Как проверить exe файл на вирусы

У вас большие запросы!

Точнее, от вашего браузера их поступает слишком много, и сервер VK забил тревогу.

Эта страница была загружена по HTTP, вместо безопасного HTTPS, а значит телепортации обратно не будет.
Обратитесь в поддержку сервиса.

Вы отключили сохранение Cookies, а они нужны, чтобы решить проблему.

Почему-то страница не получила всех данных, а без них она не работает.
Обратитесь в поддержку сервиса.

Вы вернётесь на предыдущую страницу через 5 секунд.
Вернуться назад

У вас большие запросы!

Точнее, от вашего браузера их поступает слишком много, и сервер VK забил тревогу.

Эта страница была загружена по HTTP, вместо безопасного HTTPS, а значит телепортации обратно не будет.
Обратитесь в поддержку сервиса.

Вы отключили сохранение Cookies, а они нужны, чтобы решить проблему.

Почему-то страница не получила всех данных, а без них она не работает.
Обратитесь в поддержку сервиса.

Вы вернётесь на предыдущую страницу через 5 секунд.
Вернуться назад

Как я программу на вирусы проверял

Поводом для написания данной статьи послужил диалог в одном телеграмном чате. Кто-то выложил программу для «уникализации» файлов путем изменения хэша MD5, а другой бдительный участник чата проверил ее на Virustotal и из-за двух положительных (и 68 отрицательных) результатов обвинил программу в наличии недекларированных функций, в том числе даже в краже паролей от различных аккаунтов, а всех установивших ее — в «излишках» ума. Увещевания его и рассказ о возможных ложноположительных срабатываниях не дали желаемого результата, беседа перестала быть конструктивной и затухла.

Но я (как один из участников того диспута) потерял покой, сон и аппетит, ведь с одной стороны, если антивирус ругается, то нет повода ему не верить и стоит быть осторожным. С другой — два не самых популярных антивируса, было бы из-за чего беспокоиться. Но самое главное — а если вообще было бы 0 детектов, дает ли это основания быть уверенным в программе? И как быть в таком случае? Ну и еще в довесок было интересно — а как, собственно, меняется MD5, просто добавлением лишних байтов (самый очевидный способ) или как-то по умному?

Решил проверить, а заодно и рассказать алгоритм своих размышлений и действий, быть может, кому-то это пригодится. На экспертность не претендую, чисто на бытовом уровне поковыряемся.

Исследуем программу

Итак, имеется файл MD5_Hash_Changer.exe, который мы подозреваем в наличии каких то скрытых функций. Для начала, посмотрим его с помощью PEiD:

Строчка про C#/.NET наводит на мысль о том, что программа написана на Шарпе, что в ряде случаев может позволить обойтись без дизассемблера. Скачиваем бесплатную программу JetBrains dotPeek, которая позволяет получить код на C# из exe-файла (при условии, естественно, что программа изначально написана на C#), и натравливаем ее на исследуемый файл:

Для начала следует посмотреть раздел Metadata, в котором первым делом необходимо обратить внимание на используемые строки, в которых могут попасться интересные имена, пути, IP-адреса и прочее.

При необходимости можно сразу посмотреть, где конкретно используется интересная строка, если такая окажется. В моем случае ничего подозрительного не обнаружилось и я перешел к разделу с кодом. Как выяснилось, исходный код программы содержит два класса, Program и MainForm, при этом класс Program вполне стандартный и содержит лишь код запуска главного окна приложения:

using System; using System.Windows.Forms; namespace MD5_Hash_Changer < internal static class Program < [STAThread] private static void Main() < Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault(false); Application.Run((Form) new MainForm()); >> >

Класс MainForm будет поразвесистее, и на нем следует остановиться подробнее:

Как видно, при запуске формы запускается функция InitializeComponent(), но в ней ничего интересного не происходит, обычная настройка интерфейса, задание шрифтов и названий кнопок и прочая рутина. Пришлось смотреть весь код целиком, однако каких-либо намеков на сетевую активность или попыток доступа к «ненужным» для программы файлам не обнаружено, все весьма прозрачно и наивно. Что ж, раз зловредного функционала обнаружить не удалось, то хотя бы взглянем на сам алгоритм, чтобы понять, каким образом программа изменяет файлы.

За это отвечает функция

private void changeMD5(string[] fileNames) < Random random = new Random(); Thread.Sleep(1000); this.Invoke((Delegate) (() =>this.btnStartMD5.Enabled = true)); for (int i = 0; i < fileNames.Length; ++i) < if (!this.running) < this.Invoke((Delegate) (() =>< this.btnStartMD5.Text = "Start Change MD5"; this.running = false; >)); break; > int length1 = random.Next(2, 7); byte[] buffer = new byte[length1]; for (int index = 0; index < length1; ++index) buffer[index] = (byte) 0; long length2 = new FileInfo(fileNames[i]).Length; if (length2 == 0L) < this.Invoke((Delegate) (() =>this.dgvMD5.Rows[i].Cells[3].Value = (object) "Empty")); > else < using (FileStream fileStream = new FileStream(fileNames[i], FileMode.Append)) fileStream.Write(buffer, 0, buffer.Length); int bufferSize = length2 >1048576L ? 1048576 : 4096; string md5hash = ""; using (MD5 md5 = MD5.Create()) < using (FileStream inputStream = new FileStream(fileNames[i], FileMode.Open, FileAccess.Read, FileShare.Read, bufferSize)) md5hash = BitConverter.ToString(md5.ComputeHash((Stream) inputStream)).Replace("-", ""); >this.Invoke((Delegate) (() => < if (this.dgvMD5.Rows[i].Cells[2].Value.ToString() != "") this.dgvMD5.Rows[i].Cells[1].Value = this.dgvMD5.Rows[i].Cells[2].Value; this.labelItem.Text = (i + 1).ToString(); this.progressBarStatus.Value = i + 1; this.dgvMD5.Rows[i].Cells[2].Value = (object) md5hash; this.dgvMD5.Rows[i].Cells[3].Value = (object) "OK"; >)); > > this.Invoke((Delegate) (() => < this.btnStartMD5.Text = "Start Change MD5"; this.running = false; >)); >

На вход функция получает список файлов, которые следует обработать, и в цикле пробегает по нему. Для каждого файла генерируется буфер случайной длины в интервале от 2 до 7 байт и заполняется нулями:

int length1 = random.Next(2, 7); byte[] buffer = new byte[length1]; for (int index = 0; index < length1; ++index) buffer[index] = (byte) 0;

Затем этот буфер просто дописывается в конец файла

using (FileStream fileStream = new FileStream(fileNames[i], FileMode.Append)) fileStream.Write(buffer, 0, buffer.Length);

и снова вычисляется MD5-хэш уже для измененного файла:

using (FileStream inputStream = new FileStream(fileNames[i], FileMode.Open, FileAccess.Read, FileShare.Read, bufferSize)) md5hash = BitConverter.ToString(md5.ComputeHash((Stream) inputStream)).Replace("-", "");

Все, больше ничего интересного тут не происходит. Как видим, программа весьма тривиальна и такого рода "уникализация" конечно формально изменяет хэш файла, но. Судить вам, насколько она пригодна для решения ваших задач.

Ну и напоследок, наверное, следует проверить на практике, что же происходит с файлами. Возьмем для примера первую картинку из данной статьи и натравим на нее программу, а затем сравним файлы до обработки и после.

Во первых, размер файла после обработки увеличился на 6 байт, во вторых, как видно из скриншота, в конце файла появились 6 нулевых байт. Очевидно, это соответствует установленному в ходе изучения исходного кода алгоритму.

Важное дополнение

В дополнение считаю необходимым отметить, что описанный мной алгоритм проверки не позволяет сделать однозначного вывода о наличии в программе зловредного функционала, ведь существуют способы внедрения в ехе-файл на более низком уровне, поэтому не следует пренебрегать также и анализом возможного сетевого трафика после запуска в "песочнице", и более детальным исследованием собственно исполняемого кода, однако это требует какой-никакой квалификации и опыта, а описанный мной алгоритм вполне доступен даже неподготовленному и далекому от реверса пользователю.

Ссылки

• https://www.jetbrains.com/ru-ru/decompiler/
• https://www.virustotal.com/gui/file/59eed8eb936b73868a189c8cd26368650ae8650ce9016216f8f0b513f4660e7a
• https://github.com/ewwink/MD5-Hash-Changer/releases

Как проверить exe файл на вирусы. Онлайн проверка системы, файлов и ссылок на вирусы

Далеко не все люди прибегают к использованию антивируса на своем ПК или ноутбуке. Автоматическое сканирование компьютера потребляет довольно много системных ресурсов и зачастую мешает комфортной работе. А если вдруг компьютер начинает подозрительно себя вести, то можно его проанализировать на наличие проблем онлайн. Благо, сервисов для такой проверки на сегодняшний день достаточно.

Ниже будут рассмотрены 5 вариантов анализирования системы. Правда, провести эту операцию без загрузки маленькой вспомогательной программы не получится. Сканирование осуществляется в режиме онлайн, но антивирусам требуется доступ к файлам, а сделать это через окно браузера довольно затруднительно.

Сервисы, позволяющие осуществить проверку, можно подразделить на два вида - это системные и файловые сканеры. Первые проверяют компьютер полностью, вторые способны проанализировать только один файл, загруженный на сайт пользователем. От простых антивирусных приложений, онлайн-сервисы отличаются размером установочного пакета, и не обладают способностью «лечения» или удаления подверженных заражению объектов.

Способ 1: McAfee Security Scan Plus

Данный сканер - это быстрый и простой способ проверки, который за несколько минут бесплатно проанализирует ваш ПК и оценит защищенность системы. Функцией удаления вредных программ он не обладает, а только оповещает об обнаружении вирусов. Чтобы запустить сканирование компьютера с его помощью, вам понадобится:

Программа начнет сканирование, после чего выдаст результаты. Клик по кнопке «Исправить сейчас» перенаправит вас на страницу покупки полной версии антивируса.

Способ 2: Dr.Web Онлайн-сканер

Это неплохой сервис, с помощью которого можно проверить ссылку или отдельные файлы.

В первой вкладке вам предоставляется возможность сканировать ссылку на вирусы. Вставьте адрес в текстовую строку и нажмите «Проверить» .

Сервис начнет анализ, по окончании которого выдаст результаты.

Во второй вкладке можно загрузить свой файл для проверки.

1. Выберите его с помощью кнопки «Choose file» .
2. Нажмите «Проверить» .

Dr.Web осуществит сканирование и выдаст результаты.

Способ 3: Kaspersky Security Scan

Быстро проанализировать компьютер способен антивирус Касперского, полная версия которого достаточно известна в нашей стране, и его онлайн-сервис также пользуется популярностью.

В следующем окне можно увидеть дополнительную информацию о найденных проблемах, нажав на надпись «Подробнее» . А если воспользоваться кнопкой «Как все исправить», приложение перенаправит вас на свой сайт, где предложит установить полную версию антивируса.

Способ 4: ESET Online Scanner

Следующий вариант проверки ПК на вирусы онлайн – это бесплатный сервис ESET от разработчиков известного NOD32. Основное достоинство этого сервиса - тщательное сканирование, которое может занять около двух часов и более, в зависимости от количества файлов в вашем компьютере. Онлайн сканер полностью удаляется после окончания работы и не оставляет за собой никаких файлов.

ESET Scanner обновит свои базы и начнет анализ ПК, по окончании которого программа выдаст результаты.

Способ 5: VirusTotal

VirusTotal – это сервис от компании Google, способный проверять ссылки и загруженные на него файлы. Такой способ подойдет для случаев, когда, например, вы загрузили какую-либо программу и хотите убедиться, что она не содержит вирусы. Сервис умеет одновременно анализировать файл по 64-ем (на данный момент) базам других антивирусных средств.

1. Чтобы проверить файл посредством данного сервиса, выберите его для загрузки, нажав на одноименную кнопку.
2. Далее кликните «Проверить».

Сервис начнет анализ и выдаст результаты по каждому из 64-ех сервисов.

Чтобы сканировать ссылку, проделайте следующее:

1. Впишите адрес в текстовое поле и нажмите на кнопку «Введите URL».
2. Далее нажмите «Проверить» .

Сервис проанализирует адрес и покажет результаты проверки.

Мы периодически скачиваем различные файлы с Интернета себе на компьютер, начиная с драйверов и заканчивая, например, музыкальными треками. Чтобы не получить вместе с ними в нагрузку вирус или какое-либо вредоносное ПО, нам необходимо, в первую очередь, проверить файл на вирусы перед началом процесса загрузки.

Если у вас возникают подозрения, что файл может содержать вредоносные элементы, вам не обязательно сначала его загружать на ПК, а потом полагаться на установленное на компьютере антивирусное программное обеспечение. Вы легко сможете просканировать его более чем шестьюдесятью антивирусными ядрами, при помощи одного эффективного онлайн-инструмента.

Этот способ не заменит вам основные методы и правила онлайн безопасности, которые призваны защитить ваши конфиденциальные данные от фишинговых атак или других угроз, но как минимум, выполнит более полную проверку объекта, который вызывает у вас беспокойство в плане .

Работа с этим инструментом не вызывает сложностей даже у пользователей с начальным уровнем владения компьютером, а со средним и выше уровнем, тем более. Необходимо уметь копировать, вставлять ссылку, пользоваться веб-браузером и не более того.

Давайте ознакомимся с этим методом подробнее в нижеследующей инструкции. Надеемся на то, что после её прочтения, вы возьмете за правило всегда проверять скачиваемый контент, перед загрузкой на жесткий диск компьютера.

ПРОВЕРИТЬ ФАЙЛ НА ВИРУСЫ

Нам нужна будет прямая ссылка, ведущая на планируемый к загрузке объект. Например, для исполняемого файла в формате.EXE или документа в формате.DOC. Скопируйте её, вызвав контекстное меню и нажав на пункт меню «Копировать ссылку».

Перейдите по адресу:

и вставьте её в соответствующее поле, после чего нажмите на значок с лупой. Дождитесь завершения работы сканера.

Если в отчете вы увидите, что никакое из ядер не обнаружило вредоносного кода, то объект определённо можно скачивать. В противном случае, если появилась как минимум единичка в первой позиции на индикаторе (0/63), нажмите на кнопку перехода напротив пункта «Скачанный файл» и просмотрите возможные угрозы и какой из их определил.

Вы также можете прокрутить страницу вниз, чтобы узнать, какие антивирусные инструменты имеют проблему с этим объектом и просмотреть более подробную информацию, а также комментарии и оценки сообщества.

VirusTotal можно легко интегрировать в ваш браузер, чтобы значительно облегчить весь процесс — проверить файл на вирусы. Одноименное расширение для основных веб-браузеров можно установить самостоятельно. Тогда всю работу можно выполнить посредством нажатия на соответствующий пункт контекстного меню в браузере. Результаты получаются более удобные к восприятию пользователя.

К сожалению, проверить компьютер на вирусы с помощью одного только сайта, открытого в браузере, нельзя. Дело в том, что в целях безопасности веб-сервисы не имеют доступа к локальным файлам и программам на ПК.

Но есть облачные антивирусы, которые могут проверять систему без полноценной установки и регистрации. Чтобы воспользоваться одним из них, достаточно скачать небольшой клиент и запустить его. После этого вы сможете просканировать компьютер целиком или выбрать разделы для частичной проверки. В процессе программа загрузит необходимые ей данные из облака. При обнаружении вирусов сервис предложит их удалить.

Если хотите проверить компьютер с помощью облачного антивируса, попробуйте эти сервисы. Все они являются продуктами известных компаний и работают сходным образом - по описанной выше схеме. Поэтому можете выбрать любой из них.

Разумеется, такой онлайн-сканер подходит только для периодических проверок по запросу и не обеспечивает постоянную защиту компьютера от вредоносных программ и сетевых атак. Поэтому он не является равноценной заменой платного антивируса.

Возможно, подобные сервисы есть и для мобильных устройств, но рекомендовать их я не стану. Ведь даже разработчики Android говорят, что антивирусы для этой системы большинству пользователей не нужны: достаточно устанавливать программы только из Google Play и быть осторожным с . А система iOS слишком закрыта, чтобы вирусы представляли серьёзную опасность для iPad или iPhone.

Веб-сервисы для проверки отдельных файлов

Если вы хотите проверить на вирусы небольшой файл или архив файлов, то это можно сделать полностью онлайн, не устанавливая вообще никаких программ. Нужно лишь перейти на любой из перечисленных ниже ресурсов, загрузить подозрительный файл с компьютера на сервер и кликнуть по кнопке проверки.

Что касается вирусов и антивирусного программного обеспечения, призванного бороться с ними, то на эту тему написано достаточно много. Проверить на вирусы файл можно достаточно просто, если знать основные моменты, связанные и с действием вирусов, и с принципами работы антивирусных программных продуктов. Рассмотрим ситуацию с проверкой файлов на вирусы несколько подробнее.

Вирусы и их действие

Появление вирусов связано с возникновением первых операционных Windows, в исполняемой среде которых эти вредоносные программы чувствовали себя как рыба в воде. Причем со временем не только ОС, но и сами вирусы претерпели очень сильные изменения.

Если раньше их действие сводилось в основном к сбою компьютерной системы, то несколько позднее эти вредители стали уничтожать пользовательские и системные файлы (вспомнить хотя бы пресловутый вирус I Love You, который приходил на электронную почту в виде любовного письма или послания).

Сегодня ассортимент очень и очень широк. В нем представлены компьютерные «черви», кейлоггеры, да и вообще, любые вредоносные коды или исполняемые макросы. Заметьте: если на заре своего возникновения вирусы, как правило, были представлены исполняемыми файлами.exe, то позже они начали маскироваться, скажем, под динамические библиотеки.dll, музыку формата.mp3 или даже обычные текстовые файлы с расширением.txt. Более того, сейчас многие вирусы не выглядят как отдельная программа, а встраиваются, например, в документы Microsoft Office, так что открытие такого документа может повлечь за собой самые негативные последствия, связанные не только с «крашем» операционной системы, но и с захватом управления компьютером или кражей и данных.

Антивирусные программы

Если задаться вопросом о том, как проверить файл на вирусы, ответ на него самый простой: использовать антивирусное ПО. В современном компьютерном мире такой метод является наиболее действенным, учитывая, что практически каждый день создается огромное количество новых вредоносных программ.

Если рассматривать все в общих чертах, то можно сказать, что проверить на вирусы файл можно любой из них, поскольку все они работают по единому принципу, правда, используют разные методы проверки.

Естественно, лучше выбирать в которых присутствует максимальный функциональный набор плюс «проактивная» защита. В данном случае проверить файл на вирусы будет очень просто, ведь будут применены сигнатурный, эвристический и поведенческий анализ, а в некоторых случаях и сравнение контрольных сумм (правда, многие считают, что такой метод устарел). Но в совокупности можно получить практически 100-процентный результат.

Способы проверки файлов

Естественно, в каждой методике проверки есть свои положительные стороны и недостатки, связанные с функциональным набором самих антивирусов или онлайн-сервисов. Как говорится, здесь все зависит от разработчика программного обеспечения или интернет-ресурса.

Проверка с помощью антивируса

Что касается использования то проверить файл на вирусы достаточно просто. Дело в том, что практически все известные антивирусы после установки интегрируются в контекстное меню файловых менеджеров и создают в нем собственные команды быстрого доступа к тому или иному действию. Таким образом, отпадает необходимость вызывать антивирус в ручном режиме.

Например, при использовании программного пакета Kaspersky Antivirus сам «Касперский» проверить файл на вирусы может при вызове команды «Проверить на вирусы» при условии русифицированной версии программы. Такая команда доступна в выпадающем меню, появляющемся после правого клика мышью по файлу, который нужно проверить.

Собственно, тот же Eset NOD32 работает аналогичным образом. В изменяется только название вызываемой команды. В данном случае она называется «Сканировать программой Eset NOD32» (или Eset Smart Security).

Вопрос о том, как проверить файл или сайт на вирусы, решается и при вызове таких сканеров вручную. Например, в приложении NOD32 в меню «Сервис» имеется специальная команда «Отправить файл для анализа». При использовании этого пункта необходимо будет указать адрес своей электронной почты и прикрепить сомнительный файл, после чего он и будет отправлен на анализ в лабораторию этой IT-корпорации. Вот тут мы вплотную подходим к решению задачи, как проверить на вирусы файл с использованием специализированных интернет-ресурсов.

Онлайн-проверка

Для онлайн-проверки файлов на предмет присутствия вирусов существует достаточно много сервисов. Их создают чуть ли ни все производители антивирусного ПО. Можно использовать все что угодно: ресурсы «Лаборатории Касперского», компании Eset, Dr.Web, Norton и т. д.

К примеру, одним из самых простых и популярных сервисов является Virus Total. Для его использования достаточно просто зайти на официальный сайт, прикрепить искомый файл или url-ссылку на интернет-ресурс (либо ссылку на файл, содержащийся на странице) в соответствующем поле и нажать кнопку «Проверить». Собственно, так и решается задача, как проверить файлы сайта на вирусы, не говоря уже о проверке файлов, хранящихся на локальном компьютерном терминале. Правда, тут есть небольшая загвоздка. Дело в том, что на самом проверочном сайте есть ограничение по размеру проверяемых файлов, которое составляет 64 Мб (ранее - 32 Мб).

Итог

Подводя итог, можно отметить, что все вышеописанные способы хороши. Тем не менее, если вам нужно проверить на вирусы файл или файлы, хранящиеся на винчестере или съемном лучше использовать антивирусное ПО, которое устанавливается на компьютер. Для проверки ресурсов в сети или файлов на сайтах лучше использовать онлайн-проверку. Так вы убедитесь в безопасности выбранного источника, перед тем как посетить сам ресурс или скачать с него информацию.

Развитие вирусного ПО происходит с такими темпами, что не все антивирусы могут справиться с этим. Поэтому, когда пользователь начинает подозревать, что на его компьютере появился зловред, но установленная антивирусная программа ничего не находит, на помощь приходят портативные сканеры. Они не требуют инсталляции, поэтому не конфликтуют с установленной защитой.

Существует множество сканеров, которые с легкостью определят, есть ли угроза в вашей системе, а некоторые даже очистят ее от ненужных файлов. Вам просто нужно будет скачать понравившуюся утилиту, за надобностью настроить или загрузить базы, запустить и ждать результата. Если проблемы будут найдены, то сканер предложит вам решение.

Пользователи также используют антивирусные утилиты тогда, когда на их компьютере отсутствует защита, ведь проще воспользоваться сканером, чем вечно загружать процессор антивирусной программой, особенно на слабых устройствах. Также, портативные утилиты удобны, ведь если у вас возникли проблемы с установленной защитой, то вы всегда можете запустить проверку и получить результат.

Способ 1: Dr.Web CureIt

Dr.Web CureIt – это бесплатная утилита от известной российской компании Dr.Web. Данный инструмент способен лечить найденные угрозы или помещать их на карантин.

Способ 2: Kaspersky Virus Removal Tool

Kaspersky Virus Removal Tool — полезный и доступный для всех инструмент. Конечно же, он не обеспечивает такую защиту как , но отлично справляется с разного рода вредоносным ПО, которое только найдёт.

Способ 3: AdwCleaner

Легкая утилита AdwCleaner может очистить компьютер от нежелательных плагинов, расширений, вирусов и многого другого. Может полностью проверить все разделы. Бесплатная и не требует установки.

Способ 4: AVZ

Портативный режим AVZ может стать очень полезным инструментом для удаления вирусов. Кроме очистки от зловредных программ, АВЗ имеет несколько полезных функций для удобной работы с системой.

Зная несколько полезных портативных сканеров, вы всегда сможете проверить компьютер на вирусную активность, а также устранить её. К тому же, некоторые утилиты имеют другие полезные для работы функции, которые тоже могут всегда пригодиться.