به صورت کلي آناليز بدافزار به دو بخش اصلي آناليز ايستا (Static) و آناليز پويا (Dynamic) تقسيم مي شود. در بخش آناليز ايستا شما نياز به دانش زيادي در برنامه نويسي و مهندسي معکوس داريد و همچنين آشنايي کامل با ابزارهايي مانند IDA pro و يا OllyDbg نيز يک اصل اساسي است.
اما براي رفتارشناسي يک فايل مشکوک مي توانيد از آناليز پويا که نياز به دانش خيلي زيادي در برنامه نويسي ندارد استفاده کنيد.
در آناليز پويا ما به از يک سري ابزارها براي ردگيري رفتارهاي يک مورد مشکوک استفاده مي کنيم.
يکي از اين ابزارها SandBox است. اما SandBox چيست؟
SandBox يک فناوري و ابزار است که هم توسط متخصصين آناليز بدافزار و هم توسط آنتي ويروس ها مورد استفاده مي گيرد. به طور کلي SandBox يک محيط مجازي و امن است که مي توان مورد مشکوک را در آن اجرا و رفتار برنامه را مورد بررسي قرار داد بدون آنکه به سيستم اصلي آسيبي برسد. شما نيز مي توانيد يک SandBox براي تحقيق خود بر روي سيستم خود فراهم کنيد. ابزارهايSandBox آماده رايگان بسياري بر روي اينترنت هست که مي توانيد بهره ببريد ولي اگر الان نگران درگيري دوباره با کدهاي python و ++C شديد اصلا نگران نباشيد!، زيرا خبر خوب اين است که SandBox هاي آنلاين رايگان زيادي بر روي اينترنت قرار دارند که مي توان از آنها بهره برد.
با من همراه شويد تا با هم يک SandBox آنلاين را بررسي کنيم.
من برا مثال از SandBox مورد علاقه خودم www.threatexpert.com/submit استفاده مي کنم.
وقتي که يک فايل مشکوک را وارد مي کنيد پايگاه داده threatexpert بررسي مي کند که آيا مورد مشکوک قبلا بررسي شده است يا خير، اگر جواب مثبت باشد شما مي توانيد گزارش کامل آن را مطالعه کنيد.
در غير اين صورت برنامه مشکوک بر محيط مجازي بررسي مي شود و مواردي مانند پروسه هاي ايجاد شده، تغييرات حافظه، تغييرات کليد هاي رجيستري، محلهايي که برنامه خود را کپي کرده است و کلي از موارد ديگر بررسي گشته و گزارش کاملي را براي شما نمايش مي دهد.
حال يک مورد را به صورت کلي بررسي مي کنيم.
در اينجا يک گزارش مختصر در مورد نمونه مورد بررسي ارائه مي شود.
مي توانيد تغييرات حافظه و تغييرات رجيستري را مشاهده کنيد