我想构建一个手动沙箱来分析Windows系统上的恶意软件。我的意思是手动环境,而不是像Cuckoo Sandbox那样自动化的东西。
有许多工具,我选择了其中的一些,但我无法确定这个工具是否值得。你能说出你的想法吗?这些工具对我的沙箱有用吗?
首先,我认为其中一些是不可避免的,如IDA,winDBG,Wireshark,npcap,像Fiddler这样的HTTP代理,Sysinternals套件,Volatility,也许是Foremost。
然后还有其他工具我从未真正尝试但似乎很有趣。关于静态分析,我发现了以下工具,我想得到关于它的最终反馈:Log-MD(使用高级Windows审计策略查看系统的工具),Cerbero Profiler,Pestudio,Unpacker(看来它是一个解压二进制文件的自动化工具,似乎更快,但我有点怀疑,但我不是RE专家,如果你知道这个工具......),由Didier Stevens生成的oledump.py(识别各种元素,如启发式模式,IP ,字符串)......
关于动态分析,我注意到Hook Analyzer(静态分析具有启发式模式的元素并允许您挂钩应用程序),Malheur(检测“恶意行为”),ViperMonkey(检测Microsoft Office文档中的VBA宏并模拟其行为。 / p>
对于我可能忘记的设置和工具,您有什么建议吗?我想分析经典的恶意元素(PE,PDF,各种脚本,Office文档......)。
关于恶意软件规避,在检测RE和分析工具时是否存在拒绝分析恶意软件的风险?
最后我应该在沙箱中使用互联网吗?今天大多数恶意软件都使用C& C服务器,我发现有些沙箱是用iNetSim等模拟器构建的,但由于连接不真实,我会丢失一些信息吗?
感谢的!
答案 0 :(得分:1)
您可能需要考虑使用SEE框架来构建分析平台。
基于插件的设计将允许您以非常灵活的方式集成扫描工具。
请记住,许多恶意软件检查执行环境,如果发现任何RE工具,将拒绝运行。
关于互联网连接的问题,取决于您想要收集多少信息。现在确实有很多恶意软件与C& C进行通信,但他们必须确保它们在目标机器上的持久性。
因此,即使没有互联网连接,仍将执行注入机制。我的2美分是默认情况下没有互联网运行,只在必要时激活它。