Программа для просмотра структуры файлов это

Обновлено: 21.01.2025

Ниже описаны вкладки, отображаемые FileAlyzer-ом (в зависимости от типа открытого файла):
* Общее - Информация на этой вкладке не сильно отличается от той, которую выдает "Свойства" в Проводнике Windows: имя и местоположение файла, размер, дату и времена, версию и атрибуты. Вдобавок, здесь же Вы увидите контрольные суммы файла по алгоритмам CRC-32 и Message Digest 5 (MD5);
* Версия - Еще одна важная возможность "Свойств" Windows также реализована и в FileAlyzer-е: для исполняемых файлов и библиотек отображается (если есть) ресурс Version;
* Ресурсы - Во многих исполняемых файлах имеются т.н. ресурсы - рисунки, значки (иконки) и текстовые строки, равно как меню, диалоги и целые окна. Если Вы не знаете, для чего нужен тот или иной файл, просмотр его ресурсов, особенно текстов и рисунков (см. картинку), поможет хотя бы примерно понять, что это такое;
* Заголовок PE - такова структура современных программ для Windows (и некоторых других платформ). Почти все программы и библиотеки построены по этой структуре. FileAlyzer поможет заглянуть внутрь этой структуры, показав содержимое Заголовка PE (PE Header) - от платформы, на которой должна работать программа, до адресов отдельных частей файла;
* Разделы - В PE-файле код (байты, в которых хранится испоняемая часть программы) четко отделен от данных, ресурсов и т.п. Вкладка Разделы (Sections) отображает части из которых состоит анализируемый файл. Если Вас интересует содержимое конкретного раздела, дважды щелкните по нему и FileAlyzer перейдет к началу этого раздела на вкладке Дамп;
* Новое в 1.1d: Таблица импорта/экспорта - Большинство windows-программ используют для своей базовой функциональности библиотеки Windows. Многие библиотеки экспортируют свои функции. FileAlyzer теперь способен показывать имена иимпортируемых и экспортируемых функций PE-файла;
* Дамп - Вы - байтолюб и хотите посмотреть содержимое файла в 16-ричном редакторе? У FileAlyzer-а есть быстрый и простой просмотрщик с возможностью поиска. Новое в 1.1c: динамическая длина строки дампа в зависимости от ширины окна и система распознавания строк, выводящая все использованные строки в отдельном списке, связанном с дампом;
* Просмотр эскизов - Если файл - изображение, поддерживаемое Windows, то рисунок можно просмотреть на вкладке Просмотр (Image preview);
* Просмотр текста - Если открываемый файл представляет собой какого-либорода текст, и вы хотите просмотреть его, как это позволял классический QuickView из Windows 9x, то FileAlyzer умеет отображать как обычный текст, так и "насыщенный текст" (файлы с расширением .rtf);
* Просмотр INI-файлов (INI contents) (новое в версии 1.1) - Просмотр файла настроек (INI-файла) в виде текста, конечно, удобная штука, но структурированный список гораздо удобнее. Так вот, FileAlyzer может показывать такие файлы в виде двух связанных списков: в одном будет перечень разделов (секций), а в другом - содержимое выбранной секции;
* Просмотр HTML - Если надо просмотреть подозрительный HTML-file, может даже из Вашего каталога Application Data (где C2.lop хранит два таких файла) или из каталога Temporary Internet Files, но использовать Internet Explorer не хочется или нелья (чтобы активное содержимое файла не начало выполняться), то и для этого можно использовать FileAlyzer. Поскольку он использует свою собственную программу разбора HTML (парсер), а не IE, то такой просмотр гораздо безопаснее.

Имеются встроенные утилиты: 1) Менеджер процессов с возможностью поиска скрытых и инжектированных процессов и возможностью .

Exiland Backup - простая и удобная программа резервного копирования файлов. Вы можете создавать резервные копии .

Иной раз на обычные и привычные вещи можно взглянуть под иным углом зрения, и получить .

Программа Flash Recovery Toolbox предназначена для восстановления удаленных файлов со сменных носителей информации и жестких .

Пользоваться FileAlyzer-ом не сложнее чем обычным окном "Свойства файла": щелкните правой кнопкой по нужному файлу и выберите пункт Open in FileAlyzer (открыть в FileAlyzer).

Unlocker позволяет удалить файлы и папки, которые обычным способом удалить не удается (когда.

Scanner - программа для анализа содержимого жестких дисков, CD, дискет и других носителей.

Если вы столкнулись с файлом или папкой, которую никак не можете удалить ни одним.

IObit Unlocker - утилита, с помощью которой можно легко разблокировать доступ к данным, занятых.

LockHunter - утилита для корректного удаления заблокированных файлов. Программа отображает.

SequoiaView - Очень полезная программа, которая визуально, на одном экране, показывает всё содержимое жесткого диска (папки и файлы).

Отзывы о программе FileAlyzer

Sema про FileAlyzer 1.6.0.4 [14-04-2018]

Любопытная программа. Пока не разобрался о практической
пользе её для меня. Но думаю - такова найдётся.

