如何分析未知檔案的執行行為?
這篇文章主要介紹兩個很便利的線上分析網站,
該網站可以分析一個檔案行為
靜態行為,例如,檔案 hash,建立時間、檔案型態、PE特徵
動態執行後相關網路、檔案存取, Registry, 載入DLL等行為 。
使用的方式很簡單,
只要將該執行檔EXE、DLL上傳至該網站,該網站就會輸出一個分析的結果。
檔案執行行為的分析不僅運用在病毒分析,
當我們想要知道一個檔案一些基本特徵
或是在執行時候的一些行為,都可以利用這個方式來進行。
這兩個網站服務都是免費! 完整的功能而且沒有其他廣告或是使用限制。
Anubis
首先要介紹的是 Anubis,這是一個免費的 opensource,
檔案支援的類型很廣泛,也可以上傳 Android APK
這個網站一個特色是,還會把檔案執行過程中相關的網路 Traffic 記錄下來,提供 PCAP
另外,可以將報告儲存成 HTML, PDF 供離線閱讀
malwr
另外要介紹的是 Malwr
這個網站的分析結果極為詳細,除此之外,也會提供執行過程中的畫面
動態執行過程中的行為,如:網路連結、存取檔案、registry創建、啟動的process、相關的 services執行
網路行為:例如連結的外部網站網址,HTTP、IP address 與通訊內容
產生的檔案:執行過程中所產生的相關檔案
