網(wǎng)友評分: 7.9分
File Analysis是一款出色的行為分析工具(網(wǎng)絡操作實現(xiàn)抓包功能),支持多個進程同時運行分析,不僅能夠記錄行為,還能使程序在安全環(huán)境下運行。
在文件方面,構建一個簡單的安全環(huán)境,軟件會在File_Analysis同目錄下創(chuàng)建一個名為“File_safe”的安全文件夾,可以理解為文件安全釋放環(huán)境,會自動生成程序行為日志存放于此,包括母體釋放的文件都會被存放在這里,不會寫出實際環(huán)境,也可以隨時獲取子樣本,刪除文件也一樣,僅僅只是刪除安全環(huán)境下的文件,不會對實際環(huán)境造成任何影響
1、添加可執(zhí)行文件運行
2、查看是否成功運行
3、鼠標左鍵雙擊指定進程名
4、查看更多文件有關信息
5、運行日志 鼠標右鍵選擇復制重要行為
6、運行日志顯示行為到此為止或想終止分析,點擊減號按鈕結束進程
File_Analysis是沙盒(箱)嗎?運行中的程序報錯崩潰是怎么回事?
首先File_Analysis并不能算是完整意義上的沙盒,因為只有文件方面構建了安全環(huán)境,當然其他方面也可以進行構建,如果是構建一個真正的沙盒(箱)環(huán)境,那么工程量太大了,所以目前只做了文件方面的,其他方面則使用了修改命令返回值的方式,同樣不會影響實際環(huán)境,只是這種方式比較簡單,難免不會出錯;對于程序可能運行出現(xiàn)中途報錯崩潰的情況,主要是因為規(guī)則還沒有完善和程序自身的邏輯判斷導致的;因為并不是簡單的攔截阻止行為操作,而且攔截后修改命令返回值,造成一種成功的假象欺騙程序執(zhí)行下一步操作
File_Analysis是否安全?支持顯示哪些行為?
File_Analysis默認阻止驅動加載,保證了運行中的程序安全可控,“漏沙”的可能性非常低,就算“漏沙”了,也不會造成多大影響,因為針對關鍵行為都有防護,可以說重啟了發(fā)現(xiàn)還是原樣;除了能顯示進程、文件、注冊表等基礎行為外,還可以顯示驅動操作、網(wǎng)絡操作、進程注入操作、全局鉤子行為等等
如何使白+黑木馬等帶有DLL類型的文件在File_Analysis里成功運行?
File_Analysis運行機制是將源文件復制至File_safe文件夾下再運行,并非原路徑運行,所以也應該將所需的配置文件手動復制至File_safe文件夾下,這樣才能達到運行的條件
標簽: 文件分析
關于本站|下載幫助|下載聲明|軟件發(fā)布|聯(lián)系我們
Copyright ? 2005-2024 www.hanheng168.com.All rights reserved.
浙ICP備06019006號-1 浙公網(wǎng)安備33038102330474號