Только не бейте - моё дело мысль подкинуть (из под тишка).
Если уж прога распознаёт типы данных в файлах,
так может пусть заимеет возможность связывать их с приложениями
подходящего размера и направления, а заодно спросит
бездталантливого пользователя - "а не прописать ли мне
в реестр, чтоб файлы такого расширения Раскрывались
в области предпросмотра, или выводили инфу там"?
И если выводить данные о файле - дык выберете шоб.

Чуть ниже я сейчас должен поставить "галочку", что я не робот.
Полагаю, что по стилю моего письма это и так можно понять,
а можно написать программу типа этой, для распознавания.
Вот будет прикол, если такая программа ошибется,
и напишет пользователю - "Вы - робот! А идите вы. Задолбали!".
2 | 2 | Ответить

Отсутствие свободного места на жестком диске — проблема постоянная. С покупкой более вместительного носителя она не решается, а лишь усугубляется: чем больше накапливается информации, тем сложнее ее контролировать и при этом соблюдать некий условный порядок.

Сканирование дисков и каталогов
Визуализация данных: отображение файловой структуры в виде диаграммы, графика или карты
Расширенная статистика и ее экспорт
Поиск дубликатов, временных файлов
Фильтры и расширенный поиск
Дополнительные инструменты

TreeSize
Scanner
WinDirStat
Space Sniffer
JDiskReport
Xinorbis
FolderSizes

TreeSize Pro

В левой панели окна TreeSize расположено меню выбора дисков и древо каталогов, где осуществляется навигация и выбор источника сканирования.

Top 100 содержит список самых крупногабаритных файлов на диске. Сопутствующая информация в колонках таблицы позволяет узнать дату последнего доступа или создания файла — это поможет принять решение: удалить или оставить файл.

Не меньший интерес в TreeSize представляют собой поиск (меню File Search). Можно задействовать все типы данных (All Search Types): сюда, в частности, входят поиск устаревших, временных файлов, дублей. Преимущество поиска через TreeSize неоспоримо: программа многопоточная, работает по сети, поддерживает шаблоны.

Увы, бесплатная (по сути — ознакомительная) версия TreeSize существенно проигрывает платной: не поддерживаются многопоточность, расширенный поиск, визуализация и многие другие важные функции.

Резюме. TreeSize Pro отлично дополняет возможности любого файлового менеджера, позволяя тщательно провести анализ занятого пространства дисков и каталогов. Хорошо настраиваемый интерфейс и поиск, визуализация, экспорт — стандартный набор в комплекте.

[+] Функциональность
[+] Расширенный поиск файлов
[+] Быстрое многопоточное сканирование
[+] Дополнительные инструменты

Scanner

Scanner — бесплатная утилита для анализа содержимого жесткого диска. Отсутствие настроек, минимум опций — тем не менее, Scanner представляет собой вполне функциональное решение.

В левой части окна доступен выбор диска для анализа, также можно получить информацию в имеющихся файлах на всех дисках с помощью кнопки «Суммарно» в левом нижнем углу.

В центре находится круговая диаграмма, которая отображает файловую структуру в виде сегментов. Сегменты, как легко отметить, имеют несколько уровней вложенности и различный цвет. При наведении курсора на определенный участок диаграммы, доступна информация о количестве, размере файлов, место их расположения. Можно переместиться в каталог, кликнув по нему, либо произвести операции с файлом через контекстное меню.

Резюме. Программа будет полезна для быстрого зрительного анализа занимаемого дискового пространства. Что касается доступных операций с файлами и каталогами — их достаточно лишь для удаления и открытия файлов. Другими словами, использовать Scanner как файловый менеджер (с поиском, режимами отображения, статистикой) не удастся.

WinDirStat

WinDirStat — бесплатная утилита для анализа и очистки жесткого диска от ненужных файлов.

Программа сканирует указанные источники (каталоги или локальные диски) и предоставляет информацию для анализа в удобном для ознакомления виде. Структура каталогов отображается в виде разноцветных сегментов различного размера, в соответствии с занимаемым пространством, в нижней части окна WinDirStat. Таблица соответствий цвета типу файла находится в правом верхнем углу.

В подобном представлении структуры есть свои недостатки: скажем, нельзя узнать размер файла при наведении, отсутствуют пометки. Поэтому в случае с WinDirStat не хватает альтернативных способов визуализации, таких как график и диаграмма.

Щелкнув по сегменту, можно получить детальную информацию о соответствующем файле и его расположении. С файлами доступны такие стандартные команды, как удаление (в Корзину либо безвозвратное), просмотр свойств, копирование пути и другие. В разделе «Очистка» настроек программы предусмотрено создание пользовательских действий, позволяющих добавить до 10 операций из командной строки: удаление файлов, архивация, рекурсивное удаление и прочие.

В целом, почти все настройки WinDirStat сводятся к оформлению, отображению структуры и списка каталогов. Каких-либо дополнительных утилит, инструментов для отчетности, статистики, поиска здесь не предусмотрено.

Резюме. В WinDirStat представлены неплохие возможности по настройке, однако дефицит дополнительных инструментов и режимов отображения существенно ограничивает программу в использовании.

SpaceSniffer

SpaceSniffer — бесплатная утилита с полностью настраиваемым интерфейсом и режимом отображения данных в виде карты. На фоне аналогичных решений, примечательны такие функции, как многопоточность, поиск (в том числе сетевой), поддержка NTFS.

Для обработки можно выбрать не только диск из списка, но и каталог, указав путь в строке Path. В результате сканирования, формируется карта в виде блоков. Уровень вложенности можно регулировать с помощью кнопок Less/More Detail — соответственно, детализация уменьшается или увеличивается. Кликнув по блоку, можно ознакомиться с его содержимым, не переходя в каталог. Перемещаться вглубь по каталогам не менее удобно. Дополнительных режимов отображения в SpaceSniffer нет, однако можно настроить оформление на свое усмотрение через главные настройки (Edit — Configure).

Функции статистики представлены скромно. При желании, можно произвести экспорт в текстовый файл: суммарная информация, список файлов, а также файлы, сгруппированные по папкам. Что интересно, отчеты можно создавать с помощью шаблонов.

Из дополнительных возможностей следует отметить теги и фильтр. Фильтрация осуществляется по указанной маске, синтаксис описан в разделе справки Filtering help. Возможен поиск по размеру, названию папки, тегам, атрибутам и другим данным. Теги позволяют делать выборки из данных для последующей фильтрации и пакетных операций. Их можно рассматривать как временные закладки в рамках сеанса.

Резюме. SpaceSniffer не выделяется широкой функциональностью, но привлекает скоростью работы, достаточно удобным отображением данных в виде карты и дополнительными инструментами, такими как фильтр и теги.

JDiskReport

Бесплатная кроссплатформенная утилита JdiskReport анализирует, какие файлы занимают на диске больше всего места. В дополнение, программа предоставляет статистику по распределению данных, которую можно просмотреть в виде графиков и диаграмм.

Выбирав каталог или диск для сканирования, пользователь может ознакомиться с собранной информацией или сохранить результат в виде снимка для последующего открытия. Это актуально при постоянной работе с большими объемами данных.

Статистика распределена по вкладкам: Size, Top 50, Size Dist, Modified и Types. Раздел Size показывает соотношение файлов в выбранном источнике. На выбор несколько режимов отображения: 2 вида диаграмм, график и таблица. Top 50 содержит список самых крупных, старейших и новейших файлов — потенциальных «кандидатов» на удаление. Разделы Size Dist, Modified и Types позволяют ознакомиться с распределением файлов по их размеру, дате изменения и типу соответственно.

С одной стороны, действительно, статистика дает почву для размышлений, с другой — в JdiskReport не продумана навигация по файлам и каталогам выборок. То есть, какие-либо файловые операции недоступны, в наличии лишь пункт «Open Explorer…» («Открыть Проводник») в контекстном меню. Отсутствует экспорт, за исключением того, что таблицу файлов и сопутствующую информацию можно скопировать в буфер обмена.

Настройки программы, преимущественно, отвечают за интерфейс. Темы оформления в избытке, а вот, скажем, для отображения столбцов или древа каталогов опций не нашлось.

Резюме. JdiskReport обходит по функциональности Scanner и WinDirStat благодаря статистике по распределению файлов. Но есть и слабые стороны — прежде всего, отсутствуют какие-либо операции с файлами и каталогами.

Xinorbis

Xinorbis — анализатор данных на жестком диске с возможностью просмотра статистики в виде таблиц, диаграмм и графиков. Программа поддерживает сканирование на различных источниках: жестких дисках, съемных носителях, по локальной сети, FireWire и др.

Подробная информация собрана в разделе Folder properties секции Tasks. Данные можно просматривать в виде настраиваемых графиков, диаграмм, структурировать по типу данных или расширению файла. Доступны сведения о возрасте данных (Dates), хронология (History), занимаемый размер (Folders). Раздел Top 101 содержит список не только самых больших и маленьких файлов. В таблице файлов отображаются такие свойства, как дата создания, модификации и последнего доступа.

Контекстное меню навигатора в Xinorbis более чем функционально: оно не только содержит стандартные команды Проводника, но также предусматривает экспорт, архивацию, Hex-редактирование, генерацию контрольной суммы.

В секции Advanced собраны инструменты, такие как поиск дубликатов по имени и размеру. Другие команды также расширяют поисковые возможности. Наиболее интересен раздел Folder Detail, представляющий собой фильтр по ряду параметров: текст, размер, атрибуты файла, владелец, категория.

Немаловажное достоинство Xinorbis — настраиваемые отчеты в форматах HTML, CSV, XML и прочих. В результате, на создание файла затрачивается всего один клик.

Резюме. В Xinorbis сложнее всего искать недостатки, поскольку учтены все стандартные возможности файлового анализатора: от построения диаграмм до экспорта отчетов.

