Подробное руководство по проверке безопасности неизвестной программы в Windows 11

Сценарий: У вас есть неизвестная программа (содержащая .exe, .dll и другие файлы) для Windows 11, неизвестного происхождения. Ниже приведены шаги, как бесплатно проверить её безопасность.

Шаг 1: Проверка программы встроенным антивирусом Windows (Microsoft Defender)

Первым делом просканируйте файлы программы штатным антивирусом Windows — Защитником Windows (Microsoft Defender). Это базовая линия обороны:

• Запустите сканирование через контекстное меню: Найдите загруженный .exe (или папку с программой) в Проводнике, щёлкните по нему правой кнопкой, выберите пункт «Показать дополнительные параметры», а затем «Сканировать с помощью Microsoft Defender». Windows выполнит проверку выбранного файла(ов) своим антивирусом и покажет результаты – вы увидите уведомление или окно с итогами сканирования.
• Проверьте результаты: Если Defender обнаружит угрозы, он поместит файлы в карантин или предложит удалить их. В случае обнаружения вируса лучше сразу отказаться от использования этой программы. Если угроз не найдено, это ещё не гарантия безопасности – иногда новые или сложные вредоносные программы могут не определяться антивирусом. Тем не менее, отсутствие срабатываний – хорошый знак, и можно переходить к дальнейшим проверкам.
• Обновите антивирус: Убедитесь, что база Defender актуальна (Windows обычно обновляет её автоматически через Центр обновлений). Актуальные базы повышают шанс обнаружить недавно появившийся вирус.

Кроме того, вы можете выполнить полное сканирование системы через интерфейс Безопасность Windows (Раздел «Защита от вирусов и угроз» → «Параметры сканирования» → «Полное сканирование»), чтобы проверить, не успела ли программа что-то установить без вашего ведома. Но для неизвестной программы достаточно сначала точечно проверить её файлы.

Шаг 2: Онлайн-проверка файлов на вирусы (VirusTotal и аналогичные сервисы)

Для более детальной проверки используйте онлайн-сервисы анализа malware, такие как VirusTotal. Они сканируют файл десятками антивирусных движков одновременно:

• VirusTotal для отдельных файлов: Перейдите на сайт VirusTotal. На главной странице нажмите кнопку «Выбрать файл» и загрузите подозрительный .exe или другой файл. Сервис автоматически проверит файл множеством антивирусов и через несколько секунд выдаст отчёт с результатами. В отчёте будет указано, сколько движков пометили файл как вредоносный (например, «0/70» означает, что 0 из 70 антивирусов нашли угрозу). Если несколько авторитетных двигателей обнаружили вредоносное ПО, относитесь к этому очень серьёзно, даже если Defender ничего не заметил.
• Проверка архива или набора файлов: Если программа состоит из нескольких файлов или у вас есть папка с программой, удобнее загрузить всё разом. VirusTotal позволяет проверять архивы: упакуйте папку программы в ZIP/RAR и загрузите этот архив на сайте. Сервис просканирует содержимое архива. Имейте в виду, что есть ограничение по размеру файла (на VirusTotal – до 650 МБ). Если архив очень большой, можно проверить самые подозрительные или основные файлы отдельно.
• Аналоги VirusTotal: Помимо VirusTotal, существуют и другие бесплатные мультисканеры – например, Metadefender (OPSWAT), Jotti и др. Принцип аналогичен: вы загружаете файл, и сервис выдаёт результаты проверки множеством антивирусов.
• Интерпретация результатов: Один-два срабатывания из 70 могут быть ложными (например, неизвестный файл может ошибочно определяться как подозрительный эвристикой). Но многочисленные срабатывания – почти наверняка признак malware. Ознакомьтесь с детальной информацией в отчёте VirusTotal – там могут быть указаны имена угроз, присвоенные разными антивирусами. Вы можете поискать эти имена в интернете, чтобы понять природу угрозы.
• Конфиденциальность загрузки: Помните, что загружая файл на VirusTotal, вы делаете его публичным для сообщества исследователей. VirusTotal сохраняет все загруженные файлы и делает их доступными для поиска по хэш-суммам. Не отправляйте туда личные или секретные данные. Для программ же из интернета это обычно не проблема. (Примечание: VirusTotal не распространяет файлы широко, но любой желающий может увидеть результаты и информацию о файле.)

Онлайн-проверка – очень полезный шаг, так как она не требует запускать файл на своём компьютере. Если VirusTotal показывает нулевые обнаружения и файл не замечен как вредоносный, это повышает доверие. Но если есть срабатывания – лучше воздержаться от запуска.

Шаг 3: Безопасный запуск программы в изолированной среде (Windows Sandbox)

Следующий шаг – протестировать программу в безопасной среде, изолированной от основной системы. В Windows 11 (Pro и выше) для этого есть встроенная Песочница Windows (Windows Sandbox). Она позволяет запустить подозрительную программу, не рискуя системой:

• Что такое Windows Sandbox: Это облегчённая виртуальная машина Windows, которая полностью изолирована от основной ОС. Это идеальная среда для тестирования неизвестных файлов: всё, что вы делаете внутри Песочницы, не влияет на основной компьютер. При закрытии Песочницы вся её начиника уничтожается – установленные программы, сделанные изменения, даже загруженные вирусы – всё исчезает. Каждый запуск Sandbox – это чистая Windows, как «с нуля». (В Windows 11 Sandbox использует технологию гипервизора для изоляции, что обеспечивает безопасность на уровне ядра.)
• (Примечание: Песочница доступна в редакциях Windows 11 Pro, Enterprise, Education. На Windows 11 Home этот компонент отсутствует официально. Если у вас Home, переходите к альтернативам – например, используйте бесплатную виртуальную машину, см. Шаг 7, либо утилиту Sandboxie.)Включение функции Sandbox: По умолчанию Песочница может быть не активна. Чтобы её включить:Откройте Панель управления → Программы и компоненты → Включение или отключение компонентов Windows.
  В списке компонентов найдите «Песочница Windows» и поставьте галочку. Нажмите OK и дождитесь установки компонента, затем перезагрузите компьютер.
  
• Запуск Windows Sandbox: После перезагрузки найдите Windows Sandbox в меню «Пуск» (в списке приложений или через поиск) и запустите её. Откроется окно, внутри которого загрузится чистый рабочий стол Windows (это и есть изолированная «песочница»). Интерфейс может быть на английском – это нормально.
• Перенос файлов в песочницу: Чтобы запустить там вашу программу, скопируйте установочный файл .exe или папку с файлами и вставьте внутри окна Sandbox. Можно просто на основном ПК нажать Ctrl+C на файле, а внутри Sandbox – Ctrl+V. Файл перенесётся в изолированную среду. (Аналогично, можно внутри Sandbox скачать файл из интернета: в ней предустановлен браузер Edge.)
• Запуск и тестирование: Откройте скопированный файл внутри Sandbox и установите/запустите программу как обычно. Наблюдайте за её поведением: запускается ли она корректно? Не появляется ли посторонних окон, ошибок, подозрительной активности? Например, если программа должна что-то показать, а вместо этого тихо устанавливает сервисы или ломается, это подозрительно.
• Безопасность сети: По умолчанию у Sandbox есть доступ в интернет. Имейте в виду, если запущенная программа зловредна, она может попытаться подключиться к своему серверу. В Sandbox она не навредит вашей системе, но может отправить данные в сеть. Опционально: вы можете отключить сеть в Sandbox через файл конфигурации, либо просто отключить интернет на время опыта, если это не мешает проверке.
• Анализ последствий: После установки/запуска посмотрите, появились ли в Sandbox какие-либо новые окна, процессы, автозапуски. (Вручную это трудно отследить, поэтому в Шаге 5 мы рассмотрим инструменты для анализа поведения.)
• Закройте Sandbox: Когда закончите проверку, просто закройте окно Песочницы. Появится уведомление, что все результаты будут удалены – подтвердите закрытие. Все изменения внутри были уничтожены; ваша основная система осталась чистой, как будто вы и не запускали программу.

Использование Sandbox дает уверенность, что программа не повредит реальной системе. Если в Sandbox она показала себя нормально, это хороший знак – но всё же, редкие продвинутые угрозы могут распознавать, что они в песочнице, и скрывать вредоносное поведение. Поэтому двигаемся дальше, к анализу программы.

Шаг 4: Проверка хэш-сумм файлов (SHA-256 и др.)

Хэш-сумма – это уникальный «отпечаток» файла, вычисленный криптографической функцией. Зачем он нужен при проверке?

• Идентификация и сравнение с эталоном: Разработчики часто публикуют SHA-256 (или MD5/SHA-1) своих установочных файлов на сайте. Вы можете вычислить хэш загруженного файла и сравнить с официальным. Если совпадает – файл не подделан при загрузке (не повреждён и не подменён злоумышленником). Если нет – возможны проблемы (файл мог быть изменён, что опасно).
• Поиск информации по хэшу: Хэш позволяет искать информацию о файле, не распространяя сам файл. На VirusTotal можно вставить хэш в строку поиска – если кто-то уже проверял этот файл, вы сразу получите его отчет (без повторной загрузки). Хэш также можно пробить через Google – часто в результаты попадают форумы анализа вредоносных программ, базы данных известных вирусов и пр. Одним словом, хэш упрощает узнавание: встречался ли файл ранее, и что о нём известно.
• Контроль целостности: Если вы будете хранить файл и периодически проверять его хэш, любое изменение файла (например, в результате заражения вирусом) сразу проявится как другое значение хэша. Изменить хоть один байт файла – значит изменить его хэш полностью.

Как вычислить хэш-сумму: В Windows есть встроенные средства. Проще всего – через PowerShell:

1. Откройте PowerShell от имени администратора (например, через меню Пуск).
2. Введите команду:

Get-FileHash -Path "C:\путь\к\вашему\файлу.exe"

По умолчанию эта команда рассчитает SHA-256 хэш указанного файла. После выполнения вы увидите строку с алгоритмом и самим хэш-значением (длинная последовательность из букв и цифр).

Пример: для файла test.docx команда выдала: Algorithm : SHA256, Hash : 3FDC...E268. Это и есть SHA-256 отпечаток файла.

Для расчёта других алгоритмов (SHA1, MD5 и т.д.) добавьте параметр -Algorithm, например:

Get-FileHash -Path "C:\file.exe" -Algorithm MD5

Но SHA-256 предпочтительнее, т.к. старые MD5/SHA1 имеют уязвимости коллизий. Тем не менее, иногда на сайтах до сих пор дают MD5, тогда считайте его для сравнения.

Альтернативы: В командной строке есть утилита certutil (например: certutil -hashfile C:\file.exe SHA256). Либо используйте сторонние бесплатные утилиты, если предпочитаете графический интерфейс.

Когда использовать хэши: Сделайте это до запуска программы (чтобы убедиться в изначальной целостности) и после, если хотите проверить, не изменялись ли её файлы. Главным образом, хэш нужен, чтобы удостовериться, что файл такой, каким его выложил автор, или чтобы идентифицировать известный файл. Например, зная SHA-256 подозрительного файла, можно поискать его на VirusTotal без загрузки – если он уже известен как вирус, вы сразу узнаете. Если же не находится – стоит загрузить и проверить, как описано в Шаге 2.

Шаг 5: Мониторинг активности программы (Process Explorer и Autoruns)

Если вы решили всё-таки установить или запустить программу (например, в Sandbox или на реальной системе после предыдущих проверок), проанализируйте её поведение с помощью бесплатных утилит Sysinternals от Microsoft: Process Explorer и Autoruns. Эти инструменты помогают выявить подозрительную активность, которую обычными средствами сложно заметить.

5.1. Анализ запущенных процессов через Process Explorer

Process Explorer – продвинутая замена Диспетчера задач. С её помощью вы можете увидеть все работающие процессы, связи между ними и подробную информацию о каждом процессе:

• Запуск Process Explorer: Скачайте утилиту Process Explorer (это портативный .exe). Запустите её с правами администратора (так она покажет больше деталей). Вы увидите древовидный список процессов – от системных до пользовательских.
• Найдите процесс программы: После запуска подозрительной программы в списке Process Explorer найдите её процесс по имени (или PID). Обратите внимание на древовидную структуру: вложенность показывает, кто запустил процесс. Например, если ваш app.exe запущен от имени Explorer или из-под установщика – это нормально. Но если он породил внезапно процессы powershell.exe или cmd.exe без явной причины – это тревожный сигнал.
• Проверьте цифровую подпись процесса: Добавьте в отображаемые столбцы колонку Verified Signer («Проверенный подписью издатель»). Для этого в меню View выберите Select Columns… и отметьте Verified Signer. В процессе вашей программы эта колонка покажет, есть ли у исполняемого файла действительная подпись. Если написано «Unsigned» или издатель неизвестен – повод к настороженности. (Правда, для совсем нового ПО отсутствие подписи – не редкость, см. Шаг 6 про подписи.)
• Отслеживайте ресурсы и поведение: Вы можете дважды щёлкнуть по процессу, чтобы открыть его свойства. Вкладки покажут загруженные DLL, открытые дескрипторы (файлы, ключи реестра), сетевые соединения и прочее. Высокая активность (CPU, память) или подозрительные модули в процессе могут указывать на вредоносную деятельность. Например, если программа без причины открыла доступ к системным файлам или подключилась к странному интернет-адресу – это подозрительно.
• Поиск информации онлайн: Очень полезна функция Search Online (правый клик по процессу → Search Online). Она выполнит поиск в интернете по имени процесса. Часто сразу можно понять, известен ли процесс как вирус. Многие вредоносные процессы маскируются под имена системных, но отличаются расположением файла. Поиск даст подсказки, нормален ли данный процесс.
• Завершение процесса: Если вы обнаружили, что программа явно ведёт себя как malware (например, Process Explorer подсветил её как известный вирус на VirusTotal – есть интеграция: меню Options → Check VirusTotal.com, после чего в колонке VirusTotal будет видно число обнаружений), завершите процесс (правый клик → Kill Process) прежде, чем он навредит системе. Однако помните: если вы запускаете в Sandbox или изолированной среде, основная система защищена, на реальной же системе завершающий шаг (убить процесс) стоит делать, только если уверены, что это безопасно.

Process Explorer помогает в динамическом анализе – увидеть, что делает программа после запуска. Например, она могла установить сервис, скачать что-то ещё или запустить скрытый майнер. Некоторые из этих действий видны по порождённым процессам или загруженным модулям.

5.2. Поиск автозапусков и изменений в системе через Autoruns

Часто вредоносное ПО старается закрепиться в системе, добавляя себя в автозагрузку. Autoruns – утилита, показывающая все точки автозапуска в Windows. После установки/запуска программы имеет смысл проверить, не прописалось ли что-то лишнее в системных автозапусках:

• Запуск Autoruns: Скачайте Autoruns и запустите (от админа). После короткого сканирования утилита выведет множество вкладок: Logon, Services, Scheduled Tasks, Drivers, и т.д., охватывающих практически все пути автозапуска Windows.
• Отфильтруйте системные записи: В меню Options включите опцию Hide Microsoft Entries (Скрыть записи Microsoft), затем нажмите Refresh. Программа спрятет все автозапуски, которые подписаны Microsoft и почти наверняка легитимны. Это существенно упростит анализ – вы будете видеть главным образом сторонние программы.
• Ищите следы программы: Просмотрите оставшиеся записи. Ищите имя вашей программы или её производителя, или путь к её папке. Обратите внимание на вкладки Logon (запуски при входе пользователя), Services (установленные сервисы), Scheduled Tasks (планировщик заданий). Если неизвестная программа прописала себя в одном из этих мест без вашего ведома, это подозрительно. Например, если вы видите, что UnknownApp.exe добавлен в HKLM\Software\Microsoft\Windows\CurrentVersion\Run, хотя программа не должна автозапускаться – возможно, она шпионская либо рекламная.
• Проверка подписей и VirusTotal: Autoruns автоматически проверяет цифровые подписи файлов и показывает результат в колонке Publisher (неподписанные выделяет). Также в Options → Scan Options вы можете включить Check VirusTotal.com и принять условия. Тогда Autoruns при сканировании будет отправлять хэши файлов в VirusTotal и показывать колонку VirusTotal с количеством детектов. Это очень удобно: сразу видны известные вредоносные автозапуски (будут помечены, например, 5/70, и можно кликнуть для подробностей онлайн).
• Анализ находок: Если вы обнаружили в Autoruns подозрительные записи, которых раньше не было, изучите их. Возможно, это часть установленной вами программы (напрямую связанная). Например, вы установили полезную утилиту, и она добавила автообновление в задачи – не обязательно плохо. Но если появились записи с непонятными именами, в нестандартных путях (временные папки, скрытые каталоги) – это тревожно.
• Отключение автозапуска: Чтобы временно отключить нежелательный автозапуск, снимите галочку слева от элемента в Autoruns. Он станет неактивен (в реестр будет внесён запрет), и при следующей загрузке Windows эта программа уже не запустится автоматически. Удалять запись (кнопкой Delete) стоит только если точно уверены, что это зловред. Обычно достаточно отключить и понаблюдать, не появится ли запись снова (самовосстановление может указывать на продвинутый вирус).

Используя Process Explorer и Autoruns вместе, вы проверяете два важных аспекта: что делает программа во время работы и что она меняет в настройках автозапуска системы. Эти инструменты особенно полезны, если подозреваете, что программа могла установить скрытые компоненты.

Шаг 6: Проверка цифровой подписи файла

Наличие цифровой подписи у файла – признак того, что издатель программы подтвердил её подлинность. Подписанный код означает, что файл не был изменён с момента подписи. Проверим, подписаны ли основные исполняемые файлы программы и кем:

• Как проверить подпись: Найдите файл программы (например, Setup.exe или основной .exe). Щёлкните правой кнопкой > Свойства > вкладка Цифровые подписи. В списке подписей (если они есть) выберите подпись и нажмите «Сведения». Откроется окно информации о сертификате, которым подписан файл. Посмотрите строку «Цифровая подпись в порядке» – если такая надпись присутствует, значит подпись корректна и действительна на момент проверки.
• Кто подписал: Обратите внимание на поле Издатель/Название субъекта сертификата. Это должно быть название компании или автора. Известные разработчики подписывают свои программы (Microsoft, Google, Adobe и т.п.). Если издатель вам знаком и операционная система сообщает, что подпись действительна, вероятность подделки файла мала – ведь злоумышленник не сможет подделать подпись без приватного ключа компании.
• Отсутствие подписи: Многие небольшие разработчики не подписывают код (сертификаты стоят денег). Отсутствие вкладки «Цифровые подписи» не сразу означает вирус. Нужно полагаться на другие методы проверки (что мы и делаем). Однако система SmartScreen в Windows будет предупреждать при запуске неподписанного приложения, что издатель неизвестен.
• Недействительная подпись: Если подпись есть, но Windows пишет, что она недействительна или отозвана – повод насторожиться и, вероятно, не запускать файл. Подпись могла стать недействительной, если файл был изменён после подписания (что делают вирусы) или если сертификат отозван из-за компрометации.
• Трюк с похожими именами: Внимательно читайте имя издателя. Злоумышленники могут получить сертификат на компанию-однофамильца, например "Micrоsoft" (с латинской 'o' вместо английской или похожий юникод-символ), что на глаз не отличить от "Microsoft". Если название кажется подозрительно похожим на имя известной фирмы – это красный флаг.
• Дополнительные инструменты для подписей: Для массовой проверки файлов на подпись есть утилита Sigcheck (Sysinternals). Но в нашем случае достаточно проверить основные .exe. Также Process Explorer, как упоминалось, сразу показывает колонку «Verified Signer», что облегчает проверку запущенных процессов на наличие подписи.

Вывод: Подпись – это как печать доверия. Если программа подписана известным издателем и подпись валидна, риск ниже (хотя полностью полагаться нельзя – были случаи кражи сертификатов). Если же файл не подписан или подписан кем-то неизвестным – это лишь один из факторов риска, и решение запускать нужно принимать на основе совокупности всех шагов проверки.

Шаг 7: Дополнительные бесплатные методы и советы

Мы уже проделали много для проверки программы. Если остались сомнения, вот несколько дополнительных методов, которые тоже бесплатны:

Онлайн-песочницы (анализ поведения)

Помимо VirusTotal (который в основном делает статический анализ сигнатурами), есть сервисы, которые выполняют динамический анализ – запускают ваш файл в виртуальной машине на своем сервере и наблюдают за его действиями.

🌐 Hybrid Analysis (Falcon Sandbox): Бесплатный сервис от CrowdStrike. Вы загружаете файл на сайт Hybrid Analysis, и он запускает его в изолированной среде, собирая подробный отчёт: какие процессы создавались, к каким сайтам шли запросы, какие изменения в реестре/файлах происходили и пр. Отчёт покажет, является ли поведение подозрительным (например, попытки внедриться в автозагрузку, шифровать файлы и т.д.). Важно: файлы, отправленные в публичную песочницу, становятся доступными другим исследователям. Не загружайте туда личные данные, только саму программу.

🌐 ANY.RUN: Интерактивная онлайн-песочница. Позволяет вам в реальном времени «покликать» внутри виртуальной машины через браузер. Вы можете сами запускать процесс установки, нажимать кнопки – полезно для исследовании установщиков, требующих действий. Базовые функции доступны бесплатно (нужна регистрация). ANY.RUN также предоставляет визуализацию процесса (дерево процессов, сетевые подключения). Если Hybrid Analysis – это автоматический отчёт, то ANY.RUN – более ручной, интерактивный подход.

Другие: Также существуют Joe Sandbox (ограниченно бесплатно), VirusTotal Sandbox (для некоторых типов файлов) и открытые проекты типа Cuckoo Sandbox (требует своей установки). Но двух вышеупомянутых вполне достаточно в бесплатном варианте.

Использование виртуальной машины (VM)

Это альтернатива Windows Sandbox, более гибкая. Вы можете создать свою виртуальную машину, например с помощью VirtualBox (бесплатно) или встроенного Hyper-V. Установите в VM ту же Windows, создайте точку сохранения (снимок). Затем перенесите туда программу и запускайте.

Преимущество в том, что вы можете долго работать с программой, даже дать ей перезагрузить систему внутри VM, и при этом изолированы. После экспериментов просто откатитесь к снепшоту, и VM будет чистой. Этот метод особенно полезен, если программа требует перезагрузки или длительного использования. (Примечание: на Windows 11 Home, где нет Sandbox, VM – лучший вариант анализа.)

Мониторинг системы специализированными утилитами

Кроме Process Explorer/Autoruns, существуют и другие Sysinternals-инструменты и методы:

• Process Monitor – отслеживает все операции ввода-вывода (файлы, реестр, сеть) в реальном времени. Его лог может показать, куда программа пытается записать данные, какие ключи реестра читает или изменяет и т.д. Это для продвинутого анализа, так как данных очень много. Можно отфильтровать по имени процесса, чтобы видеть именно активность вашей программы.
• Network Monitor / Wireshark – анализ сетевого трафика. Если подозреваете, что программа шпионит или стучится на сервер, можно просниффировать её сетевые пакеты.
• VirusTotal Uploader – утилита, облегчающая отправку нескольких файлов на VirusTotal прямо с рабочего стола.

Форумы и сообщества

Если подозрений много, а уверенности не хватает, не запускать же каждый сомнительный файл в одиночку. На форумах вроде virusinfo.info или русском разделе BleepingComputer эксперты могут подсказать по отчетам Autoruns/Process Explorer или по хэшу файла. Также можете поискать в базе VirusTotal Community отзывы о файле – иногда там пишут, безопасен он или вредоносен.

Заключение

Соблюдая изложенные шаги, вы значительно снизите риск запуска опасного ПО. Сначала файл проверяется лучшими антивирусами (локально и на VirusTotal), затем изучается в безопасной среде (Sandbox/VM), анализируются его характеристики (хэш, подпись) и поведение (Process Explorer, Autoruns).

В совокупности эти методы дают почти полноценное представление о файле без необходимости рисковать основной системой. Если по всем пунктам никаких красных флагов не возникло – скорее всего, программа безопасна. Если же хоть где-то появилось явное предупреждение (например, десяток антивирусов определяют троян, или программа лезет в автозагрузку без причины) – не стоит ей доверять.

Помните, что бдительность – лучшая защита. Проверяйте неизвестные программы до запуска, и ваша система останется в безопасности! 👍