• 如何分析未知檔案的執行行為?

    這篇文章主要介紹兩個很便利的線上分析網站,

    該網站可以分析一個檔案行為

    靜態行為,例如,檔案 hash,建立時間、檔案型態、PE特徵

    動態執行後相關網路、檔案存取, Registry, 載入DLL等行為 。

    使用的方式很簡單,

    只要將該執行檔EXE、DLL上傳至該網站,該網站就會輸出一個分析的結果。

    檔案執行行為的分析不僅運用在病毒分析,

    當我們想要知道一個檔案一些基本特徵

    或是在執行時候的一些行為,都可以利用這個方式來進行。

    這兩個網站服務都是免費! 完整的功能而且沒有其他廣告或是使用限制。

    Anubis

    首先要介紹的是 Anubis,這是一個免費的 opensource,

    http://anubis.iseclab.org/

    檔案支援的類型很廣泛,也可以上傳 Android APK

    這個網站一個特色是,還會把檔案執行過程中相關的網路 Traffic 記錄下來,提供 PCAP

    另外,可以將報告儲存成 HTML, PDF 供離線閱讀

    malwr

    另外要介紹的是 Malwr

    這個網站的分析結果極為詳細,除此之外,也會提供執行過程中的畫面

    動態執行過程中的行為,如:網路連結、存取檔案、registry創建、啟動的process、相關的 services執行

    網路行為:例如連結的外部網站網址,HTTP、IP address 與通訊內容

    產生的檔案:執行過程中所產生的相關檔案

    https://malwr.com/submission/

     

    Posted by Tony @ 7:26 am

  • Leave a Reply

    Your email address will not be published.