09.05.2026 06:14
PXStudioOpenSource 16 8400 Источник

Всем привет! Сегодня хотелось бы написать как проверить программы на вирусы, я разберу как простые где особо разбираться не надо, так и способы по сложнее где надо смотреть на всякие скриншоты и т.д, Ну, начнем! Способ 1: Заходим на VirusTotal и туда кидаем файл. Но, не все обнаружения бывают правдивыми, бывают как реальные обнаружения, так и ложные. Как распознать где ложное срабатывание антивируса а где нет? Ну первое, возьмем в пример эту картинку где изображен файл с 1 обнаружением, Trapmine конечно хороший антивирус, но тут кроме него никто больше не говорит ничего. Обычно ложные срабатывания выдают эти антивирусы:Bkav Pro,Jiangmin,Zillya(иногда),VBA32 (иногда),Trapmine (не так часто, но возможно)

2. Заходим на сайт вроде Hybrid Analysis или Tria.ge (без VPN может не работать ) После чего кидаем файл, выбираем версию Windows или даже Android, затем ждем анализ от Meta Defender и Crowdstrike Falcon (если вы на Hybrid Analysis), если там что то есть красное то посмотрите что, если написано что то вроде:Stealer, RAT, Rootkit или что то вроде того, то удаляйте файл немедленно! Так же иногда придется смотреть скриншоты, там будет показано что делает программа.

Пример ложного срабатывания
Пример ложного срабатывания
Вот пример вируса, Как видно написано Malicious и счет вреда 86 из 100 что является огромным числом для обычных программ
Вот пример вируса, Как видно написано Malicious и счет вреда 86 из 100 что является огромным числом для обычных программ
вот обнаружения CrowdStrike Falcon в анализаторе Hybrid Analysis на разных версиях Windows
вот обнаружения CrowdStrike Falcon в анализаторе Hybrid Analysis на разных версиях Windows

Комментарии (16)


  1. Pcturl
    09.05.2026 06:16
    #29948006

    Это публикация для того нового необъявленного конкурса "Самый короткий туториал"?

    Или просто лимит закончился прямо во время генерации?


  1. Onthar
    09.05.2026 06:16
    #29948072

    Какой качественный анализ. А главное комплексный и своими руками. Скоро на Хабре будут постить how-to как открыть браузер)


    1. PXStudioOpenSource Автор
      09.05.2026 06:16
      #29948078

      Ну так то не все знают как проверять файлы на вирусы, и как найти и понять где вирус а где нет


      1. anaxita
        09.05.2026 06:16
        #29949144

        имхо, но 99% людей никогда не имели такой задачи


    1. PXStudioOpenSource Автор
      09.05.2026 06:16
      #29948084

      Кстати спасибо за идею скоро напишу статью "how-to как открыть браузер " :)


      1. UniInter
        09.05.2026 06:16
        #29948408

        Моя жена после 10 лет упорной работы за компьютером не знала, что такое браузер. Эту программу называла "интернет".


        1. PXStudioOpenSource Автор
          09.05.2026 06:16
          #29948866

          Вот! Именно для этого я и пишу. Иногда мы так зарываемся в сложные архитектуры и реверс-инжиниринг, что забываем: для многих пользователей компьютер — это всё еще очень трудно, и их нужно учить элементарной защите. Спасибо за пример, прямо в точку!


          1. Stariy2003
            09.05.2026 06:16
            #29948880

            Давно ты в реверс-инжиниринг то зарывался?


            1. PXStudioOpenSource Автор
              09.05.2026 06:16
              #29948904

              Достаточно глубоко, чтобы отличить полезную нагрузку от вредоносного стиллера, который скрытно ставит Root CA и скриншотит экран каждые 30 секунд. Если есть желание обсудить конкретные опкоды или методы обфускации этого форка — я только за, можем разобрать в деталях


              1. PXStudioOpenSource Автор
                09.05.2026 06:16
                #29948906

                Если не знаешь про что я щас сказал, можешь прочитать мою еще одну статью, там все четко говорится


  1. Altair2021
    09.05.2026 06:16
    #29949318

    Кровь из глаз от грамматики с пунктуацией и оформления. Здесь бы как раз помогла llm'ка -- причесала бы текст к удобоваримому виду.


  1. wtf-keaton
    09.05.2026 06:16
    #29950306

    У меня достаточно долгий и интересный опыт работы реверсером и часто приходилось изучать малварины. И я могу сказать что Hybrid Analysis выдаёт 100% ложные срабатывания, туда запихиваешь любой бинарник и он тебе выдаст что это малварь (особенно если ты соберёшь чистый Inno Setup установщик, в котором толком ничего нет). Лучше смотреть песочницу касперского или анализировать ручками если умеешь, а если нет, то уж просто не скачивай ничего с интернета


    1. PXStudioOpenSource Автор
      09.05.2026 06:16
      #29950328

      Ну слушайте, по сути каждая песочница может ошибиться. Даже та же песочница касперского. Кстати, респект за использование открытого Inno Setup:) Но, если бы инструмент выдавал бы 100 процентов фалзов им бы никто не пользовался, Но хайбрид чаще всего используют профи. У него есть свои плюсы типо можно посмотреть те же скриншоты того что делает программа, и не каждый умеет делать реверс инжениринг, кому то проще просто закинуть в песочницу и получить конкретный ответ.


      1. wtf-keaton
        09.05.2026 06:16
        #29950334

        Ошибаться, но не давать 100% некорректный ответ. В случае с гибрид анализом, он всегда выдаёт совершенно тупые данные. Ты ему Hello World скормишь, а он радостно скажет что это вирус


        1. PXStudioOpenSource Автор
          09.05.2026 06:16
          #29950356

          Смешно, я лично проверял кучу своих программ на хайбриде он либо показывал suspicious (это норма т.к я проверял свои утилиты которые обычно глубоко лезут в систему) либо показыал чисто


          1. PXStudioOpenSource Автор
            09.05.2026 06:16
            #29950366

            А если же вы получали уже детекты то либо ваша система заражена (маловероятно но никто не отменял) Либо вы используете какие то методы компиляции или упаковки которые кажутся анализаторам каким то подозрительными или вредоносными, Кстати, смотрю вы C++ разработчик, на чем пишете?