Как проверить образ диска на вирусы
Загрузочные антивирусные диски позволяют создать загрузочную флешку или CD/DVD диск на чистом компьютере, чтобы использовать данный носитель для сканирования зараженной системы без необходимости загружать Windows
Как поступить в ситуации, когда ваш компьютер не загружается, и вы уверены, что причина данной проблемы заключается в вирусе или вредоносной программе? Как просканировать систему и выполнить очистку, если Windows не загружается?
Как раз для таких случаев отлично подойдет загрузочная антивирусная программа. Пользователь создает загрузочную флешку или CD/ DVD диск на чистом компьютере, а потом может использовать данный носитель для сканирования жесткого диска на вирусы даже без необходимости загружать Windows.
Так как многие вирусы блокируют загрузку операционной системы Windows, загрузочная антивирусная среда может стать очень эффективным решением для очистки компьютера от угроз и восстановления его нормальной работоспособности.
Примечание: для создания загрузочного носителя нужно скачать соответствующий ISO-образ и записать его на диск или флешку, например, с помощью программы Rufus. Затем нужно загрузиться с диска или USB-устройства флеш-памяти на зараженном компьютере.
Anvi Rescue Disk
Anvi Rescue Disk - простой загрузочный антивирусный сканер, который предлагает только три варианта проверки: сканирование флешки, компьютера или выборочного расположения. Сканер имеет простой графический интерфейс с двумя секциями и полностью лишен каких-либо настроек.
Дополнительно Anvi Rescue Disk предлагает функцию устранения проблем в системном реестре, которые могли быть вызваны действием вируса.
Trend Micro Rescue Disk
Trend Micro Rescue Disk - еще один бесплатный загрузочный антивирус, которые не имеет графического интерфейса. Навигация по программу осуществляется в текстовом режиме с помощью клавиш стрелок.
Сканер позволяет запускать быстрое или полное сканирование.
Обратите внимание, что Trend Micro Rescue Disk скачивается как обычная программа, которую нужно записать на загрузочный диск.
Часть 2. Совсем немного теории
Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.
При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.
Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.
Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.
Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.
Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.
Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.
Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.
Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.
Sophos Bootable Anti-Virus
Sophos Bootable Anti-Virus практически не имеет параметров конфигурации. Пользователь может только выбирать один из двух вариантов сканирования.
Рекомендованная проверка (Recommended Scan) позволяет переименовывать файлы или просто отображать журнал с обнаруженными вредоносными объектами. В режиме расширенной проверки (Advanced Scan) все зараженные файлы будут удалены.
Также доступная опция Bash Shell для ручного удаления вирусов. Данный вариант будет полезен, если вы точно знаете, где находятся вредоносные файлы.
Перед загрузкой программы рекомендуется подробно ознакомится с инструкциями. Размер диска составляет примерно 190 мегабайт.
Великолепная четверка
Загрузке файла на любой из перечисленных сервисов может помешать антивирус, установленный локально или на стороне провайдера. В первый можно добавить временное исключение, а для обхода второго — использовать парольную защиту архива. VirSCAN автоматически распаковывает архивы с паролями virus и infected. В настоящее время сервис использует 39 антивирусов, но примерно треть из них сильно устарела. Десять сканеров не обновлялись с прошлого года, а базы AhnLab и CTCH датируются 2013 годом. Оставшиеся 27 актуальных сканеров полностью дублируются у VirustTotal и Metascan, где базы обновляются постоянно.
Panda Cloud Cleaner Rescue ISO
Panda Cloud Cleaner Rescue ISO - загрузочный инструмент, который позволяет запускать облачный сканер Panda Cloud Cleaner для проверки компьютера практически без дальнейшего взаимодействия с пользователем.
Panda Rescue ISO запускает программу Panda Cloud Cleaner без загрузки процессов основной системы, которые могут препятствовать нормальной процедуре антивирусной проверки.
Сначала нужно загрузить Panda Rescue ISO для подготовки к запуску Panda Cloud Cleaner. Затем компьютер будет перезагружен в Windows, но антивирусный инструмент начнет работу еще до того, как загрузятся основные процессы. Это позволяет сократить риск вмешательства в работу Panda Cloud Cleaner со стороны вредоносной программы.
Panda Rescue ISO не подойдет в тех случаях, когда вредоносная программа слишком глубоко проникла в систему Windows и заблокировала возможность загрузки системы. В подобной ситуации лучше воспользоваться другими загрузочными дисками.
Comodo Rescue Disk
Помимо стандартных устанавливаемых антивирусных продуктов, Comodo также предлагает бесплатный загрузочный диск.
Comodo Rescue Disk можно запустить с загрузочной флешки или диска в двух возможных режимах - в текстовом и с поддержкой графического интерфейса. Графическая версия имеет схожий с другими продуктами Comodo интерфейс и определенно станет более удобным вариантом для неопытных пользователей ПК.
Comodo Rescue Disk поддерживает автоматическое обновление и предлагает несколько вариантов сканирования: интеллектуальная проверка (Smart Scan), полное сканирование (Full Scan) и выборочная проверка (Custom Scan).
В режиме Smart Scan выполняет поиск активных вирусов и руткитов в памяти, загрузочных секторах, записях автозагрузки и папки системы. В режиме выборочной проверки пользователь может запускать анализ отдельных файлов и папок.
Comodo Rescue Disk поддерживает сканирование архивов, позволяет включать эвристическую проверку и может исключать анализ файлов определенного размера, например, крупных файлов свыше заданного предела. При этом размер инструмента не превышает 60 мегабайт.
VBA32 Rescue
Несмотря на то, что VBA32 не поддерживает графический интерфейс, инструмент предлагает большое количество различных опций и параметров настройки.
Пользователь может решать, какие диски нужно проверить, файлы каких расширений нужно анализировать, а также включать сканирование архивов и определять стандартное действие при обнаружении угрозы.
Вы можете включать эвристическую проверку и обновлять антивирусные сигнатуры прямо с загрузочного диска или флешки.
Очевидным недостатком VBA32 Rescue можно назвать отсутствие графического интерфейса. Программе будет непросто завоевать популярность у новичков.
Kaspersky Rescue Disk
Загрузочный диск Kaspersky Rescue Disk выполняет поиск вирусов, Интернет-червей, троянов, вредоносных и рекламных приложений, дозвонщиков и других опасных объектов.
Инструмент может работать в двух режимах: текстовый режим и режим с поддержкой графического интерфейса. Загрузочный антивирус поддерживает сканирование файлов в архивах, проверку установочных пакетов и сканирование OLE объектов.
Kaspersky Rescue Disk поддерживает эвристическую проверку и предлагает три основных варианта сканирования, в зависимости от нужд пользователя.
Вы можете настроить загрузочный антивирус Kaspersky на автоматическую очистку компьютера при обнаружении вредоносных объектов, либо оставить режим запроса дальнейшего действия у пользователя.
Единственным недостатком Kaspersky Rescue Disk можно назвать довольно крупный размер образа - около 300 мегабайт.
Часть 4. Выводы
А можно без них? ;) Ну ладно.
Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.
Но дело не в том.
Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.
То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!
Архив с файлами, скриптами и результатами можно скачать здесь.
В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:
В базах современных антивирусных продуктов содержатся описания свыше десяти миллионов вредоносных программ. Многие из них уже не способны запуститься в современных ОС или вовсе никогда не встречались в диком виде, но «сухой остаток» представляет реальную угрозу. Часто установленный антивирус не детектирует отдельные зловреды. Мы протестировали облачные сервисы, выполняющие сигнатурную проверку сразу по десяткам баз и дополняющие ее расширенным поведенческим анализом.
В *nix-системах антивирус всегда был опциональным компонентом, а у пользователей Windows даже с ним остается шанс, что в их систему проскользнет неизвестный зловред. Эвристика и проактивная защита тоже не панацея. При мягких настройках они пропускают многие потенциально опасные программы, а при параноидальных — ругаются на все подряд и парализуют нормальную работу. Режим обучения может длиться вечно, поскольку программная среда постоянно меняется.
Казалось бы, можно установить второй, третий, десятый антивирус и повысить свою защиту, мирясь с избыточностью. Вероятность того, что зловред не будет опознан ни одним из них, по идее, должна быть меньше. Однако на практике все наоборот: каждый современный антивирус содержит резидентный модуль и средства самозащиты, которые несовместимы с аналогичными разработками других компаний. Если ты детально представляешь механизм их работы и планируешь вручную устранять конфликты, то нужно быть готовым к тому, что проблемы возникнут сразу во время установки: когда инсталлятор одного антивируса находит в системе другой, то обычно он просто отказывается продолжать установку.
Есть более универсальный и безопасный способ проверить любой подозрительный файл сразу по нескольким базам — отправить его на автоматический анализ в одну из специализированных служб. Они отличаются возможностями, но принцип работы у всех один и тот же. На удаленном сервере запущено несколько виртуальных машин, в которых параллельно проверяется присланный файл. Помимо полусотни антивирусов, современные сервисы бесплатно предоставляют расширенный анализ, отчет о репутации файла или сайта, а также имеют возможность выполнения повторной проверки и просмотра предыдущих результатов. Поскольку у файлов могут быть разные имена при одинаковом содержимом, их идентификация выполняется по контрольным суммам. Для этого используются хеш‑функции MD5, SHA-256 и другие.
Полевые испытания
Сравнивать заявленные характеристики сервисов не так интересно, как проверять их на практике. Конечно, я не претендую на уровень сравнительного тестирования аналитической компании, но мой небольшой эксперимент все же дал некоторые результаты.
Для начала я запустил в виртуальной машине чистую Windows XP и устроил веб‑серфинг в IE. Честное извращенское, я кликал на все подряд, и тем охотнее, чем гаже выглядел баннер. Примерно за полчаса в кеше браузера набралось несколько вредоносных Java-скриптов и пара мелких троянов.
Windows XP — естественная среда обитания большинства зловредов
Подумав, что это как‑то несерьезно, я отправился на охоту, вооружившись хитрой флешкой. Хитрость заключалась в том, что при помощи команды mkdir "\\ ?\ %~d0\ AUTORUN. INF\ LPT5" на ней был создан каталог AUTORUN.INF и подкаталог LPT5. Имя последнего совпадает с идентификатором параллельного порта, поэтому штатными средствами ОС Windows такую запись (и все связанные с ней) в файловой системе нельзя ни создать, ни переименовать, ни удалить.
Соответственно, вирусы с чужих компьютеров будут спокойно копироваться на флешку, но не будут представлять угрозы до их ручного запуска. Они не станут заражать другие компьютеры автоматически, так как не смогут создать файл autorun.inf и прописать себя на автозапуск. После посещения пары вузов, интернет‑центра городской библиотеки и компьютерного клуба (да, они еще существуют!) тестовый набор был готов.
В архив вошли шесть представителей разных вредоносных семейств, включая троян, бэкдор, пару сетевых червей, упакованный вирус для Win32 и одну «нежелательную программу» — SFX-архив с паролем, вымогающий деньги за свою распаковку. Это не результат работы трояна‑шифровальщика, а банальный социальный инжиниринг. Поиск по сайтам антивирусных компаний показал, что все тестовые объекты были добавлены в базы данных более двух лет назад. Как видишь, их копии встречаются до сих пор.
Тем любопытнее, что при проверке с помощью VirusTotal «показатель выявления» составил 48 из 53 (bit.ly/14Nc3YB). Пять антивирусов не заметили ни одного из шести зловредов в архиве.
Пять сканеров не видят присланных зловредов в упор
Здесь нужно пояснить, что AegisLab ищет только угрозы для Android (в тесте их не было), поэтому его вердикт понятен. SUPERAntiSpyware нацелена преимущественно на рекламные модули и ожидаемо плохо справляется с троянами. ByteHero вообще не использует базы, а опирается на эвристический алгоритм. Как покажет дальнейшее тестирование, проблема заключается не в качестве его эвристики, а в некорректной распаковке архивов на выделенной ему у VirusTotal виртуальной машине.
Что до AhnLab V3 и MicroWorld-eScan, то полный провал удивителен. Оба антивируса позиционируются как комплексные решения для обеспечения безопасности на разных платформах, но проморгали все шесть угроз и сочли архив безопасным. Еще один сканер (Sophos) был недоступен на момент теста (видимо, обновлялся), а все остальные указали в результатах имя первого зараженного файла.
