Что не может сканировать антивирус
Похоже, что после того, как Защитник Windows выполнит конкретное обновление своей базы данных, у него начнутся проблемы с зависанием, или он просто не сможет правильно запуститься в Windows 8.1 или Windows 10. Мы нашли решение этой проблемы, и оно так же просто, как и оно. можно получить, следуя приведенным ниже инструкциям, только в том порядке, в котором они описаны, и исправьте Защитника Windows в операционной системе Windows 8.1 или Windows 10.
Таким образом, в приведенном ниже учебном пособии мы будем выполнять действие по восстановлению настроек обратно туда, где у вашего Защитника Windows не было этой проблемы, а также несколько дополнительных проверок системы, чтобы убедиться, что это от Защитника Windows, а не от самой операционной системы. ,
Защитник Windows – это надежное приложение безопасности, которое может защитить ваш компьютер от различных угроз. Тем не менее, некоторые проблемы могут возникнуть с этим инструментом, и, говоря о проблемах, пользователи сообщили о следующих проблемах:
Решение 1. Используйте командную строку
По словам пользователей, вы можете решить проблемы с Защитником Windows, просто используя командную строку. Для этого выполните следующие действия:
- Запустите Командную строку от имени администратора.
- В командной строке вам нужно будет написать следующую команду: «C: \ Program Files \ Защитник Windows \ MpCmdRun.exe» –removedefinitions . Теперь нажмите Enter , чтобы запустить команду.
- После выполнения команды закройте Командную строку и перезагрузите компьютер.
Примечание. Очень важно помнить о том, что вам не следует снова выполнять обновление Защитника Windows. Если вы хотите обновить приложение Защитника Windows, убедитесь, что Microsoft исправила эту проблему.
- ЧИТАЙТЕ ТАКЖЕ: Исправлено: Защитник Windows не включается в Windows 10
Часть 1. Бредово-ностальгическое вступление
В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.
Многие взгляды и мнения изменились.
Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.
Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.
Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.
А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.
Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))
Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.
Решение 1. Используйте командную строку
По словам пользователей, вы можете решить проблемы с Защитником Windows, просто используя командную строку. Для этого выполните следующие действия:
- Запустите Командную строку от имени администратора.
- В командной строке вам нужно будет написать следующую команду: «C: \ Program Files \ Защитник Windows \ MpCmdRun.exe» –removedefinitions . Теперь нажмите Enter , чтобы запустить команду.
- После выполнения команды закройте Командную строку и перезагрузите компьютер.
Примечание. Очень важно помнить о том, что вам не следует снова выполнять обновление Защитника Windows. Если вы хотите обновить приложение Защитника Windows, убедитесь, что Microsoft исправила эту проблему.
- ЧИТАЙТЕ ТАКЖЕ: Исправлено: Защитник Windows не включается в Windows 10
Решение 6 – Создать новую учетную запись пользователя
По мнению пользователей, иногда ваша учетная запись пользователя может быть повреждена, что может вызвать проблемы с Защитником Windows. Чтобы решить эту проблему, рекомендуется создать новую учетную запись пользователя и проверить, появляется ли проблема в новой учетной записи.
Для этого просто выполните следующие простые шаги:
После создания новой учетной записи пользователя переключитесь на нее и проверьте, появляется ли проблема по-прежнему. Если нет, вам нужно переместить свои личные файлы в новую учетную запись и начать использовать ее вместо старой.
Решение 2 – Проверьте список исключений
Если Защитник Windows не выполнит быстрое сканирование, проблема может заключаться в вашем списке исключений. По словам пользователей, иногда вредоносная программа может добавить весь диск в список исключений, чтобы Windows не могла его найти.
Однако вы можете решить проблему, просто проверив список исключений. Для этого выполните следующие действия:
- Нажмите Ключ Windows + I , чтобы открыть приложение Настройки .
- Когда откроется Приложение настроек , перейдите в раздел Обновление и безопасность .
