Инструменты для анализа вредоносных файлов для операционной системы Windows
Степень завершённости урока: 45%
Статистика урока:
- Время чтения: менее 10 минут
- Уровень сложности: средний
Для изучения вредоносных файлов и их деятельности в системе понадобятся инструменты (программы), которые умеют:
- выполнять статический анализ вредоносных файлов
- декомпилировать программы
- бесплатная программа Ghidra (https://github.com/NationalSecurityAgency/ghidra)
- работать с файлами на уровне битов и байтов (т.н. хекс-редакторы или шестнадцатеричные редакторы).
- бесплатная программа HxD (https://mh-nexus.de/en/hxd)
- платная программа WinHex (https://www.x-ways.net)
- платная программа SweetScape 010 Editor (https://www.sweetscape.com/010editor/)
- отслеживать изменения в реестре операционной системы Windows
- бесплатная программа RegRipper (https://github.com/keydet89)
- изучать характеристики файлов
- бесплатная для некоммерческого использования программа MiTeC EXE Explorer (http://m.mitec.cz/exe.html)
- проводить экспертизу памяти (изучение дампа памяти компьютера)
- бесплатная программа MemProcFS (https://github.com/ufrisk/MemProcFS)
- бесплатная программа Magnet DumpIt (https://www.magnetforensics.com/resources/magnet-dumpit-for-windows/)
- выполнять динамический анализ вредоносных файлов
- отслеживать сетевое поведение вредоносных файлов
- бесплатная программа tcpdump (https://www.tcpdump.org)
- бесплатная программа WireShark (https://www.wireshark.org)
- отслеживать изменения в реестре операционной системы Windows
- бесплатная программа Sysinternals Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon)
Один из популярных вариантов - дистрибутив Remnux, который основан на операционной системе Linux и содержит большой набор бесплатных специализированных программ.
Также потребуется программное обеспечение для виртуализации, т.е. для запуска вредоносных программ в изолированной среде. Обычно для этой цели используются VMware или VirtualBox.
Предложить идею по улучшению урока в мессенджере Max или мессенджере Telegram
Страница обновлена 1 февраля 2026 года.