شناسایی بدافزار EXE در ویندوز ۱۱: تحلیل رفتار، امضای دیجیتال و Sandbox

مجرمان سایبری معمولا از فایل های مخرب EXE برای به سرقت بردت اطلاعات و داده های شما استفاده می کنند. به همین دلیل، مهم به نظر می رسد که بتوانید فایل های بالقوه را قبل از ورود به رایانه شناسایی و از آنها اجتناب کنید تا دستگاه شما به دور از ویروس بتواند به درستی کار کند. برای مثال، اگر به فایلی شک دارید که نا امن است، چندین روش برای بررسی و شناسایی فایل وجود دارد که در این مقاله سعی کرده ایم ۵ مورد از مهم ترین آنها را مورد بررسی قرار دهیم.

اطلاعات فایل را بررسی کنید

بررسی اطلاعات اولیه فایل مانند نام، پسوند، اندازه و منبع می تواند به شما در شناسایی سریع فایل های مخرب کمک کند. بیایید با نام و فرمت آن شروع کنیم. برای مثال اگر فایل مورد نظر با نام های عمومی همچون Install.exe و یا Update.exe به جای نام مورد انتظار بودند، یا حتی اگر از پسوند های دوگانه یا چند گانه مانند file.pdf.exe استفاده می کردند. این داده از شانس بالایی دارد تا به عنوان یک بد افزار یا جاسوس افزار فعالیت کند.

از طرف دیگر، اندازه فایل نیز می تواند به شما در شناسایی برخی از بدافزار ها کمک کند. وقتی حجم فایل مورد نظر به طور غیر عادی کوچک یا بیش از حد بزرگ هستند، در مقایسه با اندازه معمولی برنامه مورد انتظار ممکن است مخرب باشند. بنابراین، بهتر است قبل از اقدام به نصب برنامه از منبع آن آگاه شوید و یا در مواردی خودتان مجددا آن را از منابع رسمی دانلود کنید.

فایل مورد نظر را با آنتی ویروس اسکن کنید

اگر می خواهید فایل EXE ای را در ویندوز ۱۱ خود اجرا و یا دانلود کنید، اما آنتی ویروس شما اخطاری را مبنی بر خطرناک بودن فایل مورد نظر به شما می دهد، بهتر است آن را جدی بگیرید. پس قبل از اقدام توصیه می کنیم، فایل مورد نظر را با استفاده از مایکروسافت دفندر اسکن کنید. نرم افزاری که به صورت پیشفرض در ویندوز ۱۱ قابل استفاده استو ایمنی خوبی را در رایانه ایجاد می کند. با این حال، اگر از یک نرم‌افزار شخص ثالث بهره می برید، تنها کافی است بر روی فایل مورد نظر کلیک راست نموده و سپس گزینه Scan را آغاز کنید.

اگر با اعلام آنتی ویروس فایل مورد نظر برای ویندوز خطرناک است، در سریع ترین زمان ممکن آن را حذف کنید. اگرچه اکثر ابزار ها به صورت خودکار این کار را انجام می دهند، اما توصیه ما این است که اگر این فرایند به درستی اعمال نشد، حتما به صورت دستی اقدام کنید. از طرفی، آنتی ویروس خود را همیشه فعال نگه دارید تا در صورت ورود فایل های مضر به رایانه بتوانید اقدامی سریع انجام دهید.

فایل را به صورت آنلاین بررسی کنید

اگر می خواهید قبل از دانلود فایل مورد نظر بررسی کنید که آیا فایل اجرایی سالم است یا خیر، می توانید از Virus Total استفاده کنید. این ابزار آنلاین، فایل ها و صفحات وب سایت را با استفاده از چندین موتور آنتی ویروس و پایگاه داده اسکن می کند تا گزارشی دقیق از تهدیدات احتمالی را ارائه دهد. این فرایند، می تواند از دانلود فایل مخرب EXE جلوگیری کند.

پس از ورود به سایت، وارد تب URL شوید. آدرس اینترنتی را که فایل در آن میزبانی می شود را کپی کرده و در کادر متنی جایگذاری کنید. اکنون کلید Enter را بفشارید تا Virus Total نتایج را نمایش دهد. در صورتی که این ابزار تهدیدی را شناسایی کرد، قطعا از دانلود برنامه خودداری کنید و در صورتی که برنامه را دریافت کرده اید، می بایست سریعا آن را حذف کنید.

امضای دیجیتال را بررسی کنید

یکی دیگر از مهم ترین روش هایی که می توان، صحت برنامه ای را تایید کرد، امضای دیجیتال است. فرایندی که در واقع مهر تاییدی از سوی ناشر نرم‌افزار است و تایید می کند که نرم‌افزار پس از امضای آن تغییری نکرده است. در این شرایط، اگر برنامه فاقد چنین امضایی باشد و یا شامل چندین ناشر ناشناس است، در این شرایط می بایست کمی در نصب برنامه تردید کنید.

برای بررسی این فرایند، می توانید مراحل زیر را دنبال کنید:

• بر روی فایل EXE کلیک راست کنید.
• از منوی زمینه Properties را انتخاب کنید.
• به تب Digital Signatures بروید.
• امضا را انتخاب کنید، سپس روی Details کلیک کنید.
• گزینه View Certificate را انتخاب کرده تا شرکت سازنده را بررسی کنید.

در صورتی که شرکت سازنده معتبری را نمایش می داد، این فایل قابل اطمینان است و شما می توانید به راحتی آن را در رایانه خود نصب کنید. در غیر این صورت از نصب برنامه خودداری کرده و فایل را حذف کنید.

رصد فایل‌های EXE در محیط Sandbox ویندوز

شناسایی بدافزارها فقط با بررسی امضا یا اسکن آنتی‌ویروس کافی نیست. تحلیل رفتار فایل پس از اجرا، کلید کشف فعالیت مخرب است:

1. اجرای فایل در محیط امن Sandbox (جعبه شنی):

   Windows Sandbox یک ماشین مجازی سبک و بومی در ویندوز ۱۱ است که به شما اجازه می‌دهد فایل‌های مشکوک EXE را در یک محیط کاملاً ایزوله اجرا کنید. پس از بستن Sandbox، تمام تغییرات و فایل‌ها به‌طور کامل از بین می‌روند.

   برای فعال‌سازی، به Control Panel -> Programs and Features -> Turn Windows features on or off بروید و گزینه Windows Sandbox را فعال کنید.

2. رصد فعالیت مشکوک با Process Explorer:

   به‌محض اجرای یک فایل EXE مشکوک (حتی در محیط Sandbox)، برنامه Task Manager ویندوز یا بهتر از آن Process Explorer (ابزار رایگان مایکروسافت) را باز کنید.

   روی فایل مشکوک راست کلیک کرده و Properties را بزنید. بررسی کنید که آیا فایل در حال انجام فعالیت‌های زیر است:

   • Networking: آیا در حال برقراری اتصال با سرورهای خارجی یا آدرس‌های IP مشکوک است؟ (نشان‌دهنده ارسال داده).
   • CPU یا Memory غیرعادی: آیا مصرف پردازنده یا حافظه آن به طور ناگهانی بالا رفته است؟ (نشان‌دهنده ماینر یا فعالیت‌های پنهان).
   • تغییرات رجیستری: آیا فایل در حال ایجاد یا تغییر کلیدهای مهم رجیستری (مثل کلید Run) برای اجرای خودکار هنگام راه‌اندازی ویندوز است؟

پیشگیری بهتر از درمان: قبل از نصب برنامه از ایمن بودن آن مطمئن شوید

فایل های EXE همچنان یکی از مهم ترین ابزار ها برای نفوذ به سیستم ها سرقت اطلاعات سایبری محسوب می شوند. ویندوز ۱۱ در این زمینه سعی کرده است تا با ارائه ابزار های امنیتی پیشرفته بتواند به شناسایی و پیشگیری چنین تهدیداتی پاسخ دهد، اما باید به این نکته توجه کردم که این بخش کوچکی از ماجرا است و در واقع مسئولیت حفاظت از رایانه بر عهده خود شما است. مواردی که می بایست خودتان بررسی کنید، اینها شامل امضای دیجیتال، اسکن فایل و دانلود فایل از منابع معتبر خواهد بود.