[HaBo]

PinguGroup · 13.08.09, 14:07

Hi,
ich bin grad auf diese Seite gestossen: Anubis.
Auf der kann man ein gewuenschtes File hochladen und dieses analysiert das verhalten. Welchen dlls werden geladen, welche RegKeys gelesen/veraendert werden usw.
Jetzt is meine Frage ob ich das auch iwie daheim in meiner VM machen kann!? Gibts da besondere Tools zu?
Falls evtl wichtig unter WinXp SP3

Danks schon mal
Peace PinguGroup

Lesco · 13.08.09, 14:11

Dazu gibt es Tools wie RegMon, oder FileMon, sowie Disassembler(z.B. IDA) und Debugger(z.B. OllyDbg). Ich kann mir vorstellen, dass diese Seite einfach nur die Datei in der VM ausführt und dabei dann die Zugriffe mitschreibt, was zur Folge hat, dass sie nicht unbedingt alle potentiellen Veränderungen mitbekommt, wenn diese von bestimmten Umständen zur Laufzeit abhängen.

Anzeige

- Anzeige -

+++ATH0 · 13.08.09, 16:39

Allerdings. Ich habe schon allerlei Malware gesehen, die gegen so etwas gewappnet ist.
Die Payload wird nur dann ausgeführt, wenn bestimmtes User-Verhalten an den Tag gelegt wird. Also Mausbewegungen, Tastatureingaben, Standard-Browser wird geöffnet usw.

Joebox [1] ist da im übrigen etwas fortgeschrittener, da man eigene Scripts mitsenden kann die z.B. typische User-Aktionen ausführen.

[1] http://www.joebox.org/

Anzeige

- Anzeige -

13.08.09, 14:07	#1 (permalink)
PinguGroup Registriert seit: 24.01.08 Likes: 0	Analysieren was PE Binary macht Anzeige Hi, ich bin grad auf diese Seite gestossen: Anubis. Auf der kann man ein gewuenschtes File hochladen und dieses analysiert das verhalten. Welchen dlls werden geladen, welche RegKeys gelesen/veraendert werden usw. Jetzt is meine Frage ob ich das auch iwie daheim in meiner VM machen kann!? Gibts da besondere Tools zu? Falls evtl wichtig unter WinXp SP3 Danks schon mal Peace PinguGroup

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Spaß mit Binary Trees	_fux_	Code Kitchen	4	21.05.08 11:36
Binary Zero Attack	T.O.C	(In)security allgemein	0	11.09.05 17:58
Programm zum "analysieren" von Dateien	Blackvirus	Applikationen	11	08.09.04 23:25
RPC Exploit Binary	Stromer	(In)security allgemein	6	18.06.03 21:05

13.08.09, 14:11	#2 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Dazu gibt es Tools wie RegMon, oder FileMon, sowie Disassembler(z.B. IDA) und Debugger(z.B. OllyDbg). Ich kann mir vorstellen, dass diese Seite einfach nur die Datei in der VM ausführt und dabei dann die Zugriffe mitschreibt, was zur Folge hat, dass sie nicht unbedingt alle potentiellen Veränderungen mitbekommt, wenn diese von bestimmten Umständen zur Laufzeit abhängen.

13.08.09, 16:39	#3 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Allerdings. Ich habe schon allerlei Malware gesehen, die gegen so etwas gewappnet ist. Die Payload wird nur dann ausgeführt, wenn bestimmtes User-Verhalten an den Tag gelegt wird. Also Mausbewegungen, Tastatureingaben, Standard-Browser wird geöffnet usw. Joebox [1] ist da im übrigen etwas fortgeschrittener, da man eigene Scripts mitsenden kann die z.B. typische User-Aktionen ausführen. [1] http://www.joebox.org/

[HaBo]

Analysieren was PE Binary macht