Как увидеть вирус?

vld1234

Новый пользователь
Сообщения
4
Симпатии
2
Баллы
3
#1
Каким образом или каким способом можно увидеть файл который был скелеен в rar файле, до момента его распаковки?
НЕ судите строго, за ранее спасибо.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,633
Симпатии
4,972
Баллы
663
#5
Последнее редактирование:

Сергій

Активный пользователь
Сообщения
362
Симпатии
193
Баллы
123
#6
Допишите расширение ".rar", затем правой кнопкой миши "Извлечь в указанную папку".
Или Вы имеете ввиду как получить дату добавления в архив?
 

vld1234

Новый пользователь
Сообщения
4
Симпатии
2
Баллы
3
#7
Насколько я понимаю подразумеваются самораспаковывающиеся архивы?
нет, не самораскрывающиеся...
есть понятие склейка, когда какой то файл(вирус) соединяют с exe файлом и при установке происходит чудо, вот чтобы такого не происходило... вот раз есть склейщики, должны быть и ракслейщики...
думал изменить параметры папок, но все равно он сидит в exe ...
скачал аналогичный файл, сверил размер, разный...
может hex-ом открыть его...
одни советуют запускать на вирте и смотреть за процессами куда и что отправляется... а вот без без выше перечисленного...
Сообщения объединены:

@vld1234, в некоторы архиваторах есть функция предпросмотра.
А так же проверка на вирусы сканером.
Вы об этом?
вирус запустится только тогда, когды вы уставновите прогу или еще что то....
не все антивирусы понимают, что они видят.... вот одни опытные АВ дают + а свежие пишут, что это malware
Сообщения объединены:

Воспользуйтесь 7zFM(7-Zip File Manager).
в курсе, спасибо, но не то....
Сообщения объединены:

Допишите расширение ".rar", затем правой кнопкой миши "Извлечь в указанную папку".
Или Вы имеете ввиду как получить дату добавления в архив?
я имел ввиду как увидеть спрятанный (склеееный) файл - вирус.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,765
Симпатии
12,720
Баллы
2,203
#8
я имел ввиду как увидеть спрятанный (склеееный) файл - вирус.
Понятно. Тут довольно грустно т.к. вариантов (для конечного пользователя) не так много. По степени надежности:

1. Если производитель подписал файл цифровой подписью, то это просто. Даже самоподписанный файл с неповрежденной подписью гарантирует, что файл не был изменен третьей стороной (это в теории конечно, но исключения из правила тоже могу быть).
2. Знать хеш-сумму оригинального файла (MD5, SHA-1 и т.д.) и сравнивать хеш-сумму после скачивания с заявленной производителем.
3. Штатный антивирус который может увидеть склейку при скачивании или установке
4. Залить все на VirusTotal и надеятся на удачу.

Дальше несколько экзотичных вариантов требующих соответствующих знаний
1. Самостоятельно распаковать файл и посмотреть, что внутри
2. Воспользоваться IDA Pro Disassembler и посмотреть, что внутри.

Коллеги думаю дополнят еще вариантами.
 

Сергій

Активный пользователь
Сообщения
362
Симпатии
193
Баллы
123
#9
я имел ввиду как увидеть спрятанный (склеееный) файл - вирус.
Может это троянский конь? Это когда часть кода программы переписывается вирусом, или вирус дописывается в конце файла, ставится "переадресация" на него в коде программы. При выполнении сначала действует вирус, а потом программа со своего начала.
Понаблюдайте за тем, что вирус может переименовать оригинальную программу в .ini, .bak,... И тогда пользователь включит вирус ,думая, что это его прога, ну а вирус ,установившись сам, включит потом оригинальную.
 

vld1234

Новый пользователь
Сообщения
4
Симпатии
2
Баллы
3
#10
Может это троянский конь? Это когда часть кода программы переписывается вирусом, или вирус дописывается в конце файла, ставится "переадресация" на него в коде программы. При выполнении сначала действует вирус, а потом программа со своего начала.
Понаблюдайте за тем, что вирус может переименовать оригинальную программу в .ini, .bak,... И тогда пользователь включит вирус ,думая, что это его прога, ну а вирус ,установившись сам, включит потом оригинальную.
я это поннимаю, повторюсь, что кто то склеивает, а я хочу раскалеить...
 

akok

Команда форума
Администратор
Сообщения
15,765
Симпатии
12,720
Баллы
2,203
#11
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,273
Симпатии
5,864
Баллы
918
#12
@vld1234, начнём с того что SFX это уже по сути склеенный файл. Там склеен SFX модуль с архивом. По поводу остального надо смотреть как именно склеили. Вот вы говорите слеили, а там могли просто запрятать в ресурсы или ещё что-то. В любом случае универсальный способ сами написали - хекс редактор.
Может это троянский конь? Это когда часть кода программы переписывается вирусом, или вирус дописывается в конце файла, ставится "переадресация" на него в коде программы. При выполнении сначала действует вирус, а потом программа со своего начала.
Понаблюдайте за тем, что вирус может переименовать оригинальную программу в .ini, .bak,... И тогда пользователь включит вирус ,думая, что это его прога, ну а вирус ,установившись сам, включит потом оригинальную.
Прежде чем писать подобную.... не знаю как прилично назвать, лучше откройте словарь и посмотрите определение термина которому вы дали такое вольное определение.
 

Кирилл

Команда форума
Администратор
Сообщения
13,580
Симпатии
6,018
Баллы
843
#15
@vld1234, пожалуй универсального лекарства вам никто не даст.
Могу порекомендовать лишь сверять хеш суммы файлов скачанных с известным оригиналом и не качать файлы на сомнительных сайтах.
Последнее, между прочим, сильно понижает риски.
 
Сверху Снизу