[+] Отчетность
[+] Фильтр и поиск
[+] Гибкая настройка и функциональность

FolderSizes

FolderSizes — программа для сканирования и анализа дискового пространства с возможностью экспорта результатов в виде отчета. Включает в себя инструменты для поиска файлов по множеству критериев: размер, владелец, возраст и др.

Интерфейс FolderSizes состоит из нескольких панелей (навигатор, список дисков, графики, адресная панель), а также ribbon-ленты, разделенной на вкладки. Главный раздел — Home, здесь доступны основные инструменты для анализа, экспорта и других операций.

В адресной панели можно указать не только стандартный путь, но также сервер или NAS-устройства, сетевые и съемные носители (опция Analyze path(s)). Файловая панель гибко настраивается, колонки легко скрыть или добавить дополнительные. Результаты сканирования можно просмотреть в виде графиков, диаграмм или карты в области Bar Graph. Дополнительные параметры, связанные с отображением информации в панелях, доступны во вкладке Graph.

Для создания отчетов используется инструмент File Reports, который производит поиск по указанным критериям и выводит детальную информацию в удобочитаемом формате. Экспорт отчета доступен в HTML, PDF, XML, CSV, TXT и других форматах, в том числе графических. FolderSizes несложно связать с планировщиком для автоматического формирования отчетов по расписанию.

Помимо стандартных отчетных функций, в FolderSizes возможен анализ тенденций. Для этого предназначен инструмент Trend Analyzer позволяет ознакомиться с изменением размера, количества файлов и по другим критериям.

Фильтр и поиск с поддержкой правил, встроенный архиватор, командная строка — возможности FolderSizes можно перечислять и далее. Функциональность программы вне конкуренции.

Резюме. FolderSizes радует наличием всех необходимых для анализа инструментов, удобным интерфейсом, дополнительными возможностями, которых нет в других программах (например, анализ тенденций и архиватор). В итоге, она будет интересна для изучения широкой аудитории.

[+] Полностью настраиваемый интерфейс
[+] Инструмент для анализа тенденций
[+] Удобная навигация по файлам и каталогам
[+] Фильтр и поиск

DiskPulse – приложение, позволяющее отслеживать любые несанкционированные пользователем процессы. Программа помогает оперативно проследить за действиями, происходящими в системе. Также DiskPulse укажет на сбои в уже запущенных операциях. Утилита записывает все свои действия в лог-файл и юзер может просмотреть всё, что делала файловое приложение. Она позволяет экспортировать найденные изменения в централизованную базу SQL. Производит мониторинг определённых файлов и отсылает оповещения на электронную почту. Также программа создаёт круговые диаграммы со статистикой и сохраняет разные типы отчётов. Возможности утилиты позволяют пе.

DiskSorter - функционально удобная утилита, помогающая сотням пользователей проводить процесс классификации файлов с разными типами и расширениями. Программа успешно взаимодействует с локальными жёсткими дисками, внешними устройствами. Позволяет классифицировать данные на сетевых ресурсах, устройствах NAS. Позволяет сохранять все отчеты по группированию файлов, результаты классификации экспортного файла с базой SQL, выполнять специфические операции, анализ. DiskSorter позволяет сортировать файлы по типам файла, расширению, дате создания, имени пользователя либо последней модификации, дате доступа. Пользователи могут генерироват.

GetFoldersize поможет узнать количество занятого места на дисках и в папках. Она очень удобна и организована, позволит сделать сканирование диска, для сбора информации и отобразит все детали в новом окне. В данном окне появятся все заглавные папки, их размер, количество занятого места в процентах, количество файлов и количество субпапок. Это сразу даст пользователю общую картину и будет ясно какая папка самая массивная. Появившееся папки можно открыть, чтобы узнать содержимое, либо просто нажать и все её файлы будут отображены в правом окне, с сортировкой по размеру по убыванию. Иными словами GetFoldersize для того, чтобы очист.

TreeSize – программа для сбора данных о жёстких дисках. Сканирует выбранный диск и отображает детальную информацию о нём. Например указывает количество файлов и папок. Программа хороша тем, что имеет хорошую и удобную панель настроек. С помощью панели можно выбирать каким способом будут появляться данные и каким образом будет происходить сортировка файлов. Отличается она, от своих аналогов, тем что отображает папки в стиле проводника, поэтому можно раскрывать папки и видеть детальную информацию о каждой субпапке, с главного окна. Это поможет увидеть полную картину о каждой папке. Отобразит когда был последний доступ к файлу, по.

Disk Usage Analyzer – удобная утилита для анализа дискового пространства. С ней пользователь может быстро определить размер всех имеющихся каталогов и количество вложенных файлов. Программа крайне удобна в случаях, когда необходимо освободить место и удалить лишние файлы. С помощью Disk Usage Analyzer можно быстро определить, с какой директории нужно убрать информацию и куда её следует переместить. После инсталляции приложения следует запустить процесс сканирования каталогов жесткого диска. Когда проверка будет завершена, в окне приложения появится подробный отчет о наполненности жесткого диска. Утилиту стоит использовать, когд.

