在沙盒环境中执行文件并跟踪它

时间:2010-02-13 22:24:52

标签: virus

我有一个可能是病毒的文件。我想以某种形式的沙盒环境执行该文件,并跟踪它试图修改的文件或基本上它正在尝试做的任何事情。我需要哪些软件工具和知识才能做到这一点?

我的系统是Windows 7。

3 个答案:

答案 0 :(得分:4)

我会尝试在编程环境中将其视为逆向工程。这是你可以做的一些事情:

  • 使用Microsoft SDK中的depends.exe了解它将调用哪些API。您还可以看到它所指的符号。
  • 使用来自http://www.sysinternals.com的procexp.exe / tcpview.exe / filemon.exe / regmon在运行时查看进程的活动。
  • 使用Microsoft的WinDbg调试器执行它,以了解正在发生的事情。

当然,你可以走得更远。正如Zyphrax在他的回答中建议的那样,假设代码是危险的,你最好在某种形式的虚拟机中进行此操作。

答案 1 :(得分:1)

您可以使用Microsoft Virtual PC或VMWare工作站/播放器设置虚拟机 这样可以防止对您的机器/系统造成任何伤害。

要查看病毒的操作,您可以监控注册表/文件系统更改和网络活动。这些应用程序很容易找到谷歌:sysinternals有一些免费的。

答案 2 :(得分:0)

提供“沙盒”环境的一些选项。 (那是个问题吗?如果你可以在虚拟机中运行它,那就不行了。)