Home
Công nghệ thông tin
An ninh, bảo mật
Phân tích hành vi của ứng dụng khả nghi bằng công cụ Sanboxie
Phân tích hành vi của ứng dụng khả nghi bằng công cụ Sanboxie
PHÂN TÍCH HÀNH VI C A NG D NG KH NGHI B NG CÔNGỦ Ứ Ụ Ả Ằ
C SANDBOXIEỤ
N u chúng ta nghi ng m t file th c thi r ng nó có ch a mã đ c hay ế ờ ộ ự ằ ứ ộ
không, cách đ n gi n là t i nó lên VirusTotal và ch k t qu quét. ơ ả ả ờ ế ả
Nh ng th t b i r i n u k t qu th ng kê cho th y ch 50% s AV ư ậ ố ố ế ế ả ố ấ ỉ ố
engine cho r ng đó là file đ c h i!ằ ộ ạ
Ta l i có th phân tích file th c thi đó b ng m t d ch v sandbox tr c ạ ể ự ằ ộ ị ụ ự
tuy n nh ThreadExpert hay Hybrid-Analysis ho c Cuckoo Sandbox, nh ngế ư ặ ư
báo cáo t các sandbox này ch th hi n hành vi khi file đ c th c thi ừ ỉ ể ệ ượ ự ở
ch đ m c đ nh. Chúng ta không th bi t hành vi c a ch ng trình n u nóế ộ ặ ị ể ế ủ ươ ế
đ c ch y v i m t tham s đ u vào c th nào đó ho c khi ng i dùng ượ ạ ớ ộ ố ầ ụ ể ặ ườ
click vào nút nào đó trên giao di n c a nó.ệ ủ
M t công c ít đ c nh c t i trong ti n trình phân tích mã đ c là ộ ụ ượ ắ ớ ế ộ
Sandboxie (https://www.sandboxie.com/). Nó cho phép ng i dùng th c ườ ự
hi n m t lo t thao tác nghi ng là không an toàn mà không nh h ng đ n ệ ộ ạ ờ ả ưở ế
h th ng.ệ ố
M c dù m c đích ban đ u c a Sandboxie là cho phép ng i dùng ch y m tặ ụ ầ ủ ườ ạ ộ
ch ng trình trong m t không gian cô l p, công c này cũng có th đ c ươ ộ ậ ụ ể ượ
s d ng đ thu th p, phân tích hành vi c a ch ng trình. Có hai cách đ ử ụ ể ậ ủ ươ ể
đi u tra các tác đ ng lên h th ng gây ra b i m t ph n m m kh nghi ề ộ ệ ố ở ộ ầ ề ả
thông qua Sandboxie.
Phân tích t đ ng s d ng Buster Sandbox Analyzerự ộ ử ụ
BSA là công c mi n phí đ c s d ng đ theo dõi hành vi c a m t ti n ụ ễ ượ ử ụ ể ủ ộ ế
trình b t kỳ ch y trong Sandboxie. BSA ch ho t đ ng bên trong Sandboxie ấ ạ ỉ ạ ộ
và c n đ c c u hình tr c khi ch y b ng cách thêm 3 dòng sau vào file ầ ượ ấ ướ ạ ằ
c u hình c a Sandboxie:ấ ủ
InjectDll=[path_to_LOG_API32.DLL]
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
C n th c hi n đúng các thao tác theo h ng d n cài đ t trên trang web c a ầ ự ệ ướ ẫ ặ ủ
BSA (http://bsa.isoftware.nl/frame5.htm). Sau khi cài đ t thành công, ta ch yặ ạ
file BSA.EXE và nh p vào đ ng d n th m c c a Sandboxie. Đ l y ậ ườ ẫ ư ụ ủ ể ấ
đ ng d n th m c c a Sandboxie, click đúp vào bi u t ng Sandboxie ườ ẫ ư ụ ủ ể ượ
trên thanh thông báo tác v , kéo m t ch ng trình b t kỳ và th nó vào ụ ộ ươ ấ ả
Sandbox DefaultBox. Sau đó, click vào Sandbox DefaultBox trong c a s ử ổ
Control và ch n “Explore Contents”.ọ
M t c a s hi n ra v i đ ng d n th m c c a sandbox, ta có th copy vàộ ử ổ ệ ớ ườ ẫ ư ụ ủ ể
paste nó vào tr ng nh p Sandbox folder to check c a BSA. Click vào nút ườ ậ ủ
Start Analysis đ th c thi ch ng trình c n phân tích. Trong khi ch ng ể ự ươ ầ ươ
trình đ c th c thi, ta có th theo dõi thông tin th c thi trong ô API Call ượ ự ể ự
Log.
Khi th y thông tin th c thi là đ , click chu t ph i trong Sandboxie Control ấ ự ủ ộ ả
và ch n Terminate Programs, sau đó quay l i c a s BSA và ch n Finish ọ ạ ử ổ ọ
Analysis. Click vào Viewer và ch n View Analysis đ hi n th file ọ ể ể ị
Analysis.TXT, file này ch a thông tin chi ti t v các ho t đ ng c a ch ngứ ế ề ạ ộ ủ ươ
trình trong lúc nó đ c th c thi trong Sandboxie.ượ ự
Ví d bên d i là k t qu phân tích ho t đ ng c a mã ụ ướ ế ả ạ ộ ủ
đ cộ DarkCometRAT. Ta th y mã đ c th c hi n ki m tra trình debug, ấ ộ ự ệ ể
ki m tra s hi n di n c a trình qu n lý ti n trình, t o m t autostart trong ể ự ệ ệ ủ ả ế ạ ộ
registry, khi log d li u bàn phím, leo thang đ c quy n, ch n th c thi ữ ệ ặ ề ặ ự
regedit và task manager và k t n i t i c ng 1604 trên host 127.0.0.1.ế ố ớ ổ
M t s mã đ c có ch c năng phát hi n trình debug và thoát th c thi n u ộ ố ộ ứ ệ ự ế
phát hi n nó đang đ c qu n lý b i m t trình debug. BSA đ c c p nh t ítệ ượ ả ở ộ ượ ậ ậ
nh t 1 l n m i tháng đ qua m t các k thu t phát hi n trình debug c a mãấ ầ ỗ ể ặ ỹ ậ ệ ủ
đ c.ộ
Phân tích th côngủ
N u ch c n m t vài ch ng c đ k t lu n m t file th c thi có hành vi đ cế ỉ ầ ộ ứ ứ ể ế ậ ộ ự ộ
h i hay không và không mu n dùng m t công c bên th 3, ta có th phân ạ ố ộ ụ ứ ể
tích nhanh hành vi c a file th c thi b ng ph ng pháp th công.ủ ự ằ ươ ủ
Đ quan sát các thay đ i gây ra b i ch ng trình c n phân tích, click chu t ể ổ ở ươ ầ ộ
ph i vào DefaultBox trong c a s Sandboxie Control, ch n “Explore ả ử ổ ọ
Contents” ho c truy c p tr c ti p vào th m c C:\Sandbox\ặ ậ ự ế ư ụ
[username]\DefaultBox. N u th y xu t hi n các th m c nh “drive” hay ế ấ ấ ệ ư ụ ư
“user”, ch ng t ch ng trình c n phân tích có t o m i file trong đĩa.ứ ỏ ươ ầ ạ ớ ổ
Đ ki m tra thay đ i trên h th ng registry, truy c p regedit, ki m tra key ể ể ổ ệ ố ậ ể
HKEY_USERS, click File -> Load Hive, duy t t i C:\Sandbox\ệ ớ
[username]\DefaultBox và m file RegHive. Nh p vào tên b t kỳ, ví d ở ậ ấ ụ
sandboxie đ ti n theo dõi, sau đó click OK.ể ệ
có thể bạn quan tâm
Phân tích và đánh giá thực trạng tổ chức và vận hành các biện pháp Mar...
57
986
261
Kinh tế quản lý
57
(New)
Đề tài: nghiên cứu công tác phân tích BCTC ở Techcombank thông qua cá...
20
1.002
263
Kinh tế quản lý
20
(New)
Phân tích thực trạng công tác tuyển dụng tại Công ty Cổ Phần Bảo An Vi...
65
639
282
Kinh tế - Thương mại
65
(New)
Tiểu luận:Qua học tập Nghị quyết TW5 khóa XII bản thân đồng chí tâm đắ...
19
830
369
Lý luận chính trị
19
(New)
Tiến hành thực nghiệm phân tích hàm lượng sắt, amoni, độ cứng, clorua...
50
850
422
Kỹ thuật
50
(New)
Luận văn: NH Á Châu CN An Giang- cơ sở dữ liệu, phân tích hiệu quả tín...
75
910
257
Kinh tế quản lý
75
(New)
BÀI THU HOẠCH dùng cho cán bộ, đảng viên tham gia học tập Nghị quyết H...
2
1.117
352
Biểu mẫu, văn bản khác
2
(New)
Phân tích, đánh giá được thực trạng phân tích Tows chiến lược của công...
47
1.036
316
Kinh tế - Thương mại
47
(New)
thông tin tài liệu
Nếu chúng ta nghi ngờ một file thực thi rằng nó có chứa mã độc hay không, cách đơn giản là tải nó lên VirusTotal và chờ kết quả quét. Nhưng thật bối rối nếu kết quả thống kê cho thấy chỉ 50% số AV engine cho rằng đó là file độc hại
Mở rộng để xem thêm
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
×
