Generate Public Report и дождитесь результата, а затем изучите его:
Как мы видим, он не проходит тест и набирает 100/100.
Далее заходим на сайт https://opentip.kaspersky.com и загружаем туда наш файл. После загрузки нажмите Analyze:
Ждем загрузки:
Странно, но тест от Касперского программа проходит:
Теперь ждем от них более глубокого анализа:
Как видим, вредоносных действий программа не производила, что видно из панели также на app.any.run:
5) И последний шаг, заливаем наш подопытный на сайт https://vms.drweb.ru/scan_file , либо просканируем любым другим антивирусом и получаем следующий результат:
Далее мы собираем и рассматриваем всю информацию об этом файле, анализы, которые мы получили. Скорее всего, антивирус жалуется на взлом, но, конечно, в него может быть встроено вредоносное ПО. И делаем вывод: лучше запускать на виртуальной машине, или на RDP (Dedicated Server).
Это все! Удачи!