- В меню слева выберите Безопасность Windows . На правой панели нажмите Открыть Центр безопасности Защитника Windows .
- Выберите Защита от вирусов и угроз .
- Теперь выберите Настройки защиты от вирусов и угроз .
- Прокрутите вниз до раздела Exclusion и нажмите Добавить или удалить исключения .
- Если ваш системный диск находится в списке, обязательно удалите его. Возможно, вам также придется удалить другие исключения из списка.
После этого проблема должна быть полностью решена.
СКАНИРУЙТЕ ВЕСЬ КОМПЬЮТЕР ИЛИ ОТДЕЛЬНЫЕ ОБЛАСТИ
Вы можете сканировать весь компьютер или выбрать нужную область, включая отдельные папки, автозагрузку и загрузочный сектор. После проверки вам предложат удалить зараженные файлы или переместить их в защищенную область, где их можно восстановить.
Решение 1 – Удалить сторонний антивирус
Если это простое действие не решает проблему, убедитесь, что вы не запускаете другую антивирусную программу одновременно. Если вы это сделаете, удалите его и сохраните Защитника Windows. Если у вас ранее был другой антивирус, и вы недавно установили Защитник Windows, также возможно, что остатки вашей предыдущей программы безопасности все еще присутствуют. В этом случае вам необходимо полностью удалить все следы вашего предыдущего антивируса.
Вы можете использовать определенные средства удаления антивируса в зависимости от используемого вами программного обеспечения для защиты от вредоносных программ. Вот список утилит для удаления наиболее распространенных антивирусных программ:
- Утилита удаления Avast
- AVG инструмент для удаления
- Инструмент удаления Avira
- Средство удаления BitDefender
- Инструмент удаления Kaspersky
- ESET инструмент для удаления
- Инструмент удаления BullGuard
Запустите инструмент удаления, перезагрузите компьютер, перейдите к Защитнику Windows и запустите быстрое сканирование.
Решение 3 – Проверьте ваши исключения
Многие пользователи сообщали об определенных проблемах при использовании Защитника Windows. По их словам, проблема была в исключениях. Иногда вредоносные приложения могут добавлять определенные файлы или каталоги, вызывая эту проблему.
Фактически, несколько пользователей сообщили, что весь их диск C был добавлен в список исключений без их ведома. Это вызвало проблему с Защитником Windows, но вы можете легко решить эту проблему, просто удалив исключения. Для этого вам необходимо выполнить следующие шаги:
- ЧИТАЙТЕ ТАКЖЕ: Решение для “Обнаружено вредоносное ПО” Защитник Windows предпринимает действия “
- Нажмите Ключ Windows + I , чтобы открыть приложение Настройки .
- Теперь перейдите в раздел Обновление и безопасность .
- В меню слева выберите Защитник Windows . На правой панели выберите Открыть Центр безопасности Защитника Windows .
- Появится Центр безопасности Защитника Windows . Нажмите Защита от вирусов и угроз .
- Теперь выберите Настройки защиты от вирусов и угроз .
- Прокрутите вниз до раздела Исключения и нажмите Добавить или удалить исключения .
- Теперь вы должны увидеть все доступные исключения. Выберите исключение и нажмите кнопку Удалить .
Удалите все исключения из Защитника Windows и проверьте, решает ли это проблему.
Решение 4. Выполните сканирование SFC, DISM и chkdsk.
По словам пользователей, иногда проблемы с Защитником Windows могут возникать из-за поврежденных системных файлов. Чтобы решить эту проблему, рекомендуется выполнить сканирование SFC. Для этого выполните следующие действия:
- Нажмите Windows Key + X , чтобы открыть меню Win + X. Выберите в списке Командная строка (Администратор) . Если Командная строка недоступна, вы также можете использовать PowerShell (Admin) .
- После запуска Командная строка введите sfc/scannow и нажмите Enter .
- Сканирование SFC начнется. Подождите, пока сканирование завершится. Имейте в виду, что это сканирование может занять до 15 минут.
По завершении сканирования проверьте, сохраняется ли проблема. Если вы не смогли запустить сканирование SFC или проблема не устранена, вы можете попробовать использовать сканирование DISM. Для этого выполните следующие действия:
- Запустите Командную строку от имени администратора.
- Когда откроется Командная строка , введите DISM/Online/Cleanup-Image/RestoreHealth и нажмите Enter , чтобы запустить его.
- DISM сканирование начнется. Имейте в виду, что это сканирование может занять до 20 минут, поэтому не прерывайте его.
После завершения сканирования DISM проверьте, сохраняется ли проблема. Если проблема все еще существует или вы не смогли запустить сканирование SFC прежде, обязательно повторите сканирование SFC снова. После этого проблема должна быть полностью решена.
- ЧИТАЙТЕ ТАКЖЕ: ‘Служба этой программы остановлена’ Ошибка Защитника Windows
Несколько пользователей также рекомендуют использовать сканирование chkdsk. Для этого выполните следующие действия:
- Запустите Командную строку от имени администратора.
- Теперь введите chkdsk/f X: . Помните, что вам нужно заменить X буквой, обозначающей системный раздел. В большинстве случаев это будет C . Нажмите Enter , чтобы запустить команду.
- Если вы решите сканировать диск C, вам нужно запланировать сканирование и перезагрузить компьютер. Для этого нажмите Y в Командная строка и перезагрузите компьютер.
- После перезагрузки компьютера сканирование chkdsk запустится автоматически. Подождите, пока сканирование завершится. В зависимости от размера вашего раздела сканирование может занять до 20 минут и более.
После завершения сканирования проверьте, сохраняется ли проблема.
Пользователи жалуются, что Защитник Windows не будет выполнять быстрое сканирование
Защитник Windows является надежным антивирусом, но иногда Защитник Windows не может выполнить быстрое сканирование. Это может быть проблемой, и, говоря о Защитнике Windows, вот некоторые похожие проблемы, о которых сообщили пользователи:
Решение 3 – Изменить параметры питания
По словам пользователей, если Защитник Windows не выполнит быстрое сканирование, возможно, проблема в настройках питания. Для этого просто выполните следующие действия:
После этого проверьте, решена ли проблема. Это звучит как странное решение, но несколько пользователей сообщили, что оно работает, поэтому вы можете попробовать его.
Решение 6 – Используйте сторонний антивирус
Если вы по-прежнему не можете решить проблему с Защитником Windows, возможно, стоит подумать о переходе на стороннее антивирусное решение. В прошлом мы рассматривали антивирусное программное обеспечение, и если вы ищете новое антивирусное приложение для вашего ПК, мы должны рекомендовать Bitdefender , BullGuard и Panda Antivirus. . Все эти инструменты предлагают отличные функции, поэтому, если вы не можете решить проблему с помощью Защитника Windows, не стесняйтесь попробовать любой из этих инструментов.
Вот вам два метода, которые точно покажут вам, что нужно сделать для исправления Защитника Windows в операционной системе Windows 8.1 или Windows 10. Вы также можете написать нам в разделе комментариев на странице, расположенной ниже, если у вас есть какие-либо дополнительные вопросы или вопросы по этому вопросу, и мы поможем вам в дальнейшем как можно скорее.
Примечание редактора . Этот пост был первоначально опубликован в феврале 2015 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.
Запуск антивирусной программы очень важен для безопасности вашей системы. Windows 10 поставляется со встроенным антивирусом, Защитником Windows, который может защитить вашу систему от различных вредоносных программ и связанных с ними угроз.
Антивирусная программа Microsoft может выполнять сканирование трех типов: быстрое, полное и пользовательское. Получить антивирус для сканирования вашего компьютера довольно просто, все, что вам нужно сделать, это проверить один из трех вариантов и дождаться завершения сканирования. К сожалению, недавние отчеты пользователей показали, что Защитник Windows не будет выполнять быстрое сканирование из-за неправильной группы или состояния ресурса.
ПРОСТОЙ ЗАПУСК И БЫСТРАЯ ПРОВЕРКА
Запустите ESET Online Scanner из любого браузера и выберите области для проверки. Запуск сканирования не требует входа в учетную запись администратора и не конфликтует с установленным антивирусом.
Часть 2. Совсем немного теории
Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.
При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.
Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.
Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.
Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.
Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.
Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.
Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.
Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.
Решение 7 – Выполнить восстановление системы
Если Защитник Windows не выполнит быстрое сканирование, вы можете решить проблему, выполнив Восстановление системы. Для этого выполните следующие действия:
После завершения процесса восстановления проверьте, сохраняется ли проблема.
Решение 5 – Выполнить сканирование SFC и DISM
Защитник Windows является основным компонентом Windows 10, и если вы не можете выполнить быстрое сканирование, возможно, проблема в повреждении файла. Ваши системные файлы могут быть повреждены, и это приведет к появлению этой проблемы.
- Нажмите Windows Key + X , чтобы открыть меню Win + X, и выберите Командная строка (Admin) . Кроме того, вы также можете использовать PowerShell (Admin) .
- Когда откроется Командная строка , введите sfc/scannow и нажмите Enter .
- Сканирование SFC начнется. Сканирование может занять около 15 минут, поэтому не прерывайте его.
После того, как сканирование завершено, проверьте, не устранена ли проблема. Если проблема сохраняется, или если вы не можете запустить сканирование SFC, вам, возможно, придется использовать сканирование DISM. Для этого выполните следующие действия:
- Запустите Командную строку от имени администратора.
- Теперь выполните команду DISM/Online/Cleanup-Image/RestoreHealth .
- Сканирование DISM начнется. Сканирование может занять около 20 минут, а иногда и больше, поэтому не мешайте ему.
После завершения сканирования DISM проверьте, сохраняется ли проблема. Если вы хотите, вы можете повторить сканирование SFC еще раз, и все поврежденные файлы должны быть восстановлены.
ЭФФЕКТИВНОЕ ОБНАРУЖЕНИЕ УГРОЗ ЛЮБОЙ СЛОЖНОСТИ
ESET Online Scanner детектирует все типы угроз: вирусы, черви, троянские и шпионские программы, фишинг и др. Используется технология проактивного детектирования известных и неизвестных ранее угроз ThreatSense, а также актуальные сигнатурные базы.
- Передовые облачные и эвристические технологии ESET для обнаружения новых и уже известных угроз независимых лабораторий и победы в сравнительных тестах
- Быстрая работа на устройствах с любыми характеристиками
- Экономия заряда аккумулятора устройства
- Минимальный размер обновлений вирусных баз
- Удобный интерфейс, адаптированный к любым типам устройств
- Бесплатная круглосуточная техническая поддержка
- Лицензия для всей семьи – сразу на три или пять устройств на разных операционных системах
- Продукты
- ESET NOD32 Internet Security
- ESET NOD32 Антивирус
- ESET NOD32 Mobile Security для Android
- ESET NOD32 Parental Control для Android
- ESET NOD32 Smart TV Security
- ESET NOD32 Cyber Security Pro
- ESET NOD32 Cyber Security
- MyPrivacy
- Дополнительные возможности
- ESET Online Scanner
- ESET AV Remover
- ESET NOD32 LiveCD
- ESET Log Collector
- ESET SysInspector
Последний год я работал над реализацией вирусного сканера для одной антивирусной как ни странно компании.
Пост являет собой выжимку приобретенных знаний, и повествует хабрасообществу о внутреннем устройстве как ни странно антивирусного сканера.
Сканирующий движок или сканер — это фундамент антивирусного пакета. Являет собой бэк-энд антивируса и, как правило представлен в виде dll, так как сканер используется сразу несколькими программами из пакета.
Графическая оболочка в этом случае — лишь красивая обертка для отображения результатов движка. Всю полезную работу, делает движок в бэк-енде.
Локации вирусного ПО
- Сканирование произвольных файлов и папок, вплоть до целых дисков.
- Сканирование памяти. Сканируются все загруженные в память процессы и их dll.
- Сканирование загрузочных записей дисков (Master Boot Records — MBR).
- Сканирование системы на предмет следов вредоносного ПО. Проверка системных папок вроде %APPDATA%, %WINDIR% на предмет определенных файлов и папок. Сканирование реестра, также на предмет следов в автозагрузке и настройках.
Виды сканирования.
Сканирование делится на два основных вида: сигнатурный и эвристический.
Сканирование на основе сигнатур.
Другое название — хэш-скан (hash scan). Сканер проверяет файлы путем сравнения сигнатур файлов со словарем.
Обычно сигнатурой антивируса является MD5-хэш (16 байт) сгенерированный на основе тела известного вируса.
Таким образом, файл считается зараженным, если его хэш найден в базе сигнатур. Для локализации выявления вредоноса, хэш может вычисляться только для exe-файлов на основе PE-заголовка.
Такой вид сканирования позволяет определить вид атаки с высокой долей вероятности, без ложных срабатываний (чем грешит эвристическое сканирование).
К недостаткам хэш-скана относят неспособность выявить новые вирусы, которые отсутствуют в базе. А также беззащитность перед полиморфными или шифрующимися вирусами, в связи с чем требуются регулярные обновления базы сигнатур.
Также слабым местом хэш-скана является скорость проверки. Если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование с такой массой сигнатур в разумное время.
Эвристическое сканирование
Компоненты и вспомогательные модули сканера
Драйвер прямого доступа к диску
Необходим для обхода руткитов. В зараженной системе, руткиты используются
для заметания следов своего присутствия. Лучшим способом для этого является подмена вызовов API-функций.
В частности для работы с файлами: CreateFile, ReadFile итд. Когда антивирусная программа сканирует систему,
вызывая эти функции, то руткит может возвращать FALSE, когда такой вызов относится к нему. Чтобы обойти это,
сканер содержит в себе модуль непосредственного посекторного считывания с диска, без использования WinAPI.
Черно-Белые списки
Служат для фильтрации обнаружений, которые на самом деле не являются зловредами. Таким образом, антивирус не предупреждает об опасности, в случае ложного срабатывания.
Современные антивирусы, хранят базу в среднем от 5 млн. сигнатур. Причем довольно часто, для одного вируса, может существовать с десяток сигнатур. Возможная ситуация, что из нескольких тысяч системных файлов, найдется подходящий под сигнатуру файл. А это грозит тем, что антивирус удалит его, или переместит в карантин, что может привести к отказу системы вовсе.
Минимизировать ложные срабатывания — главный приоритет любой антивирусной компании.
Чтобы пройти самый престижный антивирусный тест — virus bulletin, антивирус должен показать 100% результат обнаружения, при этом не выдав единого ложного срабатывания.
Белый список — содержит список файлов, которые не вредят системе, но так или иначе обнаруживаются сканером.
Черный список — содержит список вирусов, которым мы доверяем (также не наносят вреда системе).
Распаковщики, дешифровшики
Чтобы достичь приемлемого уровня обнаружения вируса, сканер должен отрабатывать exe-шники, зашифрованные exe-пакером (Например UPX). Тогда перед вычислением хэша, сканер обнаруживает, что файл зашифрован и сначала обращается к дешифровщику, а затем уже на этой основе, вычисляется хэш и сравнивает с имеющимся в базе.
Второй вид архивов — это всем известные zip, rar, 7z итд. Антивирус также должен уметь распаковывать эти архивы, и сканировать содержимое.
Третий вид — это распаковка NTFS ADS (NTFS Alternative Data Streams). В файловой системе NTFS, исполняемый файл может быть замаскирован под обычный, например текстовый. Альтернативный поток этого файла, будет ссылаться непосредственно на вирус.
Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.
Решение 4 – Установите последние обновления
В некоторых случаях вы можете решить эту проблему, просто установив последние обновления. Microsoft усердно работает над исправлением ошибок и проблем Windows 10, и иногда Центр обновления Windows может решить ваши проблемы.
По умолчанию Windows 10 автоматически загружает и устанавливает обновления, но иногда вы можете пропустить обновление. Однако вы можете в любое время проверить наличие обновлений вручную, выполнив следующие действия:
- Откройте приложение Настройки и перейдите в раздел Обновление и безопасность .
- Теперь нажмите кнопку Проверить обновления на правой панели.
Если доступны какие-либо обновления, они будут загружены в фоновом режиме и установлены, как только вы перезагрузите компьютер. После перезагрузки компьютера проверьте, не устранена ли проблема.
Решение 5 – Установите последние обновления
Если у вас есть проблемы с Защитником Windows, проблема может быть связана с вашей Windows. Некоторые ошибки могут появляться время от времени, и эти ошибки могут мешать работе Защитника Windows.
По умолчанию Windows 10 автоматически загружает отсутствующие обновления, но иногда вы можете пропустить обновление. Однако вы всегда можете проверить наличие обновлений, выполнив следующие действия:
Windows проверит наличие доступных обновлений и загрузит их в фоновом режиме. После установки последних обновлений проверьте, сохраняется ли проблема.
Часть 4. Выводы
А можно без них? ;) Ну ладно.
Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.
Но дело не в том.
Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.
То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!
Архив с файлами, скриптами и результатами можно скачать здесь.
В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:
Часть 3. Практика
Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.
Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:
Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.
Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:
Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.
Детект снят — но мы не получили исполняемый файл.
В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:
Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.
Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:
Итоговый код выглядит следующим образом:
После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.
Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)
Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:
Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:
Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)
Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.
Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:
Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.
Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:
Вот как выглядит итог выполнения такого файла:
Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.
6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.
Интересный итог я получил после сжатия итогового файла с помощью UPX командой:
Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL
Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.
Решение 2. Запустите восстановление системы
ВАЖНО! . Перед тем, как выполнить этот шаг, создайте резервную копию файлов и папок, которые вам понадобятся, поскольку существует вероятность, что после восстановления системы эти файлы и папки могут быть удалены.
- Нажмите Windows Key + S и введите восстановление системы . Выберите в меню Создатьточку восстановления .
- Появится окно Свойства системы . Теперь нажмите кнопку Восстановление системы .
- Когда откроется окно Восстановление системы , нажмите Далее .
- Если доступно, установите флажок Показать больше точек восстановления . Выберите нужную точку восстановления в меню и нажмите Далее .
- Теперь следуйте инструкциям на экране, чтобы завершить процесс восстановления.
Как только ваш компьютер будет восстановлен, проверьте, сохраняется ли проблема.
Решение 8 – Попробуйте сторонний антивирус
Если Защитник Windows не выполнит быстрое сканирование, возможно, лучшим вариантом будет переключиться на другое антивирусное программное обеспечение.
На рынке есть много замечательных антивирусных инструментов, и если вы ищете антивирусное программное обеспечение, которое обеспечит максимальную защиту без вмешательства в вашу систему, вам следует рассмотреть возможность использования BullGuard .
Невозможность выполнить быстрое сканирование в Защитнике Windows может быть большой проблемой, но мы надеемся, что вам удалось решить эту проблему с помощью одного из наших решений.
Примечание редактора . Этот пост был первоначально опубликован в августе 2016 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.
Бесплатный инструмент для простого и эффективного удаления вредоносных программ с любого компьютера без установки антивирусного программного обеспечения.
- Сканирует без установки программы
- Обнаруживает все типы угроз
- Устраняет любые вредоносные программы, в том числе из реестра
Читайте также: