Sandbox
关于Anti Sandbox
前几天我看到有访客以这个关键词来到我这里,不过很遗憾当时我也没注意这个anti sandbox…不过后来又找了找,发现Joebox的网站上有一条新闻是关于Anti Joebox的可以参考下:
http://www.joebox.org/news.php#28
从这篇文章中可以看到,所谓Anti Sandbox看起来就和常见的利用工具给程序加壳(或是加密?)类似,只不过加入了检测自身的运行环境是不是在SandBox中,对抗Sandbox分析的能力。换句话说,就是让程序本身知道自己身处何方,如果自己在SandBox制造的”幻术”(–|||)之中,则拒绝展现自己的全部行为~呵呵…
搜了搜,这Anti的可真不少,号称能对付我之前介绍的几种在线分析服务的工具很齐全啊…Anti Sunbelt CWSanbox,Anti Anubis,,Anti Joebox…
听起来很不错,如果很多恶意程序都能实现这一点的话,各种在线分析软件也会有点麻烦的…
COMODO的有害程序自动分析服务OMODO Instant Malware Analysis(CIMA)
我在这里曾经介绍过好几个在线的有害程序自动分析服务,比如CWSandbox,Anubis,ThreatExpert和Joebox,忽然发现COMODO现在也有了自己的在线自动分析服务COMODO Instant Malware Analysis(CIMA)。
CIMA可以全自动利用高级启发技术分析你上传的文件。如果发现可疑文件,它们会被添加到病毒库中。同时,这个服务对处理误报也有帮助。
所以,你就有了个24/7/365不间断搜索全球有害程序的病毒分析师(- -,想法挺好…)
界面很简洁(简陋?),除了一个上传文件的框子外没有其他花哨的东西,我在上传了一个文件后…
至今还在Waiting for Report,不知何故。
现在COMODO好像是要正式进军反病毒市场了,希望它能越来越好…继续免费优质…
Trust No Program-Sandboxie 3.24
我感觉是最简单保护你的电脑安全的小程序了吧,呵呵…建议人手一个。它的用途在于,你可以将某些你认为危险的操作放到Sandboxie中完成(比如运行可疑文件,或者对你的浏览器没信心还想四处溜达的)。。。
原理呢…Sandboxie相当于一个中转站,以往程序直接从硬盘中存取信息改为先由Sandboxie从硬盘中调取信息,然后再由在Sandboxie中的程序读取它,写操作呢写到Sandboxie中,而非直接写到硬盘里…从而避免了(理论上…貌似曾经有个穿透Sandboxie的东西,记不清了)你的电脑轻易中标。
2008年3月5日 更新Sandboxie 3.24
下载: http://www.sandboxie.com/SandboxieInstall.exe
使用方面没限制,但是未注册版本会在30天后不定期的提示你注册…所以,如果你对这个提示很敏感的话,可以搜索下XX。
还是Sandbox-Anubis
最近把能找到的在线Sandbox都介绍下。今天的是奥地利产品Anubis…由维也纳科技大学的安全系统实验室研发。
Anubis是古埃及的冥界与亡者之神…守护亡者是它的职责…我是在这找到的…
今儿介绍的这个服务目的则是守护你的电脑吧…同之前介绍的CWSandbox和Joebox类似,也是上传Windows可执行文件,然后自动生成该程序活动行为的报告。今儿早晨服务离线,暂时没法发个报告给大家看看~感兴趣的可以自己尝试。
Anubis与其他Sandbox相比的特点是什么呢?从图中看有Unobtrusive Analysis和Complete View of the PC System~
Unobtrusive Analysis从字面上看还真不好理解…其实就是说现在的有害程序具有探测它的运行环境是虚拟环境还是真实的PC环境的能力…如果它检测它身处”幻术”之中,它的行为会和真实PC环境中的有所不同,这样就影响了分析的准确性。而Anubis能够不让有害程序(轻易地)探测到分析环境从而让有害程序可以没有负担地有如在真实电脑环境中一样尽情展现自我=。=
Complete View of the PC System,按文中的意思就是这是衡量这项分析扩展度的东西。比如除了监控API Call之外,还能够监视CPU注册值或是追踪内存访问?结论是现在图中3个东西都做不到这样(不知道为什么打了勾了=。=)…但是下一代的有害程序分析工具肯定能够做到更多。尽管现在没有程序能够测试这项特性,但是”我们”通过现在各个分析工具公开的文档,可以找到这项特性的存在…就是说有没有潜力监控更多的东西吧~呵呵…
Anubis比Joebox在生成报告上多了个选择,就是可以选择直接显示报告而不是在邮箱里等着收~呵呵。不过Anubis支持的最大文件大小为2MB,比Joebox小了不少。同时如果是人工上传样本,输入下面那验证码的话,Anubis会在自动上传的样本前优先处理人工上传的。
通过这些工具,我们可以在保证安全的前提下,无需自己安装虚拟机等虚拟环境,安全地观察有害程序行为,这对大家提高应对有害程序的能力也很有好处哦~从使用HIPS的角度来看,我们也可以针对具体某个流行的病毒进行规则的修改与增减,提高系统的安全性。
继续介绍在线有害程序分析网站-Joebox
上个月介绍了一个Sunbelt出品的CWSandbox,一直想找点类似的东西~毕竟就这一个能用的未免有点寒碜…
同CWSandbox类似,Joebox也是一个在线的Sandbox,顾名思义就是你上传文件它测试并生成程序行为报告的东西。用途?这玩意用途多了去了吧,最常用的就是看某个东西像病毒但是杀毒软件们都装看不见的时候…给它们上报的话有时候有些行为也并不认为是病毒…这个时候,靠自己吧。就算是我们没能力把已经受感染的电脑拯救出来,至少也能防止再吃亏~呵呵。
Joebox是个私人项目,从这点上我是非常喜欢~个人项目总会有一些独一无二的设计啊灵感啊什么的,灵活性高而且更新频繁~呵呵。从Joebox项目的新闻中可以看到,还是非常活跃的。
Joebox有什么特点呢:
- 模块化的设计与结构
- 基于XML的分析报告
- 100%完全网络通讯报告(嗯,这个好像其他服务不一定具备吧~)
- 无需其他仿真或虚拟软件
- 批量分析
- 可以分析exe,dll甚至sys文件
- 可扩展
- 高度可定制
有害程序显微镜-Sunbelt CWSandbox
暗号:http://www.feedsky.com/challenge/art/140038/feedsky/abcdq/~/gtsp/zt1/7d047/lnk.html
继续暗号:
今天写这文章真是一波N折…先是停电强迫我去睡觉然后是某处网络问题让我根本看不到Feedsky的影子然后是看到了Feedsky的影子却根本登录不上去然后现在终于拿到暗号开始今天的运动。
昨天介绍的三个多引擎扫描服务可以让我们通过不同的杀毒软件的不同引擎和技术对可疑文件进行检测从而得出个判断,只不过全部基于杀软的判断。我们有没有办法也能掌握点主动权让我们自己看看可疑文件的行为来试试眼力呢?办法当然是有滴:
| 
|