Как анализировать подозрительный .exe в безопасном режиме Windows

Вы подозреваете, что какой-то файл .exe ведёт себя странно, но при обычной загрузке он успевает завершить свою работу или спрятаться так, что вы не можете его изучить. Безопасный режим — именно тот инструмент, который позволяет запустить систему с минимальным набором драйверов и служб, чтобы изолировать и исследовать этот файл. Здесь я разберу, как это сделать по шагам, что смотреть и какие инструменты использовать.

Почему безопасный режим помогает при анализе

Когда Windows загружается в безопасном режиме, система запускает только критически важные службы и драйверы. Большинство сторонних программ, включая вредоносные, просто не загружаются. Это даёт вам несколько преимуществ:

• Подозрительный .exe не может запуститься автоматически через автозагрузку или планировщик заданий.
• У вас есть доступ к файловой системе без блокировок со стороны вредоносного процесса.
• Вы можете запустить файл в контролируемых условиях и наблюдать за его поведением.
• Системные утилиты и инструменты анализа работают без помех.

Безопасный режим не делает вас неуязвимым — он просто ограничивает среду, в которой работает подозрительный файл. Это даёт время и пространство для анализа.

Как зайти в безопасный режим

Есть несколько способов, и выбор зависит от того, насколько сильно система повреждена.

1. Через параметры системы. Откройте «Параметры» → «Обновление и безопасность» → «Восстановление» → «Особые варианты загрузки» → «Перезагрузить сейчас». После перезагрузки выберите «Поиск и устранение неисправностей» → «Дополнительные параметры» → «Параметры загрузки» → «Перезагрузить». Затем нажмите 4 или F4 для безопасного режима, либо 5 или F5 — для безопасного режима с сетью.
2. Через msconfig. Нажмите Win + R, введите msconfig, перейдите на вкладку «Загрузка» и отметьте «Безопасная загрузка». После перезагрузки система загрузится в безопасном режиме. Не забудьте снять эту галочку после завершения работы.
3. При невозможности войти в систему. Если Windows не загружается нормально, при включении компьютера удерживайте кнопку питания для принудительного выключения. Повторите это три раза — система перейдёт в режим восстановления, откуда можно попасть в безопасный режим.

Обратите внимание: если вы работаете с заведомо вредоносным файлом, используйте для анализа виртуальную машину или отдельный тестовый компьютер. Не экспериментируйте на рабочей системе, если не уверены в последствиях.

Что взять с собой в безопасный режим

Перед переходом в безопасный режим подготовьте набор инструментов. Если вы загрузились без сети, вам понадобятся утилиты, заранее скачанные на флешку или другой носитель.

• Process Explorer — продвинутая замена диспетчера задач, показывает все процессы, их дочерние процессы, загруженные DLL и дескрипторы.
• Autoruns — показывает все места, где программы прописываются для автозапуска. Позволяет быстро найти, откуда запускается подозрительный .exe.
• Process Monitor (ProcMon) — в реальном времени отслеживает обращения к файловой системе, реестру, сети и процессам.
• PE Explorer или CFF Explorer — для анализа структуры .exe файла без его запуска.
• Sandboxie или Windows Sandbox — для запуска файла в изолированной среде.
• Антивирусный сканер с актуальными базами — например, Dr.Web CureIt или Kaspersky Virus Removal Tool в portable-версии.

Пошаговый анализ подозрительного .exe

Шаг 1. Изучите файл без запуска

Первое, что нужно сделать — посмотреть на файл статически, не запуская его. Откройте свойства файла и обратите внимание на следующее:

• Размер и дата создания. Слишком маленький или слишком большой размер для заявленной программы — повод насторожиться. Дата создания, которая не совпадает с датой установки программы, тоже подозрительна.
• Вкладка «Цифровые подписи». Если файл подписан — проверьте, кому принадлежит сертификат и действителен ли он. Отсутствие подписи у программы, которая должна быть подписана (например, драйвер или системный компонент), — тревожный знак.
• Вкладка «Подробно». Посмотрите имя продукта, название компании, версию. Если поля пустые или содержат бессмысленный набор символов — скорее всего, файл был создан вредоносным генератором.

Также проверьте хеш-сумму файла. Откройте командную строку и выполните:

certutil -hashfile путь\к\файлу.exe SHA256

Полученный хеш можно проверить через VirusTotal — это даст быстрый ответ, известен ли этот файл антивирусам.

Шаг 2. Анализируйте структуру файла

Откройте .exe в CFF Explorer или аналогичной утилите. Здесь вас интересует:

• Секции файла. Налитие секций с нестандартными именами или аномально большими размерами может указывать на упаковку или обфускацию.
• Импортируемые библиотеки. Если файл импортирует функции из ws2_32.dll (сетевые функции), wininet.dll (HTTP-запросы), crypt32.dll (криптография) — это не обязательно вредонос, но в сочетании с другими признаками формирует картину.
• Точка входа (Entry Point). Если она находится не в стандартной секции кода, а в секции данных или ресурсов — файл скорее всего упакован или модифицирован.
• Ресурсы. Встроенные строки, диалоги, иконки. Иногда в ресурсах можно найти URL-адреса, команды, пути к другим файлам.

Шаг 3. Запустите файл под наблюдением

Если статический анализ не дал однозначного ответа, запустите файл и наблюдайте за его поведением. В безопасном режиме это безопаснее, потому что большинство механизмов самозащиты вредоносного ПО не работают.

Порядок действий:

1. Запустите Process Monitor и установите фильтр по имени вашего файла.
2. Запустите подозрительный .exe.
3. Наблюдайте, какие файлы он открывает, какие ключи реестра читает и модифицирует, какие дочерние процессы запускает.
4. Если в безопасном режиме с сетью — отслеживайте сетевую активность через Process Monitor или Wireshark.

На что обращать внимание:

• Обращение к папкам %AppData%, %Temp%, %SystemRoot%\System32 — особенно если файл туда что-то записывает.
• Изменение ключей реестра в ветках Run, RunOnce, Services — попытка прописаться в автозагрузку.
• Попытки обратиться к адресам в интернету — особенно к подозрительным доменам или IP-адресам.
• Запуск других .exe файлов или командных скриптов.
• Инжекция кода в другие процессы (Process Monitor покажет это как операции с памятью других процессов).

Шаг 4. Проверьте автозагрузку и контекст

Даже если файл ничего не сделал при запуске, он мог ранее прописать себя в автозагрузке. Откройте Autoruns и проверьте:

• Вкладка «Logon» — что запускается при входе пользователя.
• Вкладка «Scheduled Tasks» — задания планировщика.
• Вкладка «Services» — системные службы.
• Вкладка «WMI» — подписки на события WMI (редко, но используется продвинутым вредоносным ПО).

Найдите свой подозрительный файл в списке. Если он там есть — отключите запись (снимите галочку) и удалите файл. Если файл прописан в нескольких местах — это явный признак закрепления в системе.

Инструменты анализа: что и для чего

Вот срав