SpaceSniffer – удобная программа для ознакомления с файлами на жестком диске. Оригинальна она тем что работает в виде дерево. С её помощью очень просто узнать что, сколько и где занимает. Например размер всех папок и как они расставлены. А стиль карты позволяет увидеть все присутствующие папки и файлы и благодаря размерам понятно что занимает больше и что меньше места. Все ячейки которые занимают больше места на экране имеют прямое соответствие размеру самих файлов и папок. С SpaceSniffer пользователь не только сможет легко ознакомится с жестким диском, но и найти давно забытые файлы и удалить ненужные. Также можно легко фильтр.

Xinorbis - это бесплатная и очень мощная программа для анализа жесткого диска. Представляет собой систему об использовании типах файлов, дискового пространства. Может работать со всеми типами устройств. В ней можно создавать отчеты после изучения устройства и сравнивать их по исходу времени. Так же, очень удобно в данной программе отсортировать файлы, такие как, видео, аудио, текст и т.д. Пользователь Xinorbis сможет получить возможность быстро сложить впечатление о содержании папках и файлах, состоянии запоминающего устройства или его отдельного раздела. С помощью данной программы можно без труда узнать какие форматы файлов за.

Glary Disk Explorer – простая программа, которая исследует и анализирует место на дисках устройств. Информация о свободном и занятом месте предоставляется в графическом виде. Утилита быстро сканирует всё дисковое пространство, позволяя пользователю узнать, сколько места свободно. Glary Disk Explorer анализирует не только внутренние жёсткие диски, но и внешние флеш-носители и жёсткие диски. После проведения сканирования утилита выдаёт список всех папок, файлов, которые имеются на жестких дисках с указанием размера каталогов. В приложении доступна фильтрация по типу файла, можно отсортировать музыку, картинки и видеофайлы. Неп.

DiskSavvy – программа для анализа места на дисках. Позволяет анализировать жёсткие диски, сетевые ресурсы, корпоративные системы хранения данных и устройства NAS. Выводит полное количество присутствующих папок и файлов. Может вывести подробную информацию о количестве используемого места, которое занимает каждый пользователь. Сортирует количество занятого места для каждого расширения и может вывести легко читаемые графики, для более просто ознакомления. Кроме сортировки по расширению, также поддерживает другие способы для сортировки, например по типу, размере, времени создания и много других. Программа создает и может сохранять .

Программа для сбора информации о дисках. Будет очень удобна для того что бы узнать побольше о диске, не прилагая никаких усилий или поисков. Достаточно открыть программу, выбрать диск, или диски для сканирования и программа сделает всё сама. Через некоторое время, зависит от количества файлов и размера дисков, она выдаст полную информацию. WinDirStat разделена на три окна, окно проводника, дерева и список расширений. В окне дерева будут разноцветные квадраты, которые по своему размеру будут соответствовать размеру файлов. Каждый квадрат имеет свой цвет, который обозначает его расширение и при клике на любой из них, соответствую.

Folder Size служит для сканирования жёстких дисков и вывода информации о размерах файлов и папок. Предназначена для более удобного ознакомления с сохранёнными файлами на ПК. Программа легко настраивается, может сортировать папки и файлы по размеру, при этом анализирует и суб-папки. Это поможет пользователю узнать какие папки и файлы занимают больше свободного места. Можно остановить сканирование системы, так как сканирование прогрессивное и программа без проблем в следующий раз продолжит с места где остановилась. Также, в целях экономии времени, Folder Size может сканировать не только всю систему, но и просто отдельные папки на.

Итак, представим для начала, что у нас на руках зараженная машина. Первым делом нужно выполнить три основных действия: изолировать компьютер от других в сети, сделать дамп памяти и снять образ диска.

При отключении зараженного компьютера от сети стоит помнить, что если мы имеем дело с вирусом-шифровальщиком, то есть шанс потерять пользовательские данные. Малварь может начать шифровать их, когда прервется соединение с сетью, поэтому первым делом оцени, насколько важны данные на зараженном ПК и стоит ли рисковать.

Лучше всего будет создать для карантина виртуальную сеть (VLAN) с выходом в интернет и переместить туда зараженные ПК. В крупной компании это потребует слаженных действий сотрудников службы кибербезопасности и сетевых администраторов, в мелкой — разноплановых навыков единственного сисадмина.

Дальше необходимо снять дамп памяти. Делается это с самого начала, потому что при копировании жесткого диска потребуется выключить компьютер и содержимое оперативной памяти будет потеряно. Программу, снимающую дамп, лучше всего запускать с внешнего носителя, чтобы не оставлять лишних следов на жестком диске — данные с него понадобятся нам в неизмененном виде.

Чтобы малварь не успела среагировать на выключение системы, проще всего выдернуть кабель питания. Метод, конечно, варварский, зато гарантирует моментальное отключение. Сохранить данные на жестком диске нетронутыми для нас важнее, чем беспокоиться об исправности других компонентов.