Загружаем тот же архив в Metascan. В первую очередь сервис порадовал детальностью отчета: он единственный показал на отдельной вкладке статистику обнаружения для каждого распакованного файла. Полностью безопасным архив сочли лишь два антивируса: Tencent и Xvirus (bit.ly/1DR9CQd). Обрати внимание: ByteHero здесь обнаружил вредоносный код, но не смог этого сделать при анализе того же архива на VirusTotal. Видимо, у этих сервисов есть свои особенности распаковки. Пока архивы лучше слать на Metascan.
Общая и детальная статистика проверки Metascan
Скромный сервис Jotti дал стопроцентно верный вердикт зараженному архиву. По количеству сканеров он уступает другим ресурсам онлайнового анализа, но в его подборку вошли действительно проверенные решения. Статистика здесь, правда, не такая детальная, как у Metascan.
Jotti — стопроцентный результат
Только Eset NOD32 рапортовал об обнаружении множественных угроз (без расшифровки), в то время как остальные ограничились упоминанием первого зараженного файла (bit.ly/1y5BBNr).
Сервис VirSCAN оказался самым капризным. При выборе русского или английского языка интерфейса он продолжал показывать сообщение на китайском. Оказывается, ему не нравится имя архива, содержащее буквы AV. Без Google Translate я бы этого никогда не узнал.
VirSCAN ругается на пиньинь независимо от выбранного языка
После игр с переименованием (список некошерных имен нигде не указан) наконец‑то удалось отправить файл на анализ. Из 39 сканеров 34 сочли архив зараженным (bit.ly/1ss2V5N). По понятным причинам ничего не нашли только антивирусы для Android и откровенно китайские поделки (jiangmin, hauri, pcc). Информативность отчета средняя: как обычно, в строке результата указывается только имя первого из обнаруженных зловредов.
Снова пять сканеров пропустили зловреды
Мы что‑то нашли, но тебе не скажем
Другие статьи в выпуске:
Прицельный огонь
При желании можно выполнить проверку и конкретным антивирусом. Такая услуга обычно доступна на сайте его разработчика, но способ ее предоставления может быть разным.
Другую разновидность составляют утилиты, способные проверять, помимо отдельных файлов, активные процессы в ОЗУ компьютера, локальные и сетевые диски. Например, ЕSET Online Scanner может быть как запущен в окне IE, так и загружен в виде отдельного клиентского приложения. Настроек в нем доступно больше, чем у многих бесплатных антивирусов.
Проверка компьютера при помощи Eset
Подобным образом работает Kaspersky Security Scan. Приложение выполняет поиск вредоносных программ и компонентов, но в отчете также перечисляет еще и найденные уязвимости, а также оценивает состояние защитного ПО.
Bitdefender QuickScan предлагает самую быструю облачную антивирусную проверку запущенных на компьютере процессов. Он определяет активный вредоносный код примерно за минуту, но не выполняет глубокий анализ файловой системы.
Trend Micro HouseCall — бесплатная утилита для поиска и удаления вирусов, троянов, бэкдоров и компонентов назойливой рекламы. Есть версии для ОС с разрядностью 32 или 64 бита.
Из множества других можно отметить Panda ActiveScan и F-Secure Online Scanner.
Спецназ
В 2005 году на базе пяти технических университетов разных стран была учреждена организация The International Secure Systems Lab. Ее коллектив разработал специфические утилиты для анализа файлов, на базе которых затем создали общедоступные веб‑сервисы — Wepawet и Anubis.
Это экспериментальные проекты, ориентированные в первую очередь на программистов, веб‑дизайнеров и других профессионалов.
F-Secure Rescue CD
F-Secure Rescue CD - простая загрузочная антивирусная программа без графического интерфейса. Загрузочный диск не имеет практически никаких настроек - пользователь может только выбрать раздел и нажать Enter, чтобы запустить сканирование.
С положительной стороны, F-Secure Rescue CD обновляет антивирусные определения перед запуском сканирования, но пользователь не может отменить эту операцию. Инструмент выделяется предельной простотой и небольшим размером - около 130 мегабайт.
Часть 3. Практика
Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.
Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:
Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.
Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:
Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.
Детект снят — но мы не получили исполняемый файл.
В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:
Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.
Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:
Итоговый код выглядит следующим образом:
После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.
Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)
Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:
Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:
Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)
Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.
Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:
Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.
Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:
Вот как выглядит итог выполнения такого файла:
Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.
6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.
Интересный итог я получил после сжатия итогового файла с помощью UPX командой:
Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL
Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.
И немного об анонимности
Теоретически такой сервис может пригодиться для сравнительного тестирования антивирусов или для того, чтобы не потерять конкурентное преимущество при разработке своего. Движок антивирусного сканера можно лицензировать (сегодня это частая практика), а вот база с сигнатурами актуальных зловредов — ценная интеллектуальная собственность. К тому же перед релизом любой программы полезно проверить реакцию антивирусов на нее. Ложные срабатывания могут быть на упаковщики исполняемых файлов, общие компоненты или не самую аккуратную реализацию сетевых функций. Вдруг ты написал «вирус» и даже не знаешь об этом?
Онлайн сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами
2007-11-20
2020-04-27
Онлайн-сервис Kaspersky Threat Intelligence Portal позволяет проверять файлы на наличие вирусов и подозрительного поведения, а также проверять безопасность сайтов и интернет-ссылок.
2020-03-09
2012-01-29
Онлайн-антивирус Metadefender от OPSWAT позволяет быстро проверить файлы до 140 MB на наличие вирусов с использованием нескольких (более 30) антивирусных сканеров
2009-10-20
Бесплатный антивирусный онлайн-сканер Jotti позволяет проверять подозрительные файлы на вирусы с использованием нескольких антивирусных программ
2017-07-01
2021-03-23
Российский онлайн-сервис для проверки безопасности файлов. Поддерживается проверка файлов размером до 256 MB с использованием антивирусных решений «Лаборатории Касперского», «Доктор Веб» и AVSoft Athena
Quttera – онлайн проверка веб-сайтов на наличие вредоносных скриптов и уязвимостей. Бесплатный веб-сканер URL-ссылок использует эвристические технологии для проактивного обнаружение онлайн-угроз
Avira Rescue System
Avira Rescue System - бесплатный загрузочный антивирус на без операционной системы Ubuntu, который может также выполнять функции редактора реестра, веб-бразуера и дискового менеджера. Все встроенные утилиты имеют привычный графический интерфейс.
Avira Rescue System автоматически обновляет сигнатуры перед выполнением сканирования. Таким образом, пользователю не требуется повторно записывать загрузочный диск перед использованием
Инструмент поддерживает сканирование архивов для максимальной защиты.
Avira Rescue System не позволяет проверять отдельные файлы, можно только просканировать весь раздел. Кроме того, размер диска очень приличный - 630 мегабайт.
Zillya! LiveCD
Zillya! LiveCD поддерживает сканирование дисков или отдельных папок, но не может анализировать конкретные файлы.
Опционально можно проверять только файлы определенных расширений, например, исполняемых файлов, которые часто включают вредоносный код. Это позволяет сократить время проверки.
На загрузочном диске доступна утилита Zillya! MBR Recovery, которая может сканировать главную загрузочную запись MBR на вирусы и вредоносные программы, чтобы восстановить возможность загрузки операционной системы.
Загрузочная среда отличается приятным интерфейсом, но имеет сравнительно большой размер: около 600 мегабайт.
Иногда приходится скачивать из интернета различные файлы, в том числе и образы (например, ISO) размером в несколько ГБ. Антивирусная программа сканирует эти образы буквально за 1-2 секунды, а, например, какую-нибудь программу размером 150-200 МБ может сканировать 5, 10 и более минут. Поскольку мы живём на Земле, а Земля, как известно, грешная, то расчитывать на святость человеческую не приходиться. Если говорить иными словами, в образах могут быть содержаться всевозможные мохнатые вирусы. Отсюда и возникает вопрос, если образ хранится на ЖД и в нём есть вирусы, то могут-ли они тем или иным образом вырваться из образа или нет? Можно-ли как-то узнать, содержатся-ли вирусы в образах. Антивирус Угроз не обнаруживает (за 1-2 секунды).
Виталий Хрюшин задал(а) этот вопрос 5 февраля 2014
Ответы:
Father | 8 марта 2014, 21:15
Файл образа сканируется быстро по одной простой причине: это просто ОДИН файл, который не заразный. А вот если его смонтировать в привод, то тогда этот файл чудесным образом становится уже не файлом, а диском с файлами, которые и надо проверять на вшивость и вот тогда уже время на проверку будет уходить больше, что вполне естественно. Вполне возможно, что в вашем антивирусе отключена проверка внутри архивов или он не понимает, что образ диска тоже архив.
Самовар | 16 февраля 2014, 16:12
Распаковывайте ISO-образы программой 7-ZIP в соответствующую папку на рабочем столе. Во время распаковки антивирус проверит файлы и остановит выполнение вредоносного кода, ежели таковой обнаружится.
юр | 8 февраля 2014, 17:42
Игор - ответил достаточно
Igor | 7 февраля 2014, 22:45
Привет! Используйте программу виртуальной операционки - ВМВеар, например. В созданной системе откройте подозрительный образ, затем определите Хэш-суммы исходного и виртуального образов по МД-5 - они должны совпадать. И уже открытый образ просканируйте антивиром. Если пусто, всё в порядке-работайте на реальной машине. Удачи!
Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.
AVG Rescue CD
AVG Rescue CD - загрузочная антивирусная программа без графического интерфейса. Сканер может проверять наличие в система потенциально нежелательных программ (ПНП), сканировать файлы cookie, обнаруживать скрытые расширения файлов и даже анализировать объекты в архивах.
Антивирусный диск предлагает богатый выбор опций сканирования - пользователь может запустить проверку отдельной папки, загрузочного сектора, системного реестра или съемного жесткого диска.
Текстовый интерфейс инструмента может быть не очень удобным для неопытных пользователей. Тем не менее, AVG Rescue CD отличается большим количеством различных операций сканирования и очистки и позволяет обновлять антивирусные определения даже без переустановки.
Windows Defender Offline
Windows Defender Offline - загрузочный антивирусный сканер с полноценным пользовательским интерфейсом. Сканер поддерживает обновление антивирусных определений прямо с диска, позволяет пользователю просматривать файлы в карантине и отменять проверку отдельных объектов, папок и файлов определенных расширений.
Windows Defender Offline поддерживает быстрые, полные и выборочные сканирования папок, разделов или дисков.
Интересно, для записи Windows Defender Offline на диск или флешку не нужно устанавливать дополнительное программное обеспечение. Все это можно сделать стандартными средствами системы.
Anvi Rescue Disk
Anvi Rescue Disk - простой загрузочный антивирусный сканер, который предлагает только три варианта проверки: сканирование флешки, компьютера или выборочного расположения. Сканер имеет простой графический интерфейс с двумя секциями и полностью лишен каких-либо настроек.
Дополнительно Anvi Rescue Disk предлагает функцию устранения проблем в системном реестре, которые могли быть вызваны действием вируса.
Dr.Web LiveDisk
Dr.Web LiveDisk - функциональный бесплатный загрузочный сканер для Windows и Linux.
Инструмент предлагает гибкие возможности настройки: можно выбирать действия по умолчанию при обнаружении зараженных элементов в системе, а также подозрительных и неизлечимых объектов. Также можно настроить действие загрузочного антивируса при распознавании рекламного ПО, дозвонщиков, программ-шуток, модулей взлома или ПНП.
Пользователь может исключить сканирование определенных директорий, задать максимальный размер анализируемых файлов и максимальное время на обработку одного объекта.
Примечательно, что Dr.Web умеет проверять и устанавливать обновления антивирусных определений самостоятельно, без перезаписи программы. Это значит, что вы можете использовать загрузочный диск в любое время, достаточно выполнить обновление перед сканированием.
Dr.Web LiveDisk доступен для установки на USB флешки и диски. Размер инструмента составляет около 600 мегабайт.
Bitdefender Rescue CD
Bitdefender Rescue CD - бесплатный загрузочный антивирусный сканер, который автоматически проверяет обновления при каждом запуске.
Вы можете исключить сканирование определенных файлов, выбирать максимальный размер проверяемых объектов и дополнительно включать проверку архивов.
Наряду с полным сканированием всего диска Bitdefender Rescue CD также позволяет выполнить анализ в отдельных папках.
Среди слабых сторон загрузочного диска Bitdefender Rescue CD можно назвать длительное время запуска и большой размер - более 650 мегабайт.
Часть 1. Бредово-ностальгическое вступление
В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.
Многие взгляды и мнения изменились.
Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.
Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.
Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.
А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.
Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))
Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.
Читайте также: