Что делать с вредоносным файлом? Даже без детонации, отладки или реверса, можно провести его предварительный анализ в статике, чтобы сформировать предположение о назначении и функционале 1. Определяем формат и тип файла. Расширение не смотрим, смотрим magic bytes ⚙️ file, обычный или шестнадцатиричным редактором (MZ, PK или ELF вы увидите и обычным нотпадом, в части hex - Hiew или HxD), DiE (Detect It Easy) или CFF Explorer. К ним мы еще неоднократно вернемся 2. Считаем хеши (MD5, SHA-1, SHA-256) и проверяем по всем доступным вам источникам, в том числе публично доступным ⚙️ Не забываем гуглить: каждый из хешей берем в кавычки и смотрим по публикациям/репортам. Отдельно - вердикты АВПО на VirusTotal, чтобы попробовать определить класс или даже семейство. Если файла нет на VirusTotal или других аналогичных сервисах, допускается загрузить его на анализ, предварительно подумав, нет ли в семпле чувствительной или раскрывающей вас информации 3. Можно погонять по yara-правилам: публичным, от TI-поставщика или из вашей коллекции на основе ранее изученного 4. Далее нам понадобится программы ⚙️ CFF Explorer или pestudio. На примере последнего: — Мета по файлу, на чем написан, GUI / консольная программа, под какую архитектуру: file > original-file-name, signatures, type, description, manifest — Допхарактеристики: file-header > dynamic-link-library, 32bit-supports, machine — Дата компиляции: stamp > compliler, либо раздел stamps (directories > stamp), чтобы посмотреть дату в других секциях, если она была изменена — Секции: как ни странно, sections. Помимо стандартных, иногда можно заметить имена протекторов .UPX0, .vmp0, .themida. Видим upх, сразу в консоли upx -d и продолжаем анализ Бегло просмотреть остальное: resources (иногда можно выдернуть "говорящие" иконки, другой вариант - использовать ⚙️ Resource Hacker), certificate, debug directory (путь к отладочным символам, pdb-файлу - может в дальнейшем пригодиться для хантов) 5. ⚙️ DiE ⚙️ Помимо вышеперечисленного, смотрим энтропию, через DiE с картиночками (но есть и в pestudio->sections). По высокому значению (7 и выше) можно сделать вывод, был ли файл сжат или упакован. Иногда лучше проверять значение энтропии по секциям PE-файла, а не от целого 6. Другие метаданные файла - ⚙️ exiftool ⚙️ По документам можно достать информацию об авторе, имени последнего пользователя, редактировавшего файл, используемую версию программного обеспечения. Обращаем внимание также на наличие путей к файлам в системе злоумышленника, которые остались по ошибке в метаданных файла 7. Ну и, наконец, строки Нормальные ребята всегда и везде используют strings, а более искушенные - ⚙️bstrings или ⚙️floss, который может извлекать не только статичные строки из бинаря, но и, например, те, собираются или декодируются во время выполнения программы в стеке памяти. Пробуем найти сетевые адреса (URL, IP, домены), пути к файлам и каталогам, ключи реестра, с которыми может взаимодействовать программа, а также командные строки 8. Анализ импортируемых и экспортируемых функций исполняемого файла ⚙️ CFF Explorer, pestudio, DiE или PE-bear: секции Import Directory и Export Directory. Например, UrlDownloadToFile - загрузка файла на диск, а (GetKeyState AND GetAsyncKeyState) OR SetWindowsHookEx - характерны для кейлоггера. В остальном может помочь https://malapi.io/ или та же документация. Важно! Сам факт наличия импортируемых функций в PE-файле не гарантирует их реального использования в коде 9*. Ну и, в конце концов, попробовать погонять через ⚙️ capa. А чем черт не шутит?