Analysieren was PE Binary macht

P

PinguGroup

0
Hi,
ich bin grad auf diese Seite gestossen: Anubis.
Auf der kann man ein gewuenschtes File hochladen und dieses analysiert das verhalten. Welchen dlls werden geladen, welche RegKeys gelesen/veraendert werden usw.
Jetzt is meine Frage ob ich das auch iwie daheim in meiner VM machen kann!? Gibts da besondere Tools zu?
Falls evtl wichtig unter WinXp SP3

Danks schon mal
Peace PinguGroup
 
Dazu gibt es Tools wie RegMon, oder FileMon, sowie Disassembler(z.B. IDA) und Debugger(z.B. OllyDbg). Ich kann mir vorstellen, dass diese Seite einfach nur die Datei in der VM ausführt und dabei dann die Zugriffe mitschreibt, was zur Folge hat, dass sie nicht unbedingt alle potentiellen Veränderungen mitbekommt, wenn diese von bestimmten Umständen zur Laufzeit abhängen.
 
Allerdings. Ich habe schon allerlei Malware gesehen, die gegen so etwas gewappnet ist.
Die Payload wird nur dann ausgeführt, wenn bestimmtes User-Verhalten an den Tag gelegt wird. Also Mausbewegungen, Tastatureingaben, Standard-Browser wird geöffnet usw.

Joebox [1] ist da im übrigen etwas fortgeschrittener, da man eigene Scripts mitsenden kann die z.B. typische User-Aktionen ausführen.

[1] http://www.joebox.org/
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben