Как найти и как удалить вирусы с компьютера самостоятельно,
без использования каких-либо программ — антивирусов
Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.
Это несложно. Давайте начнём!
Как удалить вирус самостоятельно
Действовать необходимо на правах администратора.
Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК.
Команда cmd в командной строке
Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка», а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора».
Вызов командной строки через поиск
Запуск командной строки от имени администратора
Кратко о том, какие цели у наших будущих действий:
С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.
Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:WindowsSystem32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R.
Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.
Откройте командную строку и вставьте cmd. Запустите этот файл от имени администратора.
Открываем cmd
Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib. После каждой команды не забываем нажимать ENTER:
Команда attrib в командной строке
Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.
А вот пример с обнаруженными подозрительными файлами:
Вирусы в системе Windows
Диск С не содержит никаких файлов .еxе и .inf, пока вы не загрузите эти файлы вручную сами. Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R, тогда это может быть вирус.
Здесь обнаружились 2 таких файла:
autorun.inf
sscv.exe
Эти файлы имеют расширения .еxе и .inf и имеют атрибуты S H R. Значит, эти файлы могут быть вирусами.
Теперь наберите attrib -s -h -г -а -i filename.extension. Или в нашем примере это:
attrib —s —h —г —а -i autorun.inf
Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.
Для удаления этих файлов введите del filename.extension или в нашем случае:
del autorun.inf
То же самое надо проделать со вторым файлом:
Удаление вирусов вручную
Теперь перейдём к папке System32.
Продолжим далее поиск, вписывая следующие команды внизу:
Впишите cd win* и нажмите ENTER.
Снова введите system32. Нажмите ENTER.
Затем впишите команду attrib. Нажмите ENTER.
Ищем вирусы в папке System32
Появился вот такой длинный список:
Ищем вирусы в папке System32
Снова вводим внизу команду attrib, не забывая нажать потом ENTER:
Самостоятельное удаление вирусов с компьютера | Интернет-профи
И находим вот такие файлы:
Подозрительные файлы в папке Windows
Подозрительные файлы в папке Windows
При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.
Подозрительные файлы в папке Windows
Выписываем себе все найденные S H R файлы:
- atr.inf
- dcr.exe
- desktop.ini
- idsev.exe
Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.
Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.
Для этого дальше в командной строке вписываем и каждый раз нажимаем ENTER следующее:
C:WindowsSystem32>attrib -s -h -r -a -i atr.inf
C:WindowsSystem32>del atr.inf
C:WindowsSystem32>attrib -s -h -r -a -i dcr.exe
C:WindowsSystem32>del dcr.exe
C:WindowsSystem32>attrih -s -h -r -a -i desktop.ini
C:Windows\System32>del desktop.ini
C:WindowsSystem32>attrib -s -h -r -a -i idsev.exe
C:WindowsSystem32>del idsev.exe
Удаляем вирусы с компьютера самостоятельно
Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.
Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp. Используйте команду attrib, как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.
Как обнаружить вирус без антивируса
Иногда возникают ситуации, когда антивирусная программа не может самостоятельно найти зараженный файл. Специально для таких ситуаций разработаны утилиты, помогающие быстро просканировать компьютер.
Вам понадобится
- Учетная запись администратора.
Инструкция
Многое зависит от того, как проявляет себя определенный вирус. Если компьютер стал очень медленно работать, то нажмите одновременно клавиши Ctrl, Alt и Delete и выберите в открывшемся меню пункт «Диспетчер задач». Перейдите во вкладку «Процессы» и внимательно изучите все запущенные программы и приложения. Обычно вирусные утилиты занимают большую часть оперативной памяти или центрального процессора.
Кликните правой кнопкой мыши по процессу-вирусу и выберите пункт «Открыть место хранения файла». Теперь выделите этот процесс в диспетчере задач и нажмите клавишу Delete. Подтвердите остановку указанного приложения. Удалите вирусные файлы, которые были указаны системой.
Если речь идет о вирусном баннере, то сначала перезагрузите компьютер. После старта загрузки нажмите клавишу F8 и удерживайте ее. Через некоторое время откроется новое меню. Выберите пункт «Безопасный режим Windows» и дождитесь загрузки указанного режима.
