VirusTotal ocenianie bezpieczeństwa plików część 1
hejto.pl
VirusTotal część 1
Dzisiejszy wpis dotyczyć będzie w mojej ocenie najlepszego narzędzia do szybkiej oceny plików, pod kątem zawartości złośliwego oprogramowania. Jest to część pierwsza, w której omówię wygląd programu, jak i jego podstawowe funkcje. W drugiej części skupimy się na rzeczywistych przykładach wyników analizy złośliwego jak i bezpiecznego oprogramowania, oraz na sposobach ich identyfikacji.
VirusTotal
Strona internetowa VirusTotal została założona przez firmę Hispasec Sistemas w 2004 roku, niedługo później (2012 rok), zakupił ją Google. Serwis umożliwia przeskanowanie plików oraz adresów URL za pomocą kilkudziesięciu silników antywirusowych, jak i również analizę historii danego pliku.
No dobrze, ale jak to wszystko działa:
Strona znajduje się pod adresem: https://www.virustotal.com
Na początek musimy wybrać, co chcemy przeskanować, dostępnymi opcjami są:
-Oprogramowanie (file)
-URL
Możemy również skorzystać z wyszukiwarki, która indeksuje wcześniej analizowane pliki i strony internetowe.
Teraz ważna sprawa, serwis ten umożliwia za opłatą dostęp do przeskanowanych w nim plików. Pamiętaj więc żeby nie analizować za jego pomocą prywatnych plików (chyba że ci to nie przeszkadza
Dobra, żeby zobaczyć działanie strony, przeanalizujemy przykładowe złośliwe oprogramowanie. (polecam otworzyć link w nowej karcie i zobaczyć wszystkie rekordy)
Link do analizy:
Mamy tutaj wynik analizy przykładowego pliku. Domyślnie otworzyła się nam zakładka “Detection”. Możemy zobaczyć tutaj ilość silników programów antywirusowych, które wykryły zagrożenie (69 na 71) oraz krótki opis typu zagrożenia (więcej szczegółów będzie w części drugiej).
Następna zakładka “details” pokazuje szczegóły dotyczące samego pliku między innymi, hash, czas analizy, nazwy programu, informacje odnośnie podpisu cyfrowego. Jeżeli nie wiesz, czym jest hash lub podpis cyfrowy zapraszam do przeczytania: https://www.hejto.pl/wpis/podpisy-cyfrowe
W zakładce relacje zobaczyć możemy, powiązania badanego pliku z innymi znajdującymi się w bazie danych. Informację dotyczą między innymi:
-domen/adresów ip, z którymi kontaktował się program
-innych plików, które zawierały lub stworzyły skanowany przez nas plik.-
-innych plików znajdujących się w skanowanym przez nas pliku.
Przedostatnia zakładka Behavior zawiera informację odnośnie wyników analizy przez zewnętrzne aplikacje, przeprowadzające analizę zachowania pliku w odizolowanym środowisku, oraz informacje o ewentualnych podejrzanych zachowaniach.
Ostatnia zakładka zawiera oceny i komentarze użytkowników serwisu.
Na tym kończymy część pierwszą, w drugiej części przyjrzymy się różnym przykładom, dzięki którym łatwiej będzie zrozumieć obecność wszystkich przedstawionych tu informacji.
Część 2: https://www.hejto.pl/wpis/virustotal-ocenianie-bezpieczenstwa-plikow-czesc-2
#cybersecurity #bezpieczenstwo #informatyka #technologia #ciekawostki