Показано с 1 по 1 из 1
  1. #1
    Аватар для Admin
    Админ сего форума

    Статус
    Оффлайн
    Регистрация
    07.11.2012
    Сообщений
    1,265
    Поблагодарил(а)
    4,370
    Получено благодарностей: 5,019 (сообщений: 1,421).
    Вес репутации
    10

    Онлайн «песочницы»

    В сети имеется ряд проектов по информационной безопасности, реализующий свои решения в качестве отдельно работающих виртуализированных систем для исполнения кода с последующим анализом произведённых изменений. Как правило, у этих проектов имеются онлайн-версии таких систем с бесплатным использованием. Вы можете благополучно загрузить подозрительный файл и через некоторое время получить полную информацию о том, что он делает, будучи запущен в системе.

    ThreatExpert- [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    Система ThreatExpert осуществляет сравнение снимков системы до и после запуска, а также перехват некоторых API в ходе выполнения кода. В результате, Вы получаете отчёт со следующей информацией:

    Подробнее

    • Какие новые процессы, файлы, ключи реестра и мутексы были созданы в ходе выполнения кода.
    • C какими хостами и IP проводилось соединение, также приводятся шестнадцатеричные и ASCII-дампы данных обмена.
    • Имеется ли детект популярных антивирусов на присланный файл и файлы, созданные в ходе выполнения.
    • Какова возможная страна происхождения кода на основании языковых ресурсов и прочих следов, найденных в коде.
    • Возможная категория угрозы (кейлоггер, бэкдор и т.д.) и её уровень.
    • Скриншоты новых окон, если таковые были отображены в ходе выполнения.

    Возможна регистрация на сайте, в таком случае история всех Ваших анализов будет сохранена, и Вы в любой момент можете её вызвать. Возможна установка программы Submission Applet и автоматическая отправка файлов на анализ из контекстного меню Проводника.
    свернуть

    CWSandbox[Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    Разработка University of Mannheim, которые продают эту систему. Однако, анализ можно провести в онлайн бесплатно.
    Особенностью этой песочницы является то, что анализ выполняется в результате инжектирования библиотеки песочницы в исполняемый код и перехвата всех API-вызовов. Понятно, что если выполняется вызов нативных API либо работа в режиме ядра, песочница не работает. Тем не менее, благодаря тому, что проводится анализ реально работающего файла, CWSandbox иногда даёт большую информпцию, чем все остальные.

    Подробнее

    Бесплатная онлайн версия имеет ряд ограничений, по сравнению с коммерческой:

    • Возможен анализ только РЕ-файлов. Платная версия позволяет анализировать BHO, zip-архивы, документы Microsoft Office.
    • В бесплатной версии возможна только загрузка через веб-интерфейс. В платной возможен прим файлов на анализ по почте, через honeypot и др.
    • В платной версии возможен выбор проведения анализ в виртуальной среде или на реальной системе.
    • Коммерческая версия включает в себя анализ файлов, скачиваемых в ходе выполнения кода, созданный в системных папках или инжектированных в другие процессы.
    свернуть


    Anubis - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    Anubis — один из самый распространённых вариантов песочницы, ставший популярный благодаря исчерпывающему содержанию отчётов и скорости ответа. Некоторые особенности этой системы:

    Подробнее

    • Возможность указания URL вместо самого вредоносного файла. В таком случае система загрузит указанный URL в Internet Explorer и проанализирует поведение системы.
    • Вместе с исследуемым файлом можно загрузить дополнительные библиотеки (в zip-архиве без пароля или с паролем “infected”). Этот приём очень удобен для анализа вредоносных динамических библиотек (если єто так же интересно — отпишитесь в комментах, можно будет посвятить отдельную статью).
    • Отчёт предоставляется в различных форматах — HTML, XML, plain text, PDF, также возможно скачивание полного сетевого дампа, полученного в ходе анализа.
    • Возможна загрузка файлов в Anubis посредством SSL (удобно, если вас блокирует антивирус на проксе).
    свернуть

    Joebox - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ] (Joebox ввели обязательную регистрацию)

    Подробнее

    Если Вы хотите бесплатно пользоваться услугами этой онлайн-песочницы, то отправьте на адрес [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ] электронное письмо со следующей информацией на английском языке:
    1. Ваше имя
    2. Цель регистрации и краткое описание, что Вы будете исследовать на Joebox
    3. Электронная почта для отправки отчётов об исследовании (она впредь будет указываться в первом поле Вашего запроса).

    После подачи заявки обещают, что откроют доступ для указанного ящика.
    свернуть

    И наконец — он. Joebox, Великий и Ужасный. Будучи результатом трудов Стэфана Бульманна, на мой взгляд Joebox — самая мощная система для анализа. Особенностью этой системы является то, что она единственная осуществляет перехваты SSDT и EAT ядра в ходе анализа файлов. С одной стороны, это приводит к потере небольшого количества информации вызовов верхнего уровня (например, создание новых процессов посредством ShellExecute или WinExec), однако с другой стороны позволяет изучать вредоносные файлы, работающие с нативными API или в режиме ядра. Кроме того, Joebox предоставляет следующие возможности в анализе:

    Подробнее

    • Joebox поддерживает загрузку и изучение поведения исполняемых файлов, DLL, драйверов ядра, документов Microsoft Word, PDF-файлов и др.
    • Вы можете выбрать среду выполнения кода:Windows XP, Windows Vista, или Windows 7.
    • Вы можете выбрать выполнение кода в виртуальной среде либо на реальной системе (в последнем случае реализуется решение на базе FOG)
    • Возможно получение полного дампа сетевого трафика, накопленного в ходе анализа.
    • Имеется поддержка модулей популярных песочниц amun и nepenthes для автоматической загрузки новых образцов из песочниц в Joebox.
    • Имеется поддержка скриптов AutoIT19 для организации контролируемой среды выполнения вредоносных файлов в Joebox.
    свернуть

    Примеры других онлайн-песочниц:

    * BitBlaze - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    * Comodo Instant Malware Analysis - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    * Eureka - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    * Norman Sandbox - [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]
    [Only registered and activated users can see links.Ссылки могут видеть только зарегистрированные и активированные пользователи. ]

  2. 1 пользователь сказал cпасибо Admin за это полезное сообщение:


 

 

Похожие темы

  1. Онлайн-проверка пользователей «ВКонтакте» и «Одноклассники»
    от Admin в разделе Онлайн проверка на вирусы
    Ответов: 0
    Последнее сообщение: 11.11.2012, 19:57
  2. Онлайн-сканер Dr.Web
    от Admin в разделе Онлайн проверка на вирусы
    Ответов: 0
    Последнее сообщение: 11.11.2012, 19:50
  3. Онлайн сканер VirSCAN
    от Admin в разделе Онлайн проверка на вирусы
    Ответов: 0
    Последнее сообщение: 11.11.2012, 19:47

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Powered by vBulletin® Version 4.1.12
Copyright © 2018 vBulletin Solutions, Inc. All rights reserved.
Hide Hack By vFCoders.

Перевод: zCarot
Forum Modifications By Marco Mamdouh
Весь материал, представленный на сайте dulkus.com из открытых источников или опубликован посетителями форума. Материал используется исключительно в некоммерческих (ознакомительных) целях. Все права на публикуемые аудио, видео, графические и текстовые материалы принадлежат их владельцам. Запрещено любое использование материалов сайта без письменного разрешения авторов материала. Если Вы являетесь АВТОРОМ материала или ОБЛАДАТЕЛЕМ АВТОРСКИХ ПРАВ на него и против его использования на нашем сайте пожалуйста свяжитесь с нами.
Текущее время: 22:50. Часовой пояс GMT +3.
vBulletin 4.0 skin by CompleteVB
Молитва undefined (часовня) Вертоград – богослужение и иконопись
PostMan By Cultural Forum | Study at Malaysian University