Откройте меню «Мой компьютер». Для этого можно одновременно нажать клавиши «Пуск» и E. Перейдите в папку Windows, размещенную на системном разделе винчестера. Откройте каталог System32. Найдите dll-файлы, которые содержат в названии сочетание букв lib. Удалите все найденные файлы.
Выполните дополнительную проверку компьютера средствами операционной системы. Нажмите клавиши «Пуск» и R. Введите команду mrt.exe в открывшееся поле и нажмите клавишу Enter. Дождитесь открытия меню средства удаления вредоносного ПО Windows.
Выберите режим сканирования «Полный» и нажмите кнопку «Далее». Запущенный процесс может занять несколько часов, в зависимости от мощности вашего компьютера и размера диска. Введите команду mrt.exe /Q, чтобы утилита запустилась в фоновом режиме. Удалите найденные файлы, если программа не выполнит это действие самостоятельно.
Войти на сайт
или
Забыли пароль?
Еще не зарегистрированы?
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Интернет является неотъемлемой часть жизни современного человека. С другой стороны, он становится источником опасных вирусов, некоторые из которых следует удалять на начальных этапах «инфицирования». Но как выявить вирусы в компьютере? Какие самые распространенные симптомы заражения? Об этом и не только – в моей очередной статье.
Конечно же, подхватить «заразу» можно и без подключения к интернету. К примеру, если Вы вставляете в USB порт «вредоносную» флешку. Об этом я писал в статье как вирус блокирует USB порт. Или обмениваетесь файлами внутри рабочей сети.
На сегодняшний день даже самый лучший антивирус не обеспечивает 100% защиты.
Но есть множество способов обнаружить вирус даже без специального ПО. Сейчас я расскажу о них, но сначала мы рассмотрим основные признаки «заболевания».
Как узнать о заражении?
Хакеры, которые разрабатывают вредоносные скрипты, довольно хитрые особи, которые умело маскируют угрозу под безопасную программу. В любом случае, не нужно паниковать и видеть во всем опасность. Необходимо внимательно проанализировать ситуацию.
Начинать волноваться можно, когда:
- Во время запуска Windows появляется окно блокировки, которое содержит текст наподобие «Вы нарушили такие-то статьи криминального кодекса и дело будет передано в суд. Чтобы избежать этого, отправьте СМС / пополните счет и т.д.». Помните, не так давно я рассказывал об этом вирусе?
- Вы не можете зайти на сайты социальных сетей или поисковых систем. Опять же, появляется окно с предложением заплатить денег. Подробно об этом я писал в тематической статье.
- Система не слишком быстро реагирует на Ваши команды, медленно открываются приложения, процедура копирования / перемещения файлов длится слишком долго.
- Загрузка ОС занимает больше времени, чем раньше. Стоит учесть, что данный признак актуален, если Вы не инсталлировали сторонних приложений, которые могли прописаться в автозагрузке.
- Во время запуска ПК самостоятельно открывается браузер, его начальная страница изменена, постоянно расходуется сетевой трафик (хотя Вы ничего не делаете).
- От Вашего имени начинает рассылаться спам (через e-mail и аккаунты соцсетей).
- Перестает работать двойной щелчок мыши при открытии файлов (при условии, что манипулятор рабочий).
- Начинают бесследно пропадать документы, установленные приложения и прочие файлы.
- ПО не запускается или выполняется с ошибками, которых ранее не было.
Если имеют место быть какие-либо из перечисленных признаков, есть вероятность заражения. Но не стоит паниковать, ведь я всегда готов подсказать, как удалить вирусы.
Способы обнаружения
Я не буду рассказывать, как выявить вредоносный код (файл) с помощью антивирусного софта. Уверен, с этим справится каждый. Достаточно запустить полную проверку с помощью встроенного / стороннего ПО (Kaspersky, Dr.Web Cure It!).
Хочу подробнее рассказать о случае, когда система работает без антивируса (или от последнего нет никакой пользы).
Проверяем диспетчер процессов
Это первое, что приходит мне в голову, когда возникают подозрения. Зачастую, троян маскируется под безопасный процесс и делает свое темное дело. Как обнаружить?
- Открываем перечень запущенных служб и приложений с помощью комбинации « Ctrl — Shift — Esc ».
Ого! Как много непонятных процессов. Как же найти лишние?
- Следует сразу же исключить системные.
Вот их краткий перечень:
- Csrss
- Lsass
- Explorer
- Svchost
- Wininit
- System
- Winlogon
- Внимательно просмотрите Ваш перечень. «Шпионы» и прочие вредоносные программы могут скрываться под такими же названиями с разницей в одну-две буквы. Вот, присмотритесь:
- Если список содержит названия, состоящие из бессмысленного набора букв и цифр, стоит задуматься:
- Если в чём-то сомневаетесь, то лучше «забейте» название процесса в поисковой системе, чтобы узнать о нём побольше.
Одним из таких является вирус Recycler я рассказывал о как можно от него избавиться.
С диспетчером задач разобрались? Если есть вопросы, пишите в комментариях, я обязательно отвечу.
Анализируем автозагрузку
Большинство вирусов запускаются вместе с системой, блокируя её или активируя свои вредные функции. Хотите узнать, как «вычислить» таких злодеев?
- Вызываем окно «Выполнить» с помощью комбинации Win + R.
- Вводим команду «msconfig» для открытия конфигуратора Microsoft.
- На экране появится нечто подобное (только с другими элементами списка «Автозагрузка»):
- Опять же, смотрите на названия, проверяйте их через Google / Яндекс. Если уверены, что самостоятельно не добавляли элемент в автозапуск, и он не связан с установленным приложением, то смело удаляйте его.
- Перезапустите ПК и повторите предыдущие шаги. Если удаленный пункт снова активен, значит это однозначно вирус. Потребуется более доскональное сканирования и лечение.
Вот мы и разобрались с простейшими способами, которые позволят совершенно бесплатно выявить угрозу на начальном этапе. Такой подход максимально эффективен для предотвращения дальнейшего распространения «заразы». Больше материала можно найти в разделе лечение вирусов, там описаны самые распространенные вирусы и методы борьбы с ними.
Если статья оказалась полезной, почему бы не поблагодарить автора (это я о себе) репостами в социальных сетях. Буду очень признателен. И не забывайте, что при любой ситуации можете обращаться ко мне через форму комментирования.
Загрузить PDF
Загрузить PDF
Компьютерные вирусы бывают разных форм и размеров, но все они имеют общую черту — они вредны для здоровья вашего компьютера. Последствия заражения отличаются друг от друга, но эта статья расскажет вам, как определить признаки типичной вирусной инфекции. Помните, что даже если ваш компьютер покажет некоторые из этих признаков, то это вовсе не значит, что он заражен. Аппаратные и программные проблемы могут вызвать некоторые из этих признаков.
-
1
Проверьте работу вашего жесткого диска. Если у вас не запущены программы, а индикатор работы жесткого диска постоянно включается и выключается, или вы слышите, что жесткий диск работает, у вас может быть вирус, который работает в фоновом режиме. [1]
-
2
Измерьте время, которое требуется для загрузки системы. Если вы заметили, что загрузка системы занимает значительно больше времени, чем обычно, это значит, что вирус может быть причиной замедления старта системы.
- Если вы не можете войти в Windows даже с правильным именем пользователя и паролем, то, скорее всего, вирус контролирует вход в систему.
-
3
Посмотрите на индикаторы на вашем модеме. Если у вас нет работающих программ, а индикаторы на модеме постоянно мигают, то у вас может быть вирус, который передает данные по сети.
Реклама
-
1
Обратите внимание на сбои программ. Если сбои появляются чаще, чем обычно, вирус инфицировал операционную систему. Программы, которые долго загружаются или очень медленно работают также свидетельствуют об этом.
-
2
Всплывающие окна. Если у вас есть вирус, могут открываться окна с различными сообщениями, даже если не запущены другие программы. Такие сообщения могут содержать рекламные объявления, предупреждения об ошибках и другую информацию.
- Вирусы могут менять обои рабочего стола. Если у вас на рабочем столе новые обои, которые вы не ставили, скорее всего, у вас есть вирус .
-
3
Будьте осторожны с предоставлением программам доступа к сети через брандмауэр. Если вы получаете постоянные сообщения от брандмауэра о программе, запрашивающей доступ к сети, то такая программа может быть заражена. Вы получаете эти сообщения, потому что программа пытается отправить данные по сети.
-
4
Следите за файлами. Вирусы часто удаляют ваши файлы и папки или изменяют их без вашего ведома. Если ваши документы исчезают, то, скорее всего, у вас есть вирус. [2]
-
5
Проверьте ваш веб-браузер. Ваш веб-браузер может открывать новые домашние страницы или не позволять закрывать вкладки. Могут появляться всплывающие окна при запуске браузера. Это хороший признак того, что ваш браузер контролируется вирусом или шпионской программой.
-
6
Поговорите со своими друзьями и коллегами. Если у вас есть вирус, они могут получать сообщения, которые вы не отправляли. Эти сообщения часто содержат вирусы или рекламу. Если вы узнали, что другие получают такие сообщения с вашего компьютера, то у вас, скорее всего, есть вирус.
-
7
Попробуйте открыть диспетчер задач. Нажмите Ctrl + Alt + Del, чтобы открыть диспетчер задач Windows. Если он не открывается, вирус может блокировать доступ к нему.
Реклама
-
1
Запустите антивирусную программу. У вас должен быть установлен и работать антивирус. Если его нет, существует несколько бесплатных программ, таких как AVG или Avast. Скачайте и установите одну из этих программ.
- Если вы не можете получить доступ к Интернету из-за вирусной инфекции, возможно, потребуется скачать программу на другом компьютере и затем передать ее на флэш-накопителе.
- На многих веб-сайтах есть баннеры, которые утверждают, что вы инфицированы. Это почти всегда мошенничество и вы не должны нажимать на эти предупреждения. Всегда доверяйте обнаружение вирусов только своей установленной антивирусной программе.
-
2
Загрузитесь в безопасном режиме. Антивирусная программа, вероятно, будет гораздо более эффективна при запуске системы в безопасном режиме. Чтобы загрузиться в безопасном режиме, перезагрузите компьютер и несколько раз нажмите клавишу F8, пока не появится меню загрузки. Выберите Безопасный режим в этом меню.
-
3
Переустановите Windows. Если ничего не помогает и вы не можете удалить вирус с помощью антивирусной программы, вам может потребоваться переустановить Windows. Сделайте резервную копию всех важных данных, а затем переустановите систему.
Реклама
Советы
- Сделайте резервную копию и сохраните ее на внешнем жестком диске или даже на внутреннем жестком диске, чтобы просто вынуть его и положить куда-то на хранение.
- Если вы скачиваете файл и он называется как-то вроде «IMG0018.exe», то есть вероятность, что этот файл заражен.
- Не открывайте и не скачивайте прикрепленные файлы к электронной почте, если точно не знаете, что это такое.
- Убедитесь, что ваш антивирус обновлен, не заходите на подозрительные сайты и не открывайте случайные письма.
Реклама
Об этой статье
Эту страницу просматривали 19 630 раз.
Была ли эта статья полезной?
Время на прочтение
10 мин
Количество просмотров 24K
Знай своего врага ― одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код.
Под катом мы собрали онлайн-сканеры подозрительных файлов, некоторые инструменты для статического и динамического анализа, системы для описания и классификации угроз и, конечно, репозитории с малварью, которую можно исследовать.
Это неполный перечень ПО, которое используют исследователи от мира информационной безопасности. Так, для расследования уже совершенных атак, применяют иной арсенал.
Деление на группы в статье не претендует на звание классификации, оно сделано для удобства чтения и во многом условно. Отдельные инструменты могли попасть сразу в несколько групп и оказались в конкретных разделах благодаря грубому авторскому произволу.
Онлайн-службы для анализа зловредов
-
VirusTotal ― бесплатная служба для анализа подозрительных файлов и ссылок. В представлении не нуждается.
-
Intezer ― детектор зловредов, поддерживающий динамический и статический анализ.
-
Triage ― онлайн-сервис для анализа больших объемов вредоносного ПО с функцией статического анализа образцов.
-
FileScan.IO — служба анализа вредоносных программ, с динамическим анализом и функцией извлечения индикаторов компрометации (IOC).
-
Sandbox.pikker ― онлайн-версия известной системы анализа вредоносных программ Cuckoo Sandbox. Предоставляет подробный отчет с описанием поведения файла при выполнении в реалистичной, но изолированной среде далеко в облаке.
-
Manalyzer ― бесплатный сервис, для статического анализа PE-файлов и выявления маркеров нежелательного поведения. Имеет офлайн-версию.
-
Opswat ― сканирует файлы, домены, IP-адреса и хеши при помощи технологии Content Disarm & Reconstruction.
-
InQuest Labs ― сервис для сканирования текстовых документов файлов Microsoft и Open Office, электронных таблиц и презентаций. Работает на базе механизмов Deep File Inspection (DFI).
-
Any Run ― еще одна онлайн-песочница с красивым интерфейсом и дополнительными опциями.
-
Yoroi ― итальянская служба анализа подозрительных файлов на базе песочницы. Переваривает PE (например, .exe-файлы), документы (doc и PDF), файлы сценариев (типа wscript, Visual Basic) и APK, но мучительно медленно готовит отчеты.
-
Unpacme ― онлайн-сервис для автоматической распаковки вредоносных программ и извлечения артефактов.
-
Malwareconfig ― веб-приложение для извлечения, декодирования и отображения параметров конфигурации распространенных вредоносных программ.
-
Malsub ― фреймворк Python RESTful для работы с API онлайн-сервисов для анализа вредоносного ПО.
Дистрибутивы для анализа вредоносных программ
-
REMnux — готовый дистрибутив реверс-инжиниринга и анализа вредоносных программ на основе Ubuntu. Предоставляет полный пакет необходимых утилит с открытым исходным кодом и включает многие инструменты, упомянутые ниже.
-
Tsurugi Linux ― Linux-дистрибутив, ориентированный на цифровую криминалистику, анализ вредоносных программ и разведку по открытым источникам.
-
Flare-vm ― настраиваемый дистрибутив для анализа вредоносных программ на базе Windows.
Комбайны и тулкиты
-
Ghidra Software Reverse Engineering Framework ― продвинутая среда для реверс-инжиниринга ПО под Windows, macOS и Linux. Поддерживает широкий набор инструкций процессора и исполняемых форматов, работает и в ручном, и в автоматическом режимах, поддерживает пользовательские сценарии. Некоторые такие заготовки, упрощающие анализ вредоносного ПО, можно найти в репозитории Ghidra-Scripts.
-
FLARE VM ― настраиваемый дистрибутив для анализа вредоносных программ на базе Windows 10.
-
Indetectables Toolkit ― набор из 75 приложений для реверс-инжиниринга и анализа двоичных файлов и вредоносных программ.
-
MobSF ― платформа для автоматизированного статического и динамического анализа и оценки безопасности мобильных приложений.
-
CyberChef — приложение для анализа и декодирования данных без необходимости иметь дело со сложными инструментами или языками программирования.
-
Pev ― набор инструментов для анализа подозрительных PE-файлов. Работает в Windows, Linux и macOS.
-
Vivisect ― фреймворк Python, который включает функции дизассемблера, статического анализатора, символьного выполнения и отладки.
-
Pharos ― экспериментальный фреймворк, объединяющий шесть инструментов для автоматизированного статического анализа бинарных файлов.
Инструменты статического анализа и реверс-инжиринга
-
IDA ― дизассемблер и отладчик для Windows с бесплатной версией и возможность расширения функциональности при помощи open-source-плагинов, например, Diaphora и FindYara.
-
Binary ninja — популярная альтернатива IDA с бесплатной облачной версией и частично открытым исходным кодом.
-
ret-sync ― набор плагинов, которые позволяют синхронизировать сеансы в дизассемблерах IDA, Ghidra и Binary Ninja.
-
Binary Analysis Platform ― мультиплатформенный набор утилит и библиотек для анализа машинного кода. Поддерживает x86, x86-64, ARM, MIPS, PowerPC. Другие архитектуры могут быть добавлены в виде плагинов.
-
Radare2 ― UNIX-подобная среда для реверс-инжиниринга. Позволяет анализировать, эмулировать, отлаживать, модифицировать и дизассемблировать любой бинарник. Может работать через удаленный сервер gdb.
-
Rizin ― форк Radeone2 с упором на удобство использования и стабильность. Включает все необходимое для полноценного бинарного анализа.
-
cutter ― бесплатная платформа для реверс-инжиниринга с открытым исходным кодом и плагином для интеграции с декомпилятором Ghidra. Построена на базе rizin. Предоставляет удобный пользовательский интерфейс.
-
Un{i}packer ― кроссплатформенная альтернатива деббагеру x64Dbg.
-
diStorm ― быстрый дизассемблер для анализа вредоносного шелл-кода.
-
angr ― мультиплатформенный фреймворк для исследования бинарных файлов.
-
Binwalk ― простой в использовании инструмент для анализа, извлечения образов и реверс-инжиниринга микропрограмм.
-
4n4lDetector ― инструмент для быстрого анализа исполняемых файлов Windows. Показывает PE-заголовок и его структуру, содержимое разделов, различные типы строк. Облегчает идентификацию вредоносного кода внутри анализируемых файлов. Исходный код не опубликован.
-
capa ― анализирует возможности исполняемых файлов. Вы скармливаете PE, ELF и шеллкод, а capa сообщает, что, может сделать программа.
-
LIEF ― кроссплатформенная библиотека для анализа, изменения и абстрагирования форматов ELF, PE, MachO, DEX, OAT, ART и VDEX без использования дизассемблера.
-
IDR ― декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанный на Delphi. Часто используется для анализа банковских вредоносных программ.
-
Manalyze ― синтаксический анализатор PE-файлов с поддержкой плагинов. Лежит в основе вышеупомянутого онлайн-сервиса Manalyzer.
-
PortEx ― библиотека Java для статического анализа переносимых исполняемых файлов с акцентом на анализ вредоносных программ и устойчивость к искажениям PE.
-
PE-bear ― анализатор файлов PE-формата со встроенным Hex-редактором и возможностью детектирования различных упаковщиков по сигнатурам.
-
CFF Explorer ― аналог PE-bear, созданный Эриком Пистелли. Представляет собой набор инструментов: шестнадцатеричный редактор, сканер и менеджер подписей, дизассемблер, обходчик зависимостей и т. д. Первый PE-редактор с поддержкой внутренних структур .NET.
-
Qu1cksc0pe ― универсальный инструмент для статического анализа исполняемых файлов Windows, Linux, OSX, а также APK.
-
Quark-Engine ― система оценки вредоносного ПО для Android, игнорирующая обфускацию. Входит в комплект поставки Kali Linux и BlackArch.
-
Argus-SAF ― платформа для статического анализа Android-приложений.
-
RiskInDroid ― инструмент для оценки потенциальной опасности Android-приложений на основе методов машинного обучения.
-
MobileAudit ― SAST-анализатор вредоносных программ для Android.
-
Obfuscation Detection ― набор скриптов для автоматического обнаружения запутанного кода.
-
de4dot ― деобфускатор и распаковщик .NET, написанный на C#.
-
FLARE ― статический анализатор для автоматической деобфускации бинарных файлов вредоносных программ.
-
JSDetox ― утилита для анализа вредоносного Javascript-кода с функциями статического анализа и деобфускации.
-
XLMMacroDeobfuscator ― используется для декодирования запутанных макросов XLM. Использует внутренний эмулятор XLM для интерпретации макросов без полного выполнения кода. Поддерживает форматы xls, xlsm и xlsb.
Инструменты динамического анализа и песочницы
-
Cuckoo Sandbox — платформа для анализа разнообразных вредоносных файлов в виртуализированных средах Windows, Linux, macOS и Android. Поддерживает YARA и анализ памяти зараженной виртуальной системы при помощи Volatility.
-
CAPE ― песочница с функцией автоматической распаковки вредоносного ПО. Построена на базе Cuckoo. Позволяет проводить классификацию на основе сигнатур Yara.
-
Qubes OS ― защищенная операционная система, основанная на концепции разграничения сред. Использует гипервизор Xen и состоит из набора отдельных виртуальных машин. Может служить площадкой для исследования вредоносов, однако не включает в себя специализированные инструменты для их анализа.
-
x64dbg ― отладчик с открытым исходным кодом под Windows, предназначенный для реверс-инжиниринга вредоносных файлов. Выделяется обширным списком специализированных плагинов.
-
DRAKVUF ― безагентная система бинарного анализа типа «черный ящик». Позволяет отслеживать выполнение бинарных файлов без установки специального программного обеспечения на виртуальной машине. Требует для работы процессор Intel с поддержкой виртуализации (VT-x) и Extended Page Tables (EPT).
-
Noriben ― простая портативная песочница для автоматического сбора и анализа информации о вредоносных программах и составления отчетов об их действиях.
-
Process Hacker ― продвинутый диспетчер задач, позволяющий наблюдать за поведением подозрительных программ в реальном времени. Отображает сетевые подключения, активные процессы, информацию об использовании памяти и обращениях к жестким дискам, использовании сети. Также отображает трассировки стека.
-
Sysmon ― системная служба Windows, регистрирующая активность системы в журнале событий Windows. Предоставляет подробную информацию о происходящем в системе: о создании процессов, сетевых подключениях времени создания и изменения файлов. Работает с заранее созданными конфигурационными файлами, которые можно найти на github.
-
hollows_hunter ― сканер процессов, нацеленный на обнаружение вредоносных программ и сбор материалов для дальнейшего анализа. Распознает и создает дамп различных имплантов в рамках сканируемых процессов. Основан на PE-sieve.
-
Sandboxapi ― API Python для создания интеграций с различными проприетарными песочницами.
-
DECAF ― Dynamic Executable Code Analysis Framework ― платформа для анализа бинарных файлов, основанная на QEMU. Поддерживает 32-разрядные версии Windows XP/Windows 7/linux и X86/arm.
-
Frida ― внедряет фрагменты JavaScript в нативные приложения для Windows, Mac, Linux, iOS и Android, что позволяет изменять и отлаживать запущенные процессы. Frida не требует доступа к исходному коду и может использоваться на устройствах iOS и Android, которые не взломаны или не имеют root-доступа.
-
box-js ― инструмент для изучения вредоносного JavaScript-ПО с поддержкой JScript/WScript и эмуляцией ActiveX.
-
Fibratus ― инструмент для исследования и трассировка ядра Windows.
-
analysis-tools ― большая коллекция инструментов динамического анализа для различных языков программирования.
Инструменты анализа сетевой активности
-
MiTMProxy ― перехватывающий HTTP-прокси с поддержкой SSL/TLS.
-
Wireshark ― известный универсальный инструмент для анализа сетевого трафика.
-
Zeek ― фреймворк для анализа трафика и мониторинга безопасности, ведет подробные журналы сетевой активности.
-
Maltrail ― система обнаружения вредоносного трафика на базе общедоступных черных списков сетевых адресов.
-
PacketTotal ― онлайн-движок для анализа .pcap-файлов и визуализации сетевого трафика.
Хранение и классификация и мониторинг
-
YARA ― инструмент, предназначенный для помощи в идентификации и классификации зловредов. Позволяет создавать описания семейств вредоносных программ в виде правил ― в общепринятом удобном для обработки формате. Работает на Windows, Linux и Mac OS X.
-
Yara-Rules ― обширный список правил для YARA, позволяет быстро подготовить этот инструмент к использованию.
-
yarGen ― генератор правил YARA из подозрительных фрагментов кода, найденных в файлах вредоносных программ. Автоматизирует процесс создания новых правил.
-
Awesome YARA ― пополняемая коллекция инструментов, правил, сигнатур и полезных ресурсов для пользователей YARA.
-
YETI ― платформа, для сбора и агрегации данных об угрозах в едином репозитории. Умеет обогащать загруженные данные, снабжена удобным графическим интерфейсом и развитым API.
-
Viper ― утилита для организации, анализа и менеджмента личной коллекции вредоносных программ, образцов эксплойтов и скриптов. Хорошо работает в связке с Cuckoo и YARA.
-
MISP ― ПО для сбора, хранения обмена индикаторами компрометации и данными, полученными в результате анализа вредоносных программ.
-
Malice ― фреймворк для анализа вредоносных программ, который называют open source версией VirusTotal.
-
Hostintel ― модульное приложение на Python для сбора сведений о вредоносных хостах.
-
mailchecker — проверка электронной почты на разных языках. Утилита снабжена базой данных из более чем 38 000 поддельных провайдеров электронной почты.
-
URLhaus ― портал для обмена URL-адресами, которые используются для распространения вредоносных программ.
-
All Cybercrime IP Feeds ― агрегатор опасных IP-адресов с акцентом на хакерские атаки, распространение вредоносного ПО и мошенничество. Использует данные из более чем 300 источников.
-
Machinae — инструмент для сбора информации о зловредах из общедоступных источников. Позволяет получить списки подозрительных IP-адресов, доменных имен, URL, адресов электронной почты, хешей файлов и SSL fingerprints.
-
ThreatIngestor — конвейер для сбора данных об угрозах из Twitter, GitHub, RSS каналов и других общедоступных источников.
-
InQuest REPdb и InQuest IOCdb агрегаторы IOC из различных открытых источников.
-
IntelOwl — решение для получения данных при помощи единого API. Предоставляет централизованный доступ к ряду онлайн-анализаторов вредоносных программ.
-
Malwoverview ― инструмент для классификации и сортировки вредоносных программ IOC и хешей с возможностью генерации отчетов по результатам статического и динамического анализа.
-
dnstwist ― инструмент для поиска мошеннических доменов, маскирующихся под ваш сайт.
Образцы вредоносных программ
В этом разделе собраны ссылки на опасные вредоносные программы. Они не деактивированы и представляют реальную угрозу. Не скачивайте их, если не уверены в том, что делаете. Используйте для исследований только изолированные программные среды. В этих коллекциях много червей, которые заразят все, до чего смогут дотянуться.
Ссылки предоставляются исключительно в научных и образовательных целях.
-
theZoo ― активно пополняемая коллекция вредоносных программ, собранная специально для исследователей и специалистов по кибербезопасности.
-
Malware-Feed ― коллекция вредоносных программ от virussamples.com.
-
Malware samples ― пополняемый github-репозиторий с вредоносами, к которым прилагаются упражнения по анализу вредоносного ПО.
-
vx-underground ― еще одна обширная и постоянно растущая коллекция бесплатных образцов вредоносных программ.
-
Malshare ― репозиторий, который помимо образцов малвари предлагает дополнительные данные для YARA.
-
MalwareBazaar ― проект, целью которого является обмен образцами вредоносного ПО с поставщиками антивирусных программ и сообществом экспертов по информационной безопасности. Поддерживает собственное API.
-
Virusbay ― онлайн-платформа для совместной работы, которая связывает специалистов из центров мониторинга информационной безопасности с исследователями вредоносных программ. Представляет собой специализированную социальную сеть.
-
VirusShare ― большой репозиторий вредоносных программ с обязательной регистрацией.
-
The Malware Museum ― вирусы, распространявшиеся в 1980-х и 1990-х годах. Практически безобидны на фоне остальных ссылок из этого раздела и представляют скорее историческую ценность.
Многие современные зловреды выходят из-под пера талантливых профессиональных программистов. В них используются оригинальные пути проникновения в системные области данных, новейшие уязвимости и ошибки в безопасности операционных систем и целые россыпи грязных хаков. Если проявить осторожность, ум и внимательность, во вредоносном ПО можно найти немало интересного.
Удачной охоты!