7 ЧУДЕС KDE - Xakep Online

РЕЗУЛЬТАТ АНАЛИЗА ФАЙЛА CWSANDBOX'ОМИНТЕРФЕЙС УПРАВЛЕНИЯ «ПЕСОЧНИЦЕЙ»виртуализируются, чтобы любые изменениявсегда можно было откатить. Начиная с Vistaвстроенная «песочница» есть в винде: перевестилюбое приложение в sandbox можночерез менеджер задач, выбрав в контекстномменю пункт «Виртуализация UAC». Пользуютсяей немного, что неудивительно, потому какрешения от сторонних разработчиков намногопонятнее, в том числе и программа Sandboxie.Виртуализировать критические участки системыдля любого приложения можно в два кликамыши, причем программа легко настраиваетсятак, чтобы заданные файлы всегда запускалисьтолько в sandbox'е.«Ну, хорошо, запустили мы файл подsandbox’ом, дальше-то что?» — спросишь ты.Как что — изучать, чем занимается программапосле запуска. На помощь приходят утилитыиз набора Sysinternals (technet.microsoft.com/ru-ru/sysinternals) и, в первую очередь,Process Monitor, который в реальном времениотслеживает активность файловой системы,реестра, процессов, потоков и библиотек DLL.Благодаря другой утилите из того же Autorunsнесложно выяснить, не прописала ли себяутилита в каком-нибудь из мест автозагрузки.Малварь также можно распознать по APIфункциям,которые вызывает программа.Отследить такие вызовы поможет API Monitor(www.apimonitor.com) или бесплатная тулзаSysAnalyzer (labs.idefense.com). Список программможно продолжать, в конечном итоге,мы получаем немаленький набор утилит, чтобытолько проанализировать работу приложения.Получается довольно муторный процесс, который,разумеется, можно упростить: преждечем рваться в бой, проводя исследованиевручную, отправить бинарник специальномуавтоматическому анализатору.CWSANDBOXWWW.CWSANDBOX.ORGВыполнить все те же самые действия, но вавтоматическом режиме берется онлайнсервисCWSAndbox. Получив исполняемыйфайл, система запустит его в «песочнице» ибеспристрастно проследит за всем, что тотпроделает в системе. Способ лучше, чтобыбыстро получить справку о том, что делаетподозрительный бинарник в системе, ещенужно поискать! Нет никакой необходимостигеморроиться с установкой «песочницы» иливиртуальной машины и самому анализироватьрезультаты работы мониторов — CWSAndboxвсе сделает за тебя, а на выходе по всем пунктамвыдаст подробный отчет. Правда, ждать отCWSAndbox чудес не стоит: сервис не скажет«Что-то мне этот бинарник не нравится, похоже,это троян». Интерпретация отчета полностьюостается на твоей совести. А, значит,нужно иметь представление, где может прописатьсебя малварь в реестре, каким образомей удается спрятаться в процессах и гдечастенько хранятся тела вирусов в файловойсистеме. Небольшой автоматический интерпретаторнаиболее характерных для малваридействий тут бы не помешал...THREAT EXPERTWWW.THREATEXPERT.COMВ пример можно ставить Threat Expert, которыйне отдает анализ на откуп одному толькопользователю, а сам пытается анализироватьизменения в системе. Так, если файл упакованс помощью криптора или в реестре добавилсяновый ключ для автозапуска, или, например, вфайле host появились строчки, которые могутзаблокировать доступ к базам антивирусов —словом, зафиксированы характерные для малваридействия — Threat Expert обязательноакцентирует на этом внимание. В результате,отдельный раздел отчета складывается изнабора таких «очеловеченных» сообщений,напротив каждого из которых выставляетсястепень опасности. Сервис не оставит в неведениии о том, как выглядит программа послезапуска: если у той есть GUI-интерфейс, то вотчете будет представлен ее скриншот. Круто?Это еще не все, поведенческий анализатордополняется проверкой файла сразу несколькимиантивирусами. В итоге мы получаемвариант «Два в одном»: функциональностьCWSAndbox и, одновременно, VirusTotal(правда, с намного меньшим количествомподдерживаемых антивирусов). Файл для проверкиможно отправить через веб-интерфейсили специально разработанную утилиту, но вобоих случаях необходима предварительнаярегистрация в сервисе.ANUBISANUBIS.ISECLAB.ORGЕдинственное, чего, пожалуй, не хватает отчетамThreat Expert и других анализаторов, —это данных о том, что передавало приложениев Сеть. Да, все сетевые соединения фиксируютсяи даже, зная их природу, можно ужемногое сказать… но как точно узнать, что передавалоприложение? В случае с «песочницей»и виртуальной машиной трафик приложениялегко снифается любым мало-мальскирабочим снифером. Почему такую опцию неприкрутили рассмотренные анализаторы,непонятно, но зато ей может похвастать другойсервис — Anubis. К отчету о деятельностипрограммы прикладывается pcap-файл совсем отснифанным трафиком, который легкообрабатывается с помощью мощнейшегоWireshark'а, умеющего расшифровыватьошеломляющее количество протоколов, иNetwork Miner (networkminer.sourceforge.net),специально предназначенного для офлайнанализаи сбора интересных данных. Малотого, в сам Anubis встроен анализатор трафикадля наиболее популярных протоколов. Еслиприложение обменивается по HTTP, то сервисвложит в отчет урезанный лог общения.Вообще, качество сканирования оставляетсамое приятное впечатление: приводится непросто отчет о деятельности системы, но ианализ характерной для вирусов активности.Единственный минус системы — довольномедленная скорость работы.COMODO INSTANT MALWARE ANALYSISCAMAS.COMODO.COMОнлайн-анализатор от компании Comodo раскрученнамного меньше: очереди на сканиро-XÀÊÅÐ 03 /134/ 10 029