供稿种子有害程序显微镜-Sunbelt CWSandbox
暗号:http://www.feedsky.com/challenge/art/140038/feedsky/abcdq/~/gtsp/zt1/7d047/lnk.html
继续暗号:
今天写这文章真是一波N折…先是停电强迫我去睡觉然后是某处网络问题让我根本看不到Feedsky的影子然后是看到了Feedsky的影子却根本登录不上去然后现在终于拿到暗号开始今天的运动。
昨天介绍的三个多引擎扫描服务可以让我们通过不同的杀毒软件的不同引擎和技术对可疑文件进行检测从而得出个判断,只不过全部基于杀软的判断。我们有没有办法也能掌握点主动权让我们自己看看可疑文件的行为来试试眼力呢?办法当然是有滴:
CWSandbox就是Sunbelt公司提供的一个在线沙盘服务。Sunbelt就是那著名的反间谍软件CounterSpy的出品厂商。什么是沙盘呢?沙盘原意是指”这种根据地形图、航空像片或实地地形,按一定的比例关系,用泥沙、兵棋和其它材料堆制的模型就是沙盘。”(摘自百度百科)在电脑安全这方面Sandbox指的是一个虚拟的运行环境,可以让你不必在真实的系统中执行危险的程序或操作,取而代之的是在一个和真实环境隔离的虚拟系统中进行各种操作和测试,从而了解某个文件/产品的性能/产生的结果等等。或者说,这就像一个简装的虚拟机(比如VMware)似的。我们自己在单机上也可以安装很多类似Sandbox的产品,比如以VMware为代表的虚拟机,Sandboxie这样的沙盘,或者是影子系统之类的产品。而CWSandbox则给我们了一个不在自己的电脑上安装此类软件,却又能获得完整的有关于文件行为的报告,从中我们除了可以对文件的性质进行判断之外,还可以增进我们对系统的了解~
点击上图打开Sunbelt CWSandbox的主页,在上面大致介绍了下CWSandbox的特点和原理,CWSandbox不仅会测试你上传的样本本身,同时还会监测你上传的样本的生成物的行为和活动,这对于我们分析一个文件非常有帮助。在下图中左侧,点击”Submit sample to Sandbox”链接即可进入上传页面。
在上传页面中,你可以选择报告的格式(你上传的样本的报告以何种形式形式送到你填入的邮箱中),是HTML还是纯文本。如果你的Email出于安全考虑禁用了显示HTML内容,你可以选择发送纯文本格式的报告。下面填入你的Email地址。之后便是重要的上传你的可疑文件(不超过12288KB的大小),最后是评论(这个可以不填)。全部填写好后点击Submit sample for analysis就上传了。
同昨天介绍的多引擎扫描服务的注意点一样,使用这个CWSandbox服务更要注意不要把可疑样本放到压缩包里,而是直接将可疑文件本身上传。因为我们要通过运行这个文件来看它的具体行为。
如果顺利的话一般5分钟之内在你的邮箱里就会看到CWSandbox发送的检测报告了。以下是一个CWSandbox的纯文本报告内容的部分,从中我们可以很清楚的看到进程的活动,调用的DLL,对注册表的修改等等:
CWSandbox Analysis report for file: 35f5228d1cdca79d7b1be0f730995e7e.exe
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Processes 1 (c:\temp\35f5228d1cdca79d7b1be0f730995e7e.exe MD5: [35f5228d1cdca79d7b1be0f730995e7e], PID 332, User: Administrator)
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
InfectedTrojanDropper:Win32/Hupigon.gen!A
==============================================================================
DLL-Handling
==============================================================================
Loaded DLL – DLL: (C:\WINDOWS\System32\ntdll.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\kernel32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\ADVAPI32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\RPCRT4.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\GDI32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\USER32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\COMCTL32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\VERSION.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\oleaut32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\MSVCRT.DLL)
Loaded DLL – DLL: (C:\WINDOWS\system32\OLE32.DLL)
Loaded DLL – DLL: (C:\WINDOWS\System32\wsock32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\WS2_32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\WS2HELP.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\pstorec.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\ATL.DLL)
Loaded DLL – DLL: (C:\WINDOWS\System32\Wship6.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\iphlpapi.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\Secur32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\advapi32.dll)
Loaded DLL – DLL: (advapi32.dll)
Loaded DLL – DLL: (kernel32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\advpack.dll)
Loaded DLL – DLL: (VERSION.dll)
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
Loaded DLL – DLL: ()
==============================================================================
Filesystem Changes
==============================================================================
Find File: setup.exe
Create File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP
Create File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\9999.exe
Create File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe
Open File: \\.\PIPE\lsarpc (OPEN_EXISTING), (FILE_ANY_ACCESS), (SHARE_READ,SHARE_WRITE), (SECURITY_ANONYMOUS)
Open File: \SystemRoot\AppPatch\sysmain.sdb (OPEN_EXISTING), (FILE_ANY_ACCESS,FILE_READ_ATTRIBUTES), (SHARE_READ), (FILE_ATTRIBUTE_NORMAL,SECURITY_ANONYMOUS)
Open File: \SystemRoot\AppPatch\systest.sdb (OPEN_EXISTING), (FILE_ANY_ACCESS,FILE_READ_ATTRIBUTES), (SHARE_READ), (FILE_ATTRIBUTE_NORMAL,SECURITY_ANONYMOUS)
Open File: \Device\NamedPipe\ShimViewer (OPEN_EXISTING), (FILE_ANY_ACCESS,FILE_WRITE_ACCESS,FILE_WRITE_DATA,FILE_ADD_FILE,FILE_ADD_SUBDIRECTORY,FILE_APPEND_DATA,FILE_CREATE_PIPE_INSTANCE,FILE_WRITE_EA,FILE_WRITE_ATTRIBUTES), (), (FILE_ATTRIBUTE_NORMAL,SECURITY_ANONYMOUS)
Open File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe (), (FILE_ANY_ACCESS,FILE_READ_ACCESS,FILE_READ_DATA,FILE_LIST_DIRECTORY), (SHARE_READ,SHARE_WRITE), (SECURITY_ANONYMOUS)
Set File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\9999.exe Flags: (FILE_ATTRIBUTE_ARCHIVE,SECURITY_ANONYMOUS)
Set File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe Flags: (FILE_ATTRIBUTE_ARCHIVE,SECURITY_ANONYMOUS)
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP Flags: (SECURITY_ANONYMOUS)
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\ Flags: (SECURITY_ANONYMOUS)
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\9999.exe Flags: (SECURITY_ANONYMOUS)
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe Flags: (SECURITY_ANONYMOUS)
Set File Time: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\9999.exe
Set File Time: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe
==============================================================================
Registry Changes
==============================================================================
Create or Open:
Registry Changes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ “wextract_cleanup0″ = (rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 “C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\”)
Registry Reads:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ “PendingFileRenameOperations”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ “wextract_cleanup0″
HKEY_LOCAL_MACHINE\Software\Microsoft\Advanced INF Setup\ “AdvpackLogFile”
Registry Enums:
==============================================================================
Process Management
==============================================================================
Creates Process – Filename () CommandLine: (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe) Target PID: (800) As User: () Creation Flags: ()
==============================================================================
System Info
==============================================================================
Get System Directory
Get Windows Directory
Get Computer Name
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Processes 2 (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\setup.exe MD5: [35227fe68da8751f42b23fa24168c0d5], PID 800, User: Administrator)
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
==============================================================================
DLL-Handling
==============================================================================
Loaded DLL – DLL: (C:\WINDOWS\System32\ntdll.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\kernel32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\user32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\GDI32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\ADVAPI32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\RPCRT4.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\oleaut32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\MSVCRT.DLL)
Loaded DLL – DLL: (C:\WINDOWS\system32\OLE32.DLL)
Loaded DLL – DLL: (C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1612_x-ww_7c379b08\)
Loaded DLL – DLL: (C:\WINDOWS\system32\SHLWAPI.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\ShimEng.dll)
Loaded DLL – DLL: (C:\WINDOWS\AppPatch\AcGenral.DLL)
Loaded DLL – DLL: (C:\WINDOWS\System32\WINMM.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\MSACM32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\VERSION.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\SHELL32.dll)
Loaded DLL – DLL: (C:\WINDOWS\system32\USERENV.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\UxTheme.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\wsock32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\WS2_32.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\WS2HELP.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\pstorec.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\ATL.DLL)
Loaded DLL – DLL: (C:\WINDOWS\System32\Wship6.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\iphlpapi.dll)
Loaded DLL – DLL: (C:\WINDOWS\System32\Secur32.dll)
Loaded DLL – DLL: (shell32.dll)
Loaded DLL – DLL: (.\UxTheme.dll)
Loaded DLL – DLL: (UxTheme.dll)
Loaded DLL – DLL: ()
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
所以如果你如果对相关的知识有一定的了解的话,同时搭配昨日介绍的多引擎扫描服务,可以很轻松地分辨出文件是否是”干净无毒”的~同时通过CWSandbox这个服务,还可以进一步了解系统的运作原理等等,是个非常有用的工具哦!
本人严正声明:Cuptool分类/WordPress分类/COMODO分类文章均为原创,在全世界只有一个作者。本人是该分类文章的唯一合法代表。自古以来本人一直对该分类文章行使主权。该分类文章的标题出处是文章正文不可分割的一部分,任何企图转载此分类文章不留出处,或恶意采集修改该分类文章的行为,都必将遭到包括中国人民在内的全世界人民的反对!各族人民反对文章标题出处与正文分裂、维护原文统一、维护原文稳定的决心是坚定不移的,任何破坏原文完整性、恶意采集转载的图谋都是不得人心的,是注定要失败的。
如需转载请按照 署名-非商业性使用-禁止演绎方式,并请注明: 转载自作甚@ZUOSHEN.COM
本文链接地址: 有害程序显微镜-Sunbelt CWSandbox
| 
[...] 我在这里曾经介绍过好几个在线的有害程序自动分析服务,比如CWSandbox,Anubis,ThreatExpert和Joebox,忽然发现COMODO现在也有了自己的在线自动分析服务COMODO Instant Malware Analysis(CIMA)。 [...]
[...] 以前介绍过类似的服务还有Sunbelt CWSandbox, Anubis, Joebox。如果你了解一点电脑知识的话,个人认为这样的在线分析服务的价值要高于那些在线多杀软多引擎扫描后提供的各个杀软的判断结果。因为并不一定是所有的杀软都不报毒就是正常的东西,也不一定是全报毒就是不好的东西,仅仅能作为一个参考。 [...]