在沙盒环境中执行文件并跟踪它

Question

我有一个可能是病毒的文件。我想以某种形式的沙盒环境执行该文件，并跟踪它试图修改的文件或基本上它正在尝试做的任何事情。我需要哪些软件工具和知识才能做到这一点？

我的系统是Windows 7。

Answer 1

我会尝试在编程环境中将其视为逆向工程。这是你可以做的一些事情：

• 使用Microsoft SDK中的depends.exe了解它将调用哪些API。您还可以看到它所指的符号。
• 使用来自http://www.sysinternals.com的procexp.exe / tcpview.exe / filemon.exe / regmon在运行时查看进程的活动。
• 使用Microsoft的WinDbg调试器执行它，以了解正在发生的事情。

当然，你可以走得更远。正如Zyphrax在他的回答中建议的那样，假设代码是危险的，你最好在某种形式的虚拟机中进行此操作。

Answer 2

您可以使用Microsoft Virtual PC或VMWare工作站/播放器设置虚拟机 这样可以防止对您的机器/系统造成任何伤害。

要查看病毒的操作，您可以监控注册表/文件系统更改和网络活动。这些应用程序很容易找到谷歌：sysinternals有一些免费的。

Answer 3

提供“沙盒”环境的一些选项。 （那是个问题吗？如果你可以在虚拟机中运行它，那就不行了。）

• zerowine (free)
• cwsandbox
• Norman Sandbox