File Analysis是一款出色的行為分析工具(網(wǎng)絡操作實現(xiàn)抓包功能)，支持多個進程同時運行分析，不僅能夠記錄行為，還能使程序在安全環(huán)境下運行。

【使用說明】

　　在文件方面，構建一個簡單的安全環(huán)境，軟件會在File_Analysis同目錄下創(chuàng)建一個名為“File_safe”的安全文件夾，可以理解為文件安全釋放環(huán)境，會自動生成程序行為日志存放于此，包括母體釋放的文件都會被存放在這里，不會寫出實際環(huán)境，也可以隨時獲取子樣本，刪除文件也一樣，僅僅只是刪除安全環(huán)境下的文件，不會對實際環(huán)境造成任何影響

　　1、添加可執(zhí)行文件運行

　　2、查看是否成功運行

　　3、鼠標左鍵雙擊指定進程名

　　4、查看更多文件有關信息

　　5、運行日志 鼠標右鍵選擇復制重要行為

　　6、運行日志顯示行為到此為止或想終止分析，點擊減號按鈕結束進程

【常見問題】

　　File_Analysis是沙盒(箱)嗎？運行中的程序報錯崩潰是怎么回事？

　　首先File_Analysis并不能算是完整意義上的沙盒，因為只有文件方面構建了安全環(huán)境，當然其他方面也可以進行構建，如果是構建一個真正的沙盒(箱)環(huán)境，那么工程量太大了，所以目前只做了文件方面的，其他方面則使用了修改命令返回值的方式，同樣不會影響實際環(huán)境，只是這種方式比較簡單，難免不會出錯；對于程序可能運行出現(xiàn)中途報錯崩潰的情況，主要是因為規(guī)則還沒有完善和程序自身的邏輯判斷導致的；因為并不是簡單的攔截阻止行為操作，而且攔截后修改命令返回值，造成一種成功的假象欺騙程序執(zhí)行下一步操作

　　File_Analysis是否安全？支持顯示哪些行為？

　　File_Analysis默認阻止驅動加載，保證了運行中的程序安全可控，“漏沙”的可能性非常低，就算“漏沙”了，也不會造成多大影響，因為針對關鍵行為都有防護，可以說重啟了發(fā)現(xiàn)還是原樣；除了能顯示進程、文件、注冊表等基礎行為外，還可以顯示驅動操作、網(wǎng)絡操作、進程注入操作、全局鉤子行為等等

　　如何使白+黑木馬等帶有DLL類型的文件在File_Analysis里成功運行？

　　File_Analysis運行機制是將源文件復制至File_safe文件夾下再運行，并非原路徑運行，所以也應該將所需的配置文件手動復制至File_safe文件夾下，這樣才能達到運行的條件