eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Посоветуйте программы для самостоятельного анализа вируса
Посл.ответ Сообщение

Ранг: 0.9 (гость)
Статус: Участник

Создано: 20 июля 2019 12:56 New!
Цитата · Личное сообщение · #1

Посоветуйте программы для подробного анализа исполняемых файлов, с функцией контролируемого запуска вредоносного файла, которая бы показывала лог, какие файлы в какие папки устанавливаются, по каким адресам программа пытается вылезти в сеть, какие ключи реестра прописываются, и могла бы замедлить выполнение программы по шагам, где бы каждый шаг описывался в мониторе (в логах) и я бы мог прервать выполнение программы, либо разрешить ей переход к следующему действию.


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 20 июля 2019 15:56 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #2

останется только минет.

https://xakep.ru/2012/11/03/sandboxie/

sandboxie нужна старая

| Сообщение посчитали полезным: plutos


Ранг: 0.9 (гость)
Статус: Участник

Создано: 20 июля 2019 23:07 · Поправил: Ranger88 New!
Цитата · Личное сообщение · #3

Про sandboxie знаю, но хотелось бы что-то по круче
Ссылки на плагины для sandboxie битые, в поиске по инету плагины найти не удалось


Ранг: 225.8 (наставник)
Статус: Участник
radical

Создано: 20 июля 2019 23:10 New!
Цитата · Личное сообщение · #4

Ranger88
https://cuckoosandbox.org/
Качай, ставь, настраивай, разбирайся, пиши плагины к нему, в общем развлекайся, как душе угодно. Без знания и понимания что и как работает ты далеко не уедешь.

| Сообщение посчитали полезным: plutos



Ранг: 482.5 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 20 июля 2019 23:42 · Поправил: plutos New!
Цитата · Личное сообщение · #5

Ranger88 пишет:
подробного анализа исполняемых файлов, с функцией контролируемого запуска вредоносного файла, которая бы показывала лог, какие файлы в какие папки устанавливаются, по каким адресам программа пытается вылезти в сеть, какие ключи реестра прописываются, и могла бы замедлить выполнение программы по шагам, где бы каждый шаг описывался в мониторе (в логах) и я бы мог прервать выполнение программы, либо разрешить ей переход к следующему действию.


что-то в вашем списке не видно слова "самостоятельно". Т.е. вам нужна программа, которая все сделает сама.
Так не бывает, ну разве что "минет"

DimitarSerg пишет:
Без знания и понимания что и как работает ты далеко не уедешь.

++1

Ранг: 376.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 21 июля 2019 01:21 New!
Цитата · Личное сообщение · #6

Ranger88
newvirus@kaspersky.com (немного рекламы. нет)
если это винда, то за Вас в 90% случаев просто напросто все сделает автоматика.

В остальных 10% случаев:
1) это не вирус;
2) из-за феерический жопорукости авторов вируса/трояна, образец не запускается или частично работает (в процентном соотношении таких больше 30% наберется);
3) частный случай предыдущего: сайт, к которому обращается троян, был через пару часов заблочен/грохнулся. троян глохнет на обращении к сайту и ничего больше не делает;
что-то реально стоящее, новое и, в тоже время, интересное встречается очень редко.

sandboxi эт конечно хорошо, однако, может оказаться в особых случаях Olly/x64 дебаггер со знанием асм, с патчингом некоторых WinAPI, получше и быстрее будет.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 21 июля 2019 02:10 New!
Цитата · Личное сообщение · #7

ELF_7719116

4. Запуск в км(драйвера). Можно забыть про песочницы и всё остальное.

Апи интерфейс существует для аналитических тулзов пока привязан к адресам.


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 21 июля 2019 02:37 New!
Цитата · Личное сообщение · #8

Ranger88 пишет:
Ссылки на плагины для sandboxie битые


http://tools.safezone.cc/gjf/Sandboxie-portable.zip

safezone.cc

собирал gjf

Ранг: 241.5 (наставник)
Статус: Участник

Создано: 21 июля 2019 12:27 New!
Цитата · Личное сообщение · #9

BSA - отличный инструмент под Win для анализа разного рода засранцев


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 23 июля 2019 04:54 New!
Цитата · Личное сообщение · #10

DimitarSerg пишет:
https://cuckoosandbox.org/


глянул этот писец. Чувак, да ты жестокий )


Ранг: 482.5 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 23 июля 2019 05:27 · Поправил: plutos New!
Цитата · Личное сообщение · #11

Gideon Vi пишет:
глянул этот писец. Чувак, да ты жестокий )


Если ты про установку этого чуда, то я тоже порядком приторчал...
Начал было собирать необходимые "справки", но терпения не хватило: бросил.
Значит я не один такой!.


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 23 июля 2019 11:29 New!
Цитата · Личное сообщение · #12

поставить пол беды, особенно под десяткой: Installation of Cuckoo Sandbox in Windows 10
хотя я посмеялся, когда софт, у которого заявлены окошки, предложил мне sudo )

Ранг: 19.7 (новичок)
Статус: Участник

Создано: 23 июля 2019 14:58 New!
Цитата · Личное сообщение · #13

plutos пишет:
Начал было собирать необходимые "справки", но терпения не хватило: бросил.

буквально с неделю назад установил кукушку под хостом manjaro linux.
там всё достаточно просто, не скажу прям что все модули собрал и активировал, но основной функционал работает на ура + tor routing настроил
для поиграться - с головой)

по поводу хоста вин10 - хз как настроить там, авторы говорят что кукушка рассчитана на Ubuntu and Debian-like systems

хотя враньё
например - https://cuckoo.sh/docs/usage/rooter.html
This command is currently only available for Ubuntu and Debian-like systems.
на manjaro(по сути arch) работает, хотя мне и пришлось вручную перетянуть несколько модулей прямо с ubuntu 18 lts
с говна и палок - но работает

осталось только гостевую ОС протестировать(та хотя бы блин с al-khaser) и настроить, что бы разная сложная малварь не детектила VBox и не было лишних данных в отчёте


и на последок ссылки про установку на Ubuntu and Debian-like systems

https://habr.com/ru/post/350392/
https://arnaudloos.com/2019/cuckoo-sandbox-installation/
http://jbremer.org/vmcloak3/

а всё что гуглится по поводу установки на win10, всё сводится к WSL + installing ubuntu


Ranger88 пишет:
могла бы замедлить выполнение программы по шагам
и я бы мог прервать выполнение программы либо разрешить ей переход к следующему действию

отладчик?

Ранг: 0.9 (гость)
Статус: Участник

Создано: 29 июля 2019 23:06 New!
Цитата · Личное сообщение · #14

RevCred пишет:
отладчик?

Не разу не имел дело с отладчиками, можете дать ссылку на инструкцию для новичков


Ранг: 482.5 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 29 июля 2019 23:53 New!
Цитата · Личное сообщение · #15

Ranger88 пишет:
Не разу не имел дело с отладчиками


Ricardo Narvaja --> tutorials<--

Ранг: -4.1 (нарушитель)
Статус: Участник

Создано: 3 августа 2019 10:20 New!
Цитата · Личное сообщение · #16

Ранг: 79.7 (постоянный)
Статус: Участник

Создано: 9 августа 2019 18:14 New!
Цитата · Личное сообщение · #17

Ранг: -4.1 (нарушитель)
Статус: Участник

Создано: 18 августа 2019 10:33 · Поправил: PEvgen New!
Цитата · Личное сообщение · #18

--> Тут много всякого <--

| Сообщение посчитали полезным: Adler

 eXeL@B —› Софт, инструменты —› Посоветуйте программы для самостоятельного анализа вируса

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS