如何分析未知檔案的執行行為?

如何分析未知檔案的執行行為?

這篇文章主要介紹兩個很便利的線上分析網站,

該網站可以分析一個檔案行為

靜態行為,例如,檔案 hash,建立時間、檔案型態、PE特徵

動態執行後相關網路、檔案存取, Registry, 載入DLL等行為 。

使用的方式很簡單,

只要將該執行檔EXE、DLL上傳至該網站,該網站就會輸出一個分析的結果。

檔案執行行為的分析不僅運用在病毒分析,

當我們想要知道一個檔案一些基本特徵

或是在執行時候的一些行為,都可以利用這個方式來進行。

這兩個網站服務都是免費! 完整的功能而且沒有其他廣告或是使用限制。

Anubis

首先要介紹的是 Anubis,這是一個免費的 opensource,

http://anubis.iseclab.org/

檔案支援的類型很廣泛,也可以上傳 Android APK

這個網站一個特色是,還會把檔案執行過程中相關的網路 Traffic 記錄下來,提供 PCAP

另外,可以將報告儲存成 HTML, PDF 供離線閱讀

malwr

另外要介紹的是 Malwr

這個網站的分析結果極為詳細,除此之外,也會提供執行過程中的畫面

動態執行過程中的行為,如:網路連結、存取檔案、registry創建、啟動的process、相關的 services執行

網路行為:例如連結的外部網站網址,HTTP、IP address 與通訊內容

產生的檔案:執行過程中所產生的相關檔案

https://malwr.com/submission/

 

Leave a Reply

Your email address will not be published.