Hybrid Analysis — больше, чем просто сервис проверки файлов на вредоносность

Категория: Безопасность / Интернет
Добавил: access_timeОпубликовано: 8-11-2018 visibilityПросмотров: 14 292 chat_bubble_outlineКомментариев: 3

Содержание:

Если вы сомневаетесь безопасности скачанного с интернета файла, всегда можете открыть VirusTotal и просканировать его на предмет вредоносного кода более чем 50-ю антивирусными программами. Выданные VirusTotal результаты можно считать окончательными, если наличие зловреда в файле определили сразу несколько антивирусов, причем это должны быть хорошо зарекомендовавшие себя программы, поскольку ложный детект малоизвестными инструментами тоже не редкость. С другой стороны, расхожее мнение антивирусов может расцениваться как своего рода недостаток сервиса, способный ввести пользователя в заблуждение. VirusTotal использует сигнатуры, то есть готовые антивирусные базы, анализ производится без какой-либо эвристики. Разумеется, это не делает сервис малополезным, но было бы неплохо иметь под рукой какой-нибудь альтернативный инструмент определения угроз, использующий дополнительные механизмы анализа. Ну что же, такие инструменты есть. Одним из них является Hybrid Analysis — бесплатный сервис для проверки файлов и веб-страниц на предмет заражения вредоносным кодом.

Hybrid Analysis — больше, чем просто сервис проверки файлов на вредоносность


В отличие от VirusTotal, представляющего собой «консилиум» антивирусов, Hybrid Analysis является скорее песочницей. Когда вы отправляйте на проверку в файл, сервис запускает его в изолированной среде VirtualBox или VMware, а затем смотрит, как он поведет себя в системе. На основании произведенных файлом изменений выдается заключение о его безопасности или вредоносности. 

  • Объяснение это сильно упрощенное, в реальности проверка Hybrid Analysis представляет собой сложный метод разбора, объединяющий анализ статических и динамических данных с использованием современных алгоритмов, благодаря чему существенно повышается эффективность обнаружения опасного кода
Внешне принципом работы Hybrid Analysis похож на VirusTotal, пользователь указывает через веб-форму ссылку или файл, последний отправляется на сервер, где проводится его проверка.

Что умеет Hybrid Analysis


Сервисом поддерживается сканирование разных исполняемых и прочих типов файлов, которые могут содержать программный код. Если файлов несколько, можно запаковать их в архив RAR или ZIP, но его размер не должен превышать 100 Мб. Для сканирования доступны также веб-ссылки, имеется возможность поиска отчетов о ранее выполненных проверках по IP, домену и контрольной сумме, поиск отчетов YARA (инструмент классификации образцов вредоносных программ).

При отправке файла на анализ пользователь может выбрать ОС, в которой он будет запущен на исполнение. Доступны Windows 7 32- и 64-бит, Linux Ubuntu и Android, для которой пока что поддерживается только статический анализ.

По завершении анализа Hybrid Analysis выдает результаты — общий отчет VirusTotal и собственно сам отчет Falcon Sandbox с прилагаемыми скриншотами запуска в виртуальной системе. Последний включает подробное описание файла, результаты гибридного и сетевого анализа.

Для наглядной оценки файла используются цветовые индикаторы. Красным цветом маркируются действия, расцененные как вредоносные, желтым — как подозрительные, зеленым — как в целом безопасные. Но последнее слово всё равно остается за пользователем. Заключение должно быть комплексным, а изучение описаний производимых файлом действий — обязательным. Например, в случае с утилитой Proxy Switcher считывание идентификатора и запуск в Windows дополнительных процессов Hybrid Analysis определяет как злонамеренное, в действительности эти действия совсем необязательно должны носить деструктивный характер.

Адрес сервиса: https://www.hybrid-analysis.com/

     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (3)

  1. img
    1 августа 2019 03:38 Alito
    Гость

    Отключите Фёдору мозг

    Цитировать replyОтветить
  2. img
    5 мая 2019 23:12 admin
    Администратор

    Фёдор, удалите

     

    Цитировать replyОтветить
  3. img
    5 мая 2019 23:01 Фёдор
    Гость

    Я никак не могу отключить эту программу

    Цитировать replyОтветить