Дальше запустим ПК, используя загрузочный носитель с любой операционной системой в режиме forensic и ПО для получения образа жесткого диска. Чаще всего используется образ диска в формате E01 (Encase Image File Format). Его поддерживает большое число приложений как для Windows, так и для Linux.

Режим forensic — это загрузка без монтирования физических дисков. Это позволяет исключить внесение любых изменений в исследуемый диск. Профессиональные криминалисты также используют устройства, позволяющие заблокировать любые попытки обращения к диску для записи.

Изучение дампов

Дампы памяти и диска, скорее всего, содержат всё, что нам необходимо, — тело вредоносной программы и оставленные ей следы. Можем приступать к поиску.

Я рекомендую начинать с изучения копии диска, а дамп памяти использовать, если на диске не удастся обнаружить никаких следов либо как дополнительный источник. При анализе содержимого диска в первую очередь обращаем внимание на автозагрузку, планировщик задач и начальный сектор загрузки диска.

На сайте Microsoft есть документация по автозагрузке сервисов и библиотек.

Чтобы понять, каким путем малварь проникла на компьютер, стоит исследовать время создания и изменения файлов на диске, историю браузера и почтовый архив пользователя. Если получится установить хотя бы примерное время заражения, то это будет плюсом. В интернете есть неплохие подборки путей в файловой системе и реестре, на которые стоит обращать внимание в первую очередь (вот, например, неплохая статья Group-IB об этом).

Из дампа памяти ты тоже можешь извлечь некоторую уникальную информацию, например какие были открыты документы и вкладки браузера в момент заражения, какие были активные сетевые подключения, рабочие процессы (в том числе скрытые).

Анализ файла

Также нельзя исключать, что ты столкнулся с угрозой нулевого дня (0-day) — той, о которой еще никому не известно (и у разработчиков есть ноль дней на ее устранение — отсюда и название). Малварь, которая эксплуатирует зиродеи и имеет статус FUD, представляет серьезную угрозу не только для отдельных компьютеров, но и для целых компаний.

Перед началом анализа подозрительного файла необходимо сделать следующее.

Подготовить стенд для исследования — виртуальную машину с установленной операционной системой, подходящей для запуска исследуемого файла.
Настроить выход в интернет, желательно обеспечив скрытие своего реального IP-адреса, чтобы не потерять связь с серверами управления малвари (тебя могут распознать как вирусного аналитика и ограничить доступ, чтобы скрыть какие-то функции).
Сделать снимок (snapshot) первичного состояния виртуальной машины.

Ни в коем случае не подключай стенд в корпоративную сеть — это может вызвать массовое заражение других компьютеров.

Существует два подхода к анализу ПО — динамический и статический. Как правило, для лучшего эффекта используют более подходящий для ситуации метод или оба метода одновременно. Например, может быть необходимо изучить поведение вредоносной программы, чтобы выявить характерные маркеры без анализа алгоритмов. Поэтому выбор методов и инструментов может меняться в ходе анализа.

Статический анализ

Начнем со статического анализа, поскольку он не требует запускать вредоносный код и точно не вызовет заражения на твоем компьютере.

Рассмотрим начальные заголовки исполняемого файла для Windows.

DOS-заголовок файла, также известный как DOS-заглушка. Благодаря ему возможен запуск программы в DOS (обычно всего лишь выводится надпись This program cannot be run in DOS mode). Можно увидеть начало заголовка по характерным буквам MZ .

Сразу же за первым идет используемый современными ОС заголовок со всеми необходимыми параметрами для исполняемого файла (например, смещение до таблицы импорта/экспорта, начало секции исполняемого кода). Начало заголовка можно найти по характерным буквам PE, а описание формата есть на сайте Microsoft.

Можно сказать, что заголовок исполняемого файла содержит справочник о том, где и что именно находится внутри самого файла, какие разрешения должны быть выданы секциям, все настройки для корректной работы, поэтому анализ заголовка может дать ценную первоначальную информацию.

Кроме этого, необходимо просмотреть, нет ли в файлах строковых данных. По ним можно впоследствии определять подобные файлы или даже получить важную информацию вроде адресов серверов управления.

Перед разработчиками малвари всегда стоит задача как можно сильнее маскировать свое творение и всячески усложнять обнаружение и анализ. Поэтому очень часто используются упаковщики для исполняемых файлов.

Упаковщики ― утилиты для сжатия и шифрования исполняемых файлов. Используются не только создателями малвари, но и разработчиками легитимного ПО для защиты от взлома своих программ. Самописные упаковщики, специально созданные для затруднения анализа, не всегда детектируются программами и потребуют от аналитика дополнительных действий, чтобы снять упаковку.

Более глубокий (и в то же время сложный) анализ любых исполняемых файлов ― это применение дизассемблеров. Ассемблерный код понятнее для человека, чем машинный, но из-за объемов разобраться в нем бывает далеко не так просто. В отдельных случаях возможно восстановить исходный код программ на языке высокого уровня путем декомпиляции — если удастся определить, какой использовался компилятор и алгоритм обфускации.

Словарь терминов

Дизассемблеры ― программы для перевода машинного кода в относительно удобочитаемый и понятный язык ассемблера.
Декомпиляция — восстановление исходного кода программы на изначальном языке программирования.
Обфускация ― изменение исходного кода программы так, что его функциональность сохраняется, но сам он усложняется и в нем появляется ничего не добавляющий мусор.
Обфускаторы ― программы для автоматизации обфускации.
Псевдокод ― как правило, так называют неформальный язык описания алгоритмов, который позволяет представить исследуемый код на ассемблере в более читаемом виде. При переводе в псевдокод малозначимые элементы алгоритма отбрасываются.

Анализ кода на ассемблере ― трудоемкий процесс, который требует больших затрат времени и хороших навыков низкоуровневого программирования, поэтому для быстрого анализа можно преобразовать полученный код в псевдокод. Читать псевдокод более удобно, чем ассемблер, это можно увидеть по следующему примеру, где слева оригинальный код на ассемблере, а справа — псевдокод.

Код на ассемблере
Псевдокод

Динамический анализ

Чтение псевдокода или кода на ассемблере подобно распутыванию клубка ниток — кропотливо и трудоемко. Поэтому можно воспользоваться другим видом анализа — динамическим. Динамический анализ подразумевает запуск исполняемого файла и отслеживание выполняемых им действий, таких как обращение к веткам реестра, отправка и получение данных по сети, работа с файлами.

WARNING

Динамический анализ предполагает запуск исследуемого файла. Это необходимо делать на виртуальной машине, изолированной от других компьютеров, чтобы избежать возможности распространения вредоноса по сети.

Анализировать поведение программы можно, отслеживая и перехватывая запуск приложений на уровне ОС либо подключившись к работающему процессу и перехватывая вызовы библиотек и API. А чтобы детально разобрать процесс выполнения программы, лучше всего воспользоваться одним из отладчиков.

Отладчик ― утилита или набор утилит, который используется для тестирования и отладки целевого приложения. Отладчик может имитировать работу процессора, а не запускать программу на настоящем железе. Это дает более высокий уровень контроля над выполнением и позволяет останавливать программу при заданных условиях. Большинство отладчиков также способны запускать выполнение исследуемого кода в пошаговом режиме.

Неважно, используешь ты отладчик или какую-то программу, которая позволяет контролировать вызовы API, — работать придется в ручном режиме. А это значит, что потребуются углубленные знания операционной системы, зато ты получишь самые полные данные об объекте исследования.

Однако анализ можно и автоматизировать. Для этого используются так называемые песочницы (sandbox) — тестовые среды для запуска ПО.

Песочницы делятся на два типа: офлайновые и онлайновые. Для получения наиболее полной картины я рекомендую использовать сразу несколько источников данных и не исключать какой-то из типов песочниц. Чем больше информации ты соберешь, тем лучше.

Пример анализа

Поскольку анализ малвари всегда упирается в практические навыки, эта статья была бы неполной без демонстрации его на примере. Проведем экспресс-анализ и установим природу исполняемого файла.

Для начала определимся с последовательностью действий. Вот что нам нужно сделать:

получить хеш-сумму с файла;
воспользоваться онлайновым сервисом для проверки файла;
собрать статические данные из файла;
проверить файл в песочнице (локальной или в интернете);
запустить файл в виртуальной среде для отслеживания выполняемых действий;
снять оболочки и получить развернутый в памяти вредонос;
проанализировать код в дизассемблере.

Допустим, нам необходимо исследовать неизвестный файл Sample.exe .

Для хранения файла рекомендую первым делом изменить расширение, например на Sample._exe , чтобы избежать случайного запуска.

Делаем снимок (snapshot) виртуальной машины, на которой и будем запускать исполняемый файл (изначальное состояние системы нам еще пригодится), и считаем хеш-сумму файла.

Получение хеш-суммы файла

Видим, что он выдает схожий результат (смотри в правом нижнем углу). Кроме того, можно собрать дополнительные данные о том, что делала программа. А именно:

после старта продублировала себя в памяти;
обратилась к серверу 208.91.199.224 по порту 587. На платформе можно посмотреть сетевой дамп взаимодействия с сервером управления малварью (их часто называют Command & Control, C2 или C&C);
добавила запрет на запуск диспетчера задач;
скопировала себя в отдельную пользовательскую директорию;
добавила себя в автозагрузку.

Даже если бы вердикт не указал на возможную угрозу, отключение диспетчера задач и добавление в автозагрузку не сулит ничего хорошего для пользователя, особенно если учесть, что все это было сделано сразу же после запуска.

Итак, уже два сервиса подтвердили, что это малварь. Продолжаем. Воспользуемся инструментом под названием DIE.

Открываем файл с помощью DIE

Detect it easy (DIE) ― утилита, позволяющая импортировать и экспортировать список ресурсов, извлекать манифест и версию ПО, просматривать вычисления энтропии. Есть возможность добавить свои собственные алгоритмы обнаружения или изменить существующие. Это делается с помощью скриптов на языке, напоминающем JavaScript.

Как можно видеть на скриншоте, малварь написана на Visual Basic. Ты легко нагуглишь структуру программ на Visual Basic 6.0 и описание принципов их работы. Если коротко, то запускаются они в виртуальной среде, а значит, нам нужно поймать момент, когда этот код будет распакован в памяти. Также можно проанализировать структуру файла и получить название проекта, использованные формы и прочие данные.

Другой способ узнать, что малварь написана на Visual Basic, — использовать CFF Explorer.

CFF Explorer ― набор инструментов с единым минималистичным интерфейсом, который позволяет просматривать и при необходимости редактировать все секции заголовка исполняемого файла. Здесь же можно увидеть импорты и экспорты функций из библиотек, перечень самих библиотек и адресацию секций.

В этом случае мы увидим характерную импортированную библиотеку — ее наличие говорит о том, что используются функции Visual Basic.

Следующим шагом запускаем Hiew и, перейдя на начало исполняемого кода, обнаруживаем вызов функции из библиотеки.

Hiew ― редактор двоичного кода со встроенным дизассемблером для x86, x86-64 и ARM. Также им можно открывать физические и логические диски как файл. Hiew ― «легковесная» (в отличие от IDA) и при этом очень мощная программа, которая позволяет составить первое впечатление об исследуемом объекте.

На данном этапе нам достаточно знать, что при запуске будет исполняться код на Visual Basic.

Пришло время попробовать вытащить код и зафиксировать поведение при запуске. Для этого нам потребуется приготовленная виртуальная машина с Windows, Process Dump и API Monitor.

API Monitor ― программа, которая позволяет контролировать вызовы функций API приложениями и сервисами в Windows, перехватывает информацию о запуске приложений или подключается к выполняемому процессу, чтобы просмотреть используемые библиотеки и вызовы API.

В API Monitor запускаем Sample.exe и получаем следующую картину: стартует еще один процесс, после чего первый завершается, далее программа добавляется в автозагрузку.

Просмотр API-вызовов файла при помощи API Monitor

Находим указанный исполняемый файл, это первоначальный файл, записанный в директорию пользователя.

Обнаружили копию в автозагрузке, на диске, открываем файл в DIE

Программа еще и отключает возможность вызвать диспетчер задач.

Просмотр API-вызовов файла при помощи API Monitor

Этого уже вполне достаточно, чтобы с уверенностью сказать, что файл вредоносный.

Выгрузим из оперативной памяти работающий процесс. Воспользуемся утилитой для выгрузки дампа процесса ― Process Dump. PID берем из данных API Monitor, он отображается рядом с именем процесса.

Использование утилиты Process Dump

В результате будут выгружены все библиотеки, которые использует приложение. Также обнаруживаем, что в адресном пространстве, кроме основного исполняемого файла, есть еще и спрятанные, это можно увидеть ниже, в имени файла есть слово hiddenmodule.

Результат работы утилиты Process Dump

Проверяем каждый полученный исполняемый файл в DIE.

Открываем каждый файл в DIE

Просмотр кода в dnSpy

Для анализа двух оставшихся файлов воспользуемся дизассемблером IDA.

IDA ― популярный интерактивный дизассемблер компании Hex-Rays. Имеет бесплатную и пробную версии, чего вполне достаточно для первичного знакомства. Также компания выпускает версию Pro. Основная задача программы ― это перевод исполняемых файлов из бинарного вида в читаемый код на ассемблере.

Как видно из примера, IDA позволяет получить код программы на ассемблере, но для более удобного просмотра и первоначальной оценки можно воспользоваться плагином Snowman и получить псевдокод.

Просмотр псевдокода в IDA

Использование псевдокода упрощает анализ, но не всегда дает ожидаемый результат. Дизассемблирование и создание псевдокода выполняются автоматически, и у вирусописателей есть техники для их усложнения. Такое вот вечное противостояние меча и щита, интеллекта создателя малвари и интеллекта вирусного аналитика.

Мы, когда использовали API Monitor, уже выявили вредоносную сущность этого файла по совершаемым действиям. Но пока что не знаем, каков потенциал этой малвари. Чтобы получить полный алгоритм работы этого исполняемого файла, необходимо углубляться в анализ как ассемблерного кода, так и программы на Visual Basic, но это выходит за рамки статьи.

Заключение

Если у тебя создалось впечатление, что мы бросили исследование в самом начале пути, то оно отчасти справедливо: здесь мы проделали лишь те действия, которые не требуют знания ассемблера. Однако, как видишь, провести экспресс-анализ и установить, чего можно ждать от малвари, вполне реально и без этого.

При полноценном же разборе потребуется глубокое понимание принципов работы операционной системы и, конечно, знание ассемблера.

Читайте также: