По какому критерию можно идентифицировать файл
Обновлено: 05.07.2024
Описание слайда:
1 Понятие файловой системы.
2 Логическая организация файловой системы.
3 Физическая организация файловой системы.
Тема 9
«Организация файловой системы»
Описание слайда:
1. Понятие файловой системы
Файловая система - это часть операционной системы, которая организует эффективную работу с данными, хранящимися во внешней памяти, и обеспечивает пользователю удобный интерфейс при работе с ними.
Описание слайда:
1. Понятие файловой системы
Основные функции ФС.
Идентификация файлов. Связывание имени файла с выделенным ему пространством внешней памяти.
Распределение внешней памяти между файлами.
Обеспечение надежности и отказоустойчивости. Стоимость информации может во много раз превышать стоимость компьютера.
Обеспечение защиты от несанкционированного доступа.
Обеспечение совместного доступа к файлам.
Обеспечение высокой производительности.
Описание слайда:
1. Понятие файловой системы
Файловая система (ФС) как часть операционной системы включает элементы:
совокупность всех файлов на диске;
наборы структур данных, используемых для управления файлами (каталоги файлов, дескрипторы файлов, таблицы распределения свободного и занятого пространства на диске и т.д.)
комплекс системных программных средств, реализующих различные операции над файлами (создание, уничтожение, чтение, запись, именование и поиск).
Описание слайда:
2. Логическая организация файловой системы
Для того чтобы предоставить пользователю удобный интерфейс при работе с данными, хранящимися на дисках, ОС подменяет физическую структуру хранящихся данных некоторой удобной для пользователя логической моделью.
Структура данных материализуется в виде дерева каталогов, выводимого на экран утилитами Norton Commander или Windows Explorer.
назад
Описание слайда:
2. Логическая организация файловой системы
Основные цели использования файла:
Долговременное и надежное хранение информации.
Совместное использование информации.
Эти цели реализуются в ОС файловой системой.
Описание слайда:
2. Логическая организация файловой системы
Основные функции ФС нацелены на решение следующих задач:
именование файлов;
программный интерфейс для приложений;
отображения логической модели файловой системы на физическую организацию хранилища данных;
устойчивость файловой системы к сбоям питания, ошибкам аппаратных и программных средств.
совместного доступа к файлу из нескольких процессов
защита файлов одного пользователя от несанкционированного доступа другого пользователя
Описание слайда:
Отдохнем: выпрямите спину, посмотрите вдаль, улыбнитесь …
Описание слайда:
2. Логическая организация файловой системы
Типы файлов
Описание слайда:
2. Логическая организация файловой системы
Обычные файлы, или просто файлы, содержат информацию произвольного характера, которую заносит в них пользователь или которая образуется в результате работы системных и пользовательских программ.
Содержание обычного файла определяется приложением, которое с ним работает.
Описание слайда:
2. Логическая организация файловой системы
Каталоги — это особый тип файлов, которые содержат системную справочную информацию о наборе файлов, сгруппированных пользователями по какому-либо неформальному признаку.
Во многих операционных системах в каталог могут входить файлы любых типов, в том числе другие каталоги, за счет чего образуется древовидная структура, удобная для поиска.
Каталоги устанавливают соответствие между именами файлов и их характеристиками, используемыми файловой системой для управления файлами.
Описание слайда:
2. Логическая организация файловой системы
3 Специальные файлы — это фиктивные файлы, ассоциированные с устройствами ввода-вывода, которые используются для унификации механизма доступа к файлам и внешним устройствам.
Специальные файлы позволяют пользователю выполнять операции ввода-вывода посредством обычных команд записи в файл или чтения из файла.
Эти команды обрабатываются сначала программами ФС, а затем на некотором этапе выполнения запроса преобразуются ОС в команды управления каким-либо устройством.
Описание слайда:
2. Логическая организация файловой системы
Структура файловой системы
Большинство ФС имеет иерархическую структуру, в которой уровни создаются за счет того, что каталог более низкого уровня может входить в каталог более высокого уровня.
Каталоги образуют дерево, если файлу разрешено входить только в один каталог ( MS-DOS и Windows) и сеть — если файл может входить сразу в несколько каталогов (в UNIX ).
Каталог самого верхнего уровня называется корневым каталогом, или корнем (root).
Частным случаем иерархической структуры является одноуровневая организация, когда все файлы входят в один каталог.
Описание слайда:
2. Логическая организация файловой системы
Имена файлов
Все типы файлов имеют символьные имена. В иерархически организованных файловых системах обычно используются три типа имен - файлов:
простые,
составные
относительные.
Описание слайда:
2. Логическая организация файловой системы
Простое, или короткое, символьное имя идентифицирует файл в пределах одного каталога. Простые имена присваивают файлам пользователи и программисты, при этом они должны учитывать ограничения ОС как на номенклатуру символов, так и на длину имени.
( в ФС s5, поддерживаемой многими версиями ОС UNIX, простое символьное имя не могло содержать более 14 символов).
Описание слайда:
2. Логическая организация файловой системы
Полное имя представляет собой цепочку простых символьных имен всех каталогов, через которые проходит путь от корня до данного файла.
Полное имя является составным, в нем простые имена отделены друг от друга принятым в ОС разделителем.
Например, два файла имеют простое имя main.exe, но их составные имена /depart/main.ехе и /user/anna/main.exe различаются.
Описание слайда:
2. Логическая организация файловой системы
Атрибуты файлов — это информация, описывающая его свойства:
тип файла (обычный файл, каталог, специальный файл и т. п.);
владелец файла;
создатель файла;
пароль для доступа к файлу;
информация о разрешенных операциях доступа к файлу;
времена создания, последнего доступа и последнего изменения;
текущий размер файла;
максимальный размер файла;
признак «только для чтения»;
признак «скрытый файл»;
признак «системный файл»;
признак «архивный файл»;
Описание слайда:
2. Логическая организация файловой системы
Данные, содержащиеся в файле, имеют некую логическую структуру.
Неструктурированная модель файла позволяет легко организовать разделение файла между несколькими приложениями: разные приложения могут по-своему структурировать и интерпретировать данные, содержащиеся в файле (ОС UNIX, MS-DOS, Windows NT/2000, NetWare. ).
Описание слайда:
2. Логическая организация файловой системы
В структурированной модели поддержание структуры файла поручается файловой системе. ФС видит файл как упорядоченную последовательность логических записей.
ФС предоставляет приложению доступ к записи, а вся дальнейшая обработка данных, содержащихся в этой записи, выполняется приложением.
СУБД поддерживают как сложную структуру данных, так и взаимосвязи между ними.
Описание слайда:
2. Логическая организация файловой системы
Логическая запись является наименьшим элементом данных, которым может оперировать программист при организации обмена с внешним устройством.
Файловая система может использовать два способа доступа к логическим записям:
последовательный доступ - читать или записывать логические записи последовательно
прямой доступ - позиционировать файл на запись с указанным номером.
Описание слайда:
2. Логическая организация файловой системы
Файлы, доступ к записям которых осуществляется последовательно, по номерам позиций, называются неиндексированными, или последовательными.
Описание слайда:
2. Логическая организация файловой системы
Индексированные файлы допускают более быстрый прямой доступ к отдельной логической записи, которая имеет одно или более ключевых (индексных) полей и могут адресоваться путем указания значений этих полей.
Способы логической организации файлов
Описание слайда:
Описание слайда:
3 Физическая организация файловой системы
Принципы размещения файлов, каталогов и системной информации на реальном устройстве описываются физической организацией файловой системы.
Файл, имеющий образ цельного набора байт, на самом деле разбросан «кусочками» по всему диску, отдельная логическая запись может быть расположена в несмежных секторах диска.
Разные файловые системы имеют разную физическую организацию.
назад
Описание слайда:
3 Физическая организация файловой системы
Диски, разделы, секторы, кластеры
Описание слайда:
3 Физическая организация файловой системы
Сектор — наименьшая адресуемая единица обмена данными дискового устройства с оперативной памятью (512 байт).
ОС при работе с диском использует собственную единицу дискового пространства, называемую кластером (cluster).
При создании файла место на диске ему выделяется кластерами. Если файл имеет размер 2560 байт, а размер кластера в файловой системе определен в 1024 байта, то файлу будет выделено на диске 3 кластера.
Описание слайда:
3 Физическая организация файловой системы
Дорожки и секторы создаются в результате выполнения процедуры физического, или низкоуровневого, форматирования диска, предшествующей использованию диска.
Разметку диска под конкретный тип файловой системы выполняют процедуры высокоуровневого, или логического, форматирования.
Раздел — это непрерывная часть физического диска, которую операционная система представляет пользователю как логическое устройство
Описание слайда:
3 Физическая организация файловой системы
Физическая организация и адресация файла
Основные критерии эффективности физической организации файлов:
скорость доступа к данным;
объем адресной информации файла;
степень фрагментированности дискового пространства;
максимально возможный размер файла.
Описание слайда:
3 Физическая организация файловой системы
1 Непрерывное размещение: файлу предоставляется последовательность кластеров диска, образующих непрерывный участок дисковой памяти.
Достоинства: высокая скорость доступа, минимальный объем адресной информации ( номер первого кластера и объем файла), не ограничивает максимально возможный размер файла.
Недостатки: нельзя определить размер выделяемой непрерывной области, т.к. файл может увеличить свой размер; фрагментация
Описание слайда:
3 Физическая организация файловой системы
2 Размещение файла в виде связанного списка кластеров дисковой памяти. В начале каждого кластера содержится указатель на следующий кластер.
Достоинства: адресная информация минимальна; фрагментация на уровне кластеров отсутствует.
Недостатки: сложность доступа к произвольно заданному месту файла; количество данных файла, содержащихся в одном кластере, не равно степени двойки.
Описание слайда:
3 Физическая организация файловой системы
3 Использование связанного списка индексов: выделяется память в виде связанного списка кластеров. Номер первого кластера запоминается в записи каталога, где хранятся характеристики этого файла. С каждым кластером диска связывается индекс.
Индексы располагаются в отдельной области диска (FAT ). Когда память свободна, все индексы имеют нулевое значение. Если некоторый кластер N назначен некоторому файлу, то индекс этого кластера становится равным либо номеру М следующего кластера данного файла, либо принимает специальное значение, означающее конец файла.
Описание слайда:
3 Физическая организация файловой системы
Достоинства: минимальность адресной информации, отсутствие фрагментации,
отсутствие проблем при изменении размера,
для доступа к произвольному кластеру файла не требуется последовательно считывать его кластеры,
данные имеют объем, равный степени двойки
Описание слайда:
3 Физическая организация файловой системы
4 Перечислении номеров кластеров, занимаемых этим файлом.
Номера служат адресом файла.
Недостатки: длина адреса зависит от размера файла и для большого файла может составить значительную величину.
Достоинство: высокая скорость доступа к произвольному кластеру файла, фрагментация на уровне кластеров отсутствует.
Описание слайда:
3 Физическая организация файловой системы
Файловые операции
Файловая система ОС должна предоставлять пользователям набор операций работы с файлами, оформленный в виде системных вызовов.
Каждая операция, выполняемая над файлом может содержать уникальные и универсальные действия.
Описание слайда:
3 Физическая организация файловой системы
Универсальные для всех операций действия:
1. По символьному имени файла найти его характеристики на диске.
2. Скопировать характеристики файла в оперативную память, только так программный код может их использовать.
3. На основании характеристик файла проверить права пользователя на выполнение запрошенной операции (чтение, запись, удаление, просмотр атрибутов файла).
4. Очистить область памяти, отведенную под временное хранение характеристик файла.
Описание слайда:
3 Физическая организация файловой системы
Доступ к файлам - это частный случай доступа к разделяемым ресурсам.
Определить права доступа к ресурсу — значит определить для каждого пользователя набор операций, которые ему разрешено применять к данному ресурсу. В разных ОС для одних и тех же типов ресурсов может быть определен свой список дифференцируемых операций доступа.
Описание слайда:
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Послал Вам кто-нибудь e-mail с файлом, с которым не знаете что делать? Вы скачали файл и не имеете понятия для чего он предназначен? В чём можно открыть файл с данным расширением? Ответы на эти вопросы найдёте в этой статье.
Со времён MS-DOS для различия отдельных файлов применяются так называемые расширения. Ранее применялись расширения длиной в три знака за точкой, сегодня же это ограничение уже не действует. Некоторым операционным системам, как например Linux, расширения вообще не нужны. Для идентификации файлов в этих системах применяется команда file, где параметром служит имя файла - впоследствии узнаете кое что о его содержании.
Как определить, какой это файл?
Первая проблема, с которой Вы можете столкнуться, это то, что расширение данного файла не известно Вашей системе и система спросит, в какой программе должен быть файл открыт. Если расширение неизвестно самому пользователю, нужно начать поиск в Интернете. Некоторые используют любимый поисковик как например Google, или используют прямо некоторые из специализированных сайтах. Благодаря им узнают, о каком файле идёт речь и в какую программу нужно искать. Некоторые сайты занимающиеся расширениями:
Этот сайт предлагает простой поиск по расширению файла, начальной буквы, или можете просматривать расширения по их назначению. Если найдёте своё расширение, то узнаете и подробную информацию о данном формате, а так же в каких программах может быть данный файл открыт.
Этот сайт предлагает такие же функции как и предыдущий стой разницей, что не показывает и другие возможные расширения для данного формата. В отличие от предыдущего решения здесь найдёте и соответствующие программы для операционной системы Windows, Mac OS a Linux.
Чешское подобие предыдущих сайтов. К сожалению много информации здесь не найдёте. Всё же основная информация о данном расширении здесь есть.
И всё таки если не получается?
Расширение можно элементарно поменять и поиски по расширению не обязательно приведут к правильной цели. С изменением расширения я столкнулся у одного пользователя, который не мог воспроизвести фильм, потому что его расширение было для установленного проигрывателя неизвестно (.mp4). Тогда изменили расширение на .avi и его любимый проигрыватель фильм воспроизвёл. Это решение всё же не совсем подходящее, поэтому его не рекомендую. В случае если кто то так уже сделал, решением могут быть разные online услуги для идентификации файлов. Между такими online услуги есть например такие:
Предлагает интересную online услугу, где достаточно закачать файл. В последствие Вам страничка "скажет", что этот файл содержит. К сожалению информация из этой услуги слишком скромная. Так что её использование только ориентировочное. Использовать можно только в случае, если существенно изменён формат, т.е. файл с расширением .txt на самом деле видео.
Здесь можете опять закачать свой файл, о котором ничего не известно. Эта услуга Вам предоставит важную информацию о файле. В отличии от предыдущей программы, эта предоставляет больше информации.
А что если нет интернета? TrID
Проект Online TrID File Identifier имеет и offline версию в виде программы, которая управляется из командной строки. Это может быть для одного плюсом, для другого наоборот минусом. И эта программ сможет определить, что на самом деле файл собой представляет, использует не только расширение. Определение содержимого происходит при помощи исследования и сравнения структуры массива данных, поэтому идентификация у небольших файлов может длиться дольше чем у следующей программы.
Опять простая программа, которая управляется через командную строку. В результате работы программы получите информацию о данном файле в виде типа и meta данных. В этом случае можете узнать например имя автора данного документа. Идентификация больших файлов, по времени, всё таки более сложная, чем в предыдущем случае.
Комментарий eMagu
Надеюсь, что эта статья Вам помогла определить, что за неизвестные файлы в e-mailах и что содержат. Каждый автор программ может выбрать для файлов своей программы своё собственное расширение. В случае, если используется уже существующий формат, было бы уместным использовать и существующее расширение. У online услуг есть риск - возможность, что Вашу информацию может кто-нибудь увидеть. Если этого боитесь, лучше использовать две описанные программы.
В данной теме я рассмотрю четыре вида метаданных, которые могут быть прикреплены к файлу или каталогу средствами файловой системы NTFS. Я опишу, в каких целях можно использовать тот или иной тип метаданных, приведу пример его применения в какой-либо технологии Microsoft или стороннем программном обеспечении.
Речь пойдёт о точках повторной обработки (reparse points), идентификаторах объектов (object id) и о других типах данных, которые может содержать файл помимо своего основного содержимого.
Object Id
Идентификатор объекта это 64 байта, которые можно прикрепить к файлу или каталогу. Из них первые 16 байт позволяют однозначно идентифицировать файл в пределах тома и обращаться к нему не по имени, а по идентификатору. Остальные 48 байт могут содержать произвольные данные.
Идентификаторы объектов существуют в NTFS со времён Windows 2000. В самой системе они используются для отслеживания расположения файла, на который ссылается ярлык (.lnk). Допустим, файл, на который ссылается ярлык, был перемещён в пределах тома. При запуске ярлыка он всё равно откроется. Специальная служба Windows в случае, если файл не найден, произведёт попытку открыть файл не по его имени, а по заранее созданному и сохранённому идентификатору. Если файл не был удалён и не покидал пределы тома, он откроется, а ярлык снова будет указывать на файл.
Идентификаторы объектов использовались в технологии iSwift Антивируса Касперского 7-ой версии. Вот как описана эта технология: Технология разработана для файловой системы NTFS. В этой системе каждому объекту присваевается NTFS-индентификатор. Этот индентификатор сравнивается с значениями специальной базы данных iSwift. Если значения базы данных с NTFS-индентификатором не совпадают, то объект проверяется или перепроверяется, если он был изменен.
Впрочем, переизбыток созданных идентификаторов вызывал проблемы со сканированием диска стандартной утилитой проверки chkdsk, она происходила слишком долго. В следующих версиях Антивируса Касперского отказались от использования NTFS Object Id.
Reparse Point
В файловой системе NTFS файл или каталог может содержать в себе reparse point, что переводится на русский язык как «точка повторной обработки». В файл или каталог добавляются специальные данные, файл перестаёт быть обычным файлом и обработать его может только специальный драйвер фильтра файловой системы.
В Windows присутствуют типы reparse point, которые могут быть обработаны самой системой. Например, через точки повторной обработки в Windows реализуются символьные ссылки (symlink) и соединения (junction point), а также точки монтирования томов в каталог (mount points).
Reparse-буфер, присоединяемый к файлу это буфер, имеющий максимальный размер 16 килобайт. Он характеризуется наличием тега, который говорит системе о том, к какому типу принадлежит точка повторной обработки. При использовании reparse-буфера собственного типа ещё необходимо задавать в нём GUID в специальном поле, а в reparse-буферах Microsoft он может отсутствовать.
Какие типы точек повторной обработки существуют? Перечислю технологии, в которых используются reparse point'ы. Это Single Instance Storage (SIS) и Cluster Shared Volumes в Windows Storage Server 2008 R2, Hierarchical Storage Management, Distributed File System (DFS), Windows Home Server Drive Extender. Это технологии Microsoft, здесь не упомянуты технологии сторонних компаний, использующие точки повторной обработки, хотя такие тоже есть.
Extended Attributes
Расширенные атрибуты файла. Про них был мой предыдущий топик. Здесь стоит упомянуть только то, что под Windows эта технология практически не применяется. Из известного мне программного обеспечения только Cygwin использует расширенные атрибуты для хранения POSIX прав доступа. У одного файла на NTFS могут быть или расширенные атрибуты, или буфер точки повторной обработки. Одновременная установка и того и другого невозможна. Максимальный размер всех расширенных атрибутов у одного файла составляет 64 Кб.
Alternate Data Streams
Дополнительные файловые потоки. Про них знает уже, наверное, каждый. Перечислю основные признаки этого вида метаданных: именованность (то есть у файла может быть несколько потоков, и у каждого своё имя), прямой доступ из файловой системы (их можно открывать, используя формат «имя файла, двоеточие, имя потока»), неограниченный размер, возможность запуска процесса прямо из потока (и возможность реализовать через это бесфайловый процесс).
Так пользователю даётся дополнительная защита от необдуманного запуска программ, полученных из интернета. Это лишь одно применение потоков, а так в них можно хранить самые разные данные. Упомянутый Антивирус Касперского хранил там контрольные суммы каждого файла, но позже от этой технологии тоже по какой-то причине отказались.
Что-нибудь ещё?
Есть ещё идентификатор безопасности, плюс стандартные атрибуты файла, к которым нет прямого доступа, несмотря на то, что они тоже реализованы как потоки файлов. И они, и расширенные атрибуты, и reparse и object id — всё это потоки файла с точки зрения системы. Напрямую изменять идентификатор безопасности, показанный на следующей картинке как ::$SECURITY_DESCRIPTOR смысла нет, пусть его изменением занимается система. К другим типам потоков сама система не даёт прямого доступа. Так что на этом всё.
Просмотр содержимого object id, точек повторной обработки, а также работа с расширенными атрибутами и альтернативными файловыми потоками возможна с помощью программы NTFS Stream Explorer, а также через системную консольную утилиту fsutil.
В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.
Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли раздел 1, прежде чем продолжать. Это может сэкономить вам много времени.
Содержание
1. Проверьте, не находится ли файл в белом списке Comodo
Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на Comodo Valkyrie. Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись "SHA1". Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу Comodo File Intelligence.
Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима "Search by Filename" на "Search by SHA1". После этого вставьте из буфера обмена SHA1 и нажмите "Search Now". Посмотрите информацию, которая появилась. Если ответ был "The file is safe" ("Файл надёжен"), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко второму разделу, чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.
2. Проверьте файл с помощью Comodo Valkyrie
Comodo Valkyrie - это бесплатная веб-служба Comodo, которая позволяет пользователям загружать файлы до 20 МБ для быстрого анализа. Эта служба может быть найдена на этой странице. Просто перейдите к сайту и найдите файл, который хотите оценить. Теперь закачайте туда этот файл. Загруженные файлы проверяются с помощью проверок многих типов, включая статический метод обнаружения, поведенческий анализ, независимо от того, обнаружены они антивирусом Comodo или с помощью продвинутой эвристики.
Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что "она не уверена".
2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл
Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку "Unknown" или "Malicious", то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.
После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты "анализа вручную", то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.
2.2 Интерпретируйте результаты автоматического анализа самостоятельно
Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты "Auto Result" ("Автоматический результат") и "Final Result" ("Окончательный результат"). Оба результата даны вверху страницы. "Auto Result" даст вам полный итог статического сканирования. "Final Result" комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку "нормально", тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки "Dynamic Detection" и "Advanced Heuristics", чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.
Обратите внимание, что для некоторых файлов вместо результата будет выведено "No PE File". Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на этой странице. Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.
После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.
На вкладке "Dynamic Detection" есть результаты как от Comodo Antivirus (CAV), так и от Comodo Instant Malware Analysis - модуля, также известного как CAMAS. Секция для Comodo Antivirus сообщит вам, если в текущий момент что-то обнаружено антивирусом Comodo, и, если это имеет место, какого типа вредоносное ПО он обнаружил. CAMAS, также известный как CIMA, является поведенческим анализатором. Чтобы узнать больше о том, как понимать результаты, смотрите раздел 4.1 данной статьи. В результатах Валькирии опция "Report URL" соединит вас с результатами CIMA. Это полезно, поскольку вы можете понять, что, во всяком случае, было установлено что-то подозрительное в поведении файлов. Однако знайте, что есть такая ошибка, что, если вы выбираете "Report URL", тогда как в поведении ничего не обнаружено, вы вместо этого переместитесь на страницу "Static Detection".
Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве "Неизвестного" (“Unknown”) или "Вредоносного" (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.
3. Проверьте файл с помощью VirusTotal
Еще вы можете проверить файл в разных антивирусах. Одна из лучших веб-служб для этого - VirusTotal. Ее можно найти на этой странице. Эта служба просканирует любой файл, который вы закачаете, с помощью более чем 40 различных антивирусных продуктов и покажет результаты отдельно по каждому из них. Вы можете закачать файлы размером до 64 МБ, и весь процесс займет около минуты.
Безусловно самая трудная часть использования VirusTotal - интерпретация результатов. Иногда по результатам бывает трудно сказать, какова вероятность, что файл окажется опасным. В основном тогда, когда значительное количество сканеров показывает предупреждение о его вероятной опасности. Однако, даже если лишь немногие это обнаруживают, это не обязательно означает, что он безопасен. Ниже приведены примеры результатов для двух файлов, которые являются действительно вредоносными.
Использование VirusTotal имеет несколько недостатков. Один из них - то, что вредоносное ПО конечно может оказаться столь новым, что ни один антивирус не распознает его. Я лично видел такое много раз. Поэтому, даже если VirusTotal показывает, что ни один из антивирусов не обнаруживает опасности, это не означает, что файл не опасен. Связанная с этим проблема состоит в том, что вредоносное ПО создается так быстро, что антивирусные компании вынуждены использовать эвристическое обнаружение и универсальные сигнатуры в стремлении не отставать от него. Проблема с этим подходом состоит в том, что при этих методах обнаружения безвредный файл может быть неверно идентифицирован как вредоносный. Это известно как ложное срабатывание (false positive). Эти типы ошибок действительно происходят и с возрастающей частотой.
Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.
Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.
4. Проверьте файл на вредоносное поведение
В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.
4.1 Используйте Comodo Instant Malware Analysis
Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на этой странице. Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.
Оценкой может быть “Suspicious” ("Подозрительный"), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.
Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.
4.2 Используйте Anubis
Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на этой странице. Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.
5. Сообщайте об опасных файлах куда следует
Если ваш анализ показал, что определенный файл опасен, я рекомендую, чтобы вы в качестве вероятно опасного отправили его в как можно большее количество лабораторий, занятых в области антивирусного ПО. Самый простой способ сделать это - последовать совету, который я даю в своей статье "Как сообщить о вредоносном программном обеспечении или о ложных срабатываниях в многочисленные антивирусные лаборатории" (How to Report Malware or False Positives to Multiple Antivirus Vendors). Выполняя шаги, описанные в ней, вы можете помочь противодействовать распространению этого вредоносного ПО.
Читайте также: