در پست «آنالیز ترافیک بدافزار با استفاده از Wireshark» خواندیم که چگونه میتوانیم با استفاده از نرمافزار Wireshark ترافیک بدافزار را شناسایی کنیم. در این پست درباره شناسایی فایل آلوده میخوانیم که چطور بدون وایرشارک و تنها با ابزارهای سادهتر بتوانیم تشخیص دهیم که فایلی آلوده است یا نیست.
قبل از هر چیز فراموش نکنید که باید روی دستگاهتان نرمافزار آنتیویروس به روز و مطمئنی نصب کرده باشید. هر چند ممکن است در برخی مواقع این نرمافزار نتواند بدافزار را شناسایی کند، اما مطمئن باشید که آنتیویروس یا آنتیبدافزار مطمئن و به روز روی دستگاهتان نصب است.
۵ راه شناسایی فایل آلوده
شماره ۱: Virus Total
این سرویس را فراموش نکنید. یکی از بهترین سرویسهای متنباز است که آنالیز خوبی از فایل یا آدرس وبی که به آن میدهید، به شما برمیگرداند. کار با این ابزار هم بسیار آسان است. کافیست از این آدرس https://www.virustotal.com/gui/home/upload بازدید کنید و فایل مورد نظرتان را بارگذاری کنید. اگر فایل را مخرب تشخیص دهد، بلافاصله متوجه میشوید.
شماره ۲: Sandboxing
سندباکسینگ روشی سریع برای بررسی عملکرد داخلی بدافزار است. امروزه بیشتر سازمانها راهحل سندباکسینگ خودشان را دارند. علاوه بر این سرویسهای سندباکس متنباز فراوانی وجود دارند که به رایگان به کاربران سرویس میدهند، مانند Anibus , anyrun و Cuckoo . لیست بیشتر آنها را در آدرس https://zeltser.com/automated-malware-analysis/ میتوانید پیدا کنید.
برای نمونه میتوانید از سرویس سندباکس CAPE استفاده کنید که کار با آن مانند Virus Total آسان است، کافیست از آدرس https://capesandbox.com/submit/ بازدید و فایلتان را بارگذاری کنید.
شماره ۳: بررسی مقدار HASH
یکی دیگر از راههای شناسایی فایل آلوده بررسی مقدار هش دو فایل است. هش فایلهایی که از منابع رسمی و معتبر دانلود میکنید،در همان منبع نوشته شده است. هنگامی که شما فایل را دانلود کردید و یا از منبع دیگری آن را دریافت کردید، کافیست هش آن را بدست آورده و با هش نوشته شده در منبع اصلی مقایسه کنید. اگر این دو مقدار یکی باشند، فایل دست نخورده است، در غیر اینصورت یعنی کد فایل تغییر کرده و میتواند شامل بدافزار باشد.
در سیستم عامل ویندوز با استفاده از برنامه certutil میتوانید هش یک فایل را بدست بیاورید.
شماره ۴: رفتار غیرعادی در دسکتاپ
اگر از قبل روی دستگاهتان فایل آلودهای نصب شده باشد، احتمالا رفتارهای غیرعادیای روی دستگاهتان مشاهده خواهید کرد. مانند مشاهده یک نقطه سیاه کوچک روی مانیتور، که همان ترمینال است که در حال نصب ملزومات دیگر بدافزار است، یا شورتکاتهای مختلف روی دسکتاپ، تاخیر در پاسخگویی سیستمعامل، آیکنهای غیرعادی و غیره. فراموش نکنید که در برخی موارد هم بدافزار هیچ نشانه بصریای از خود به جا نمیگذارد.
شماره ۵: فرایندها را دنبال کنید
هنگامی که بدافزار روی دستگاه نصب شده باشد، در بعضی موارد، خودش را با استفاده از Process replacement در قالب یک برنامه یا فرایند معتبر معرفی میکند. برای تمییز دادن یک پروسه معتبر از غیر معتبر میتوانید از ابزارهایی مانند Process Explorer استفاده کنید. یکی دیگر از راههایی شناسایی فایل آلوده بررسی میزان فعالیت CPU دستگاهتان است. برای مثال اگر روی دستگاهتان یک Cryptominer نصب شده باشد، میزان استفاده از CPU بسیار بیشتر از حالت معمول خواهد بود.
علاوه بر اینها میتوانید از ابزار Netstat با دستور netstat -anb استفاده کنید که درگاههای باز و IP مقصد را نشان میدهد، همراه اینکه کدام فایل اتصال را برقرار کرده است. بنابراین با بررسی این اطلاعات میتوانید فایل مخرب را پیدا کنید.
همچنین میتوانید پست «نحوه استفاده از TCPView برای یافتن نرمافزارهایی که از اینترنت دستگاه استفاده میکنند» را نیز مطالعه کنید.
