Проблема: Исполняемый файл (.exe) — это контейнер для машинного кода, выполняемого напрямую процессором. В отличие от скриптов, он не требует интерпретатора. Любой вредоносный код внутри .exe получает полные права пользователя, запустившего файл, и может выполнять любые системные вызовы WinAPI, включая запись в реестр, запуск процессов, создание файлов и сетевое взаимодействие.

Причины:
1. Отсутствие прозрачности кода: .exe невозможно прочитать в текстовом редакторе; код обфусцирован, упакован (UPX, Themida) или зашифрован. Статический анализ без дизассемблера (IDA Pro, Ghidra) неэффективен.
2. Маскировка под легитимное ПО: Злоумышленники переименовывают .exe в `document.pdf.exe`, используют иконки приложений (Word, Adobe) или внедряют вредонос в установщики легального софта.
3. Инъекция в доверенные процессы: .exe может выполнить DLL-инжектинг (CreateRemoteThread) или загрузку драйвера ядра, обходя UAC и антивирусы.

Решение:
1. Изоляция и анализ (до запуска):
- Проверьте хеш (SHA-256) файла в VirusTotal (Virustotal.com) или через Яндекс.Безопасность.
- Извлеките строки: `strings.exe ` (Sysinternals). Ищите IP-адреса, HTTP-URL, имена криптоджекинга.
- Проверьте цифровую подпись: `sigcheck.exe -i ` (Sysinternals). Если подпись невалидная или от неизвестного издателя — стоп.
2. Динамический анализ (в изолированной среде):
- Запустите в sandbox (Sandboxie, Windows Sandbox) или на виртуальной машине с отключенным сетевым доступом.
- Используйте Process Monitor (Procmon.exe) для отслеживания: создания файлов в %TEMP%, записи в автозагрузку (Run/RunOnce), попыток обращения к `127.0.0.1:port`.
- Используйте Wireshark для захвата сетевого трафика; найдите DNS-запросы к C2-серверам.
3. Форензика зараженной системы:
- Извлеките индикаторы компрометации (IoC): пути сохраненных копий, ключи реестра, запущенные процессы с подозрительной строкой запуска.
- Проверьте планировщик задач: `schtasks /query /fo LIST /v | findstr /I ""`.
- Выполните поиск по сигнатурам: `yarac.exe -s ` (YARA). Используйте правила, например, «APT», «CobaltStrike».

Команды (CMD/PowerShell от имени администратора):
cmd
:: Проверка подписи (требуется установленный Sigcheck из Sysinternals)

sigcheck -i C:\path\to\suspect.exe



:: Получение хеша

certutil -hashfile C:\path\to\suspect.exe SHA256



:: Поиск запускаемых файлов по имени в реестре

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s

reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s

Итог: .exe опасен полным доверием ОС к машинному коду. Единственный способ защиты — никогда не запускать подозрительный .exe вне изолированной среды.