۵ راه شناسایی فایل آلوده

0
1410
۵ راه شناسایی فایل آلوده

در پست «آنالیز ترافیک بد‌افزار با استفاده از Wireshark» خواندیم که چگونه می‌توانیم با استفاده از نر‌م‌افزار Wireshark ترافیک بد‌افزار را شناسایی کنیم. در این پست درباره شناسایی فایل آلوده می‌خوانیم که چطور بدون وایرشارک و تنها با ابزارهای ساده‌تر بتوانیم تشخیص دهیم که فایلی آلوده است یا نیست.

قبل از هر چیز فراموش نکنید که باید روی دستگاهتان نرم‌افزار آنتی‌ویروس به روز و مطمئنی نصب کرده باشید. هر چند ممکن است در برخی مواقع این نرم‌افزار نتواند بد‌افزار را شناسایی کند، اما مطمئن باشید که آنتی‌ویروس یا آنتی‌بدافزار مطمئن و به روز روی دستگاهتان نصب است.

۵ راه شناسایی فایل آلوده

شماره ۱: Virus Total

این سرویس را فراموش نکنید. یکی از بهترین سرویس‌های ‌متن‌باز است که آنالیز خوبی از فایل یا آدرس وبی که به آن می‌دهید، به شما برمی‌گرداند. کار با این ابزار هم بسیار آسان است. کافیست از این آدرس https://www.virustotal.com/gui/home/upload  بازدید کنید و فایل مورد نظرتان را بارگذاری کنید. اگر فایل را مخرب تشخیص دهد، بلافاصله متوجه می‌شوید.

شماره ۲: Sandboxing

سندباکسینگ روشی سریع برای بررسی عملکرد داخلی بدافزار است. امروزه بیشتر سازمان‌ها راه‌حل سندباکسینگ خودشان را دارند. علاوه بر این سرویس‌های سندباکس متن‌باز فراوانی وجود دارند که به رایگان به کاربران سرویس می‌دهند، مانند Anibus , anyrun و Cuckoo . لیست بیشتر آنها را در آدرس https://zeltser.com/automated-malware-analysis/ می‌توانید پیدا کنید.

برای نمونه می‌توانید از سرویس سندباکس CAPE استفاده کنید که کار با آن مانند Virus Total آسان است، کافیست از آدرس https://capesandbox.com/submit/ بازدید و فایلتان را بارگذاری کنید.

شماره ۳: بررسی مقدار HASH

یکی دیگر از راه‌های شناسایی فایل آلوده بررسی مقدار هش دو فایل است. هش فایل‌هایی که از منابع رسمی و معتبر دانلود می‌کنید،در همان منبع نوشته شده است. هنگامی که شما فایل را دانلود کردید و یا از منبع دیگری آن را دریافت کردید، کافیست هش آن را بدست آورده و با هش نوشته شده در منبع اصلی مقایسه کنید. اگر این دو مقدار یکی باشند، فایل دست نخورده است، در غیر اینصورت یعنی کد فایل تغییر کرده و می‌تواند شامل بدافزار باشد.

در سیستم عامل ویندوز با استفاده از برنامه certutil می‌توانید هش یک فایل را بدست بیاورید.

شماره ۴: رفتار غیرعادی در دسکتاپ

اگر از قبل روی دستگاهتان فایل آلوده‌ای نصب شده باشد، احتمالا رفتارهای غیرعادی‌ای روی دستگاهتان مشاهده خواهید کرد. مانند مشاهده یک نقطه سیاه کوچک روی مانیتور، که همان ترمینال است که در حال نصب ملزومات دیگر بدافزار است، یا شورت‌کات‌های مختلف روی دسکتاپ، تاخیر در پاسخگویی سیستم‌عامل، آیکن‌‌های غیرعادی و غیره. فراموش نکنید که در برخی موارد هم بدافزار هیچ نشانه بصری‌ای از خود به جا نمی‌گذارد.

شماره ۵: فرایند‌ها را دنبال کنید

هنگامی که بدافزار روی دستگاه نصب شده باشد، در بعضی موارد، خودش را با استفاده از Process replacement در قالب یک برنامه یا فرایند معتبر معرفی می‌کند. برای تمییز دادن یک پروسه معتبر از غیر معتبر می‌توانید از ابزارهایی مانند Process Explorer استفاده کنید. یکی دیگر از راه‌هایی شناسایی فایل آلوده بررسی میزان فعالیت CPU دستگاهتان است. برای مثال اگر روی دستگاهتان یک Cryptominer نصب شده باشد، میزان استفاده از CPU بسیار بیشتر از حالت معمول خواهد بود.

علاوه بر اینها می‌توانید از ابزار Netstat با دستور netstat -anb استفاده کنید که درگاه‌های باز و IP مقصد را نشان می‌دهد، همراه اینکه کدام فایل اتصال را برقرار کرده است. بنابراین با بررسی این اطلاعات می‌توانید فایل مخرب را پیدا کنید.

همچنین می‌توانید پست «نحوه استفاده از TCPView برای یافتن نرم‌افزارهایی که از اینترنت دستگاه استفاده می‌کنند» را نیز مطالعه کنید.

مقاله قبلیآنالیز ترافیک بد‌افزار با استفاده از Wireshark
مقاله بعدیچگونه دیتای مصرفی موبایل اندروید را مانیتور کنیم

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.