При работе с файлами, загруженными из сети Интернет, особенно если это исполняемые файлы (инсталляторы, архивы и пр.), необходимо выработать привычку обязательно проверять безопасность таких файлов. Поэтому хотелось бы поговорить о бесплатных онлайн (и не только) инструментах проверки безопасности файлов.
1. Популярный сервис Virustotal .com - бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Достаточно переместить или загрузить файл, и сервис просканирует его более чем тридцатью антивирусными движками, а по итогу выдаст сводный отчет – результат сканирования.
Рекомендуем обратить внимание на вкладку Details , а именно блок проверки цифровой подписи разработчика Signature Verification . В случае если разработчик проставил подпись и она корректна, то статус данного поля будет иметь значение «Signed file, valid signature». Так же рекомендуем посетить вкладку Community . Часто бывает, что пользователи сервиса дают ценные замечания касательного проверяемого файла.
В случае если вы не можете принять решение на основании работы сервиса Virustotal.com, то необходимо проводить дополнительные исследования.
1. Сервис H ybrid-analysis.com – представляет собой более мощную онлайн площадку для исследования файлов, так как помимо антивирусных проверок Virustotal, а также CrowdStrike Falcon, MetaDefender проверяет файл в онлайн песочнице. Для этого после загрузки файла необходимо выбрать среду для выполнения файла:
После нажатия «Создать открытый отчет» файл передается в песочницу. Через некоторое время на вкладке Falcon Sandbox Reports на главной странице, становится доступен отчет выполнения файла в песочнице. Если перейти в отчет, то можно посмотреть детальную информацию о процессе выполнения файла в изолированной среде, например скриншоты программы, активные сетевые подключения, информацию о цифровой подписи и пр.
1. Гибридный вариант проверки – использование VoodooShield free – это программа требует локальной установки. Обеспечивает защиту, которая работает по принципу «белого списка», а для проверки неизвестных файлов использует антивирусную технологию VoodooAi с онлайн проверкой на VirusTotal, локальную и облачную песочницу Cuckoo. Чтобы выполнить проверку файла посредством VoodooShield, необходимо вызвать контекстное меню проверяемого файла и выбрать VoodooShield Scan . Далее появится окно проверки. Чем ближе указатель к зеленой зоне, тем больше доверия к данному файлу со стороны сервиса VoodooShield.
Чтобы запустить файл на исполнение в песочнице, необходимо выбрать SANDBOX (на рисунке посередине) и далее нажать CUCKO . Обратите внимание, что если нажать флаг Witch Cuckoo Sandbox analysis in a Remote Desktop session in real -time , то параллельно с веб-страницей сервиса проверки voodooshield.ddns.net, откроется RDP сессия, в которой в реальном времени можно посмотреть на результат выполнения приложения.
Подписывайтесь на наш телеграм-канал "БЛП - Безопасность Личного Профиля".