Main menu
Search
Login
Signup
Links
winPenPack - The Portable Software Collection :: Forums :: Tips & Tricks - Off topic
<< Previous thread | Next thread >>   
Analizzare il comportamento di un file.
Author Post
domino
Tue 09 Sep 2008 - 18:33

online
Registered Member #9897
Joined: Fri 21 Mar 2008 - 17:57
Location: Milano
Posts: 600

Ciao a tutti, vorrei proporvi ThreatExpert, servizio on-line gratuito che permette di caricare un file eseguibile e di vedere quali operazioni vengono compiute subito dopo la sua esecuzione. Per inviare un file, è necessario specificare un indirizzo e-mail al quale, dopo che il file sarà stato analizzato sarà inviata una notifica per il report generato dal servizio via e-mail.

Appena inviamo il presunto file infetto, esso viene eseguito in un sistema remoto protetto, e lo stesso sistema tiene traccia dei cambiamenti effettuati da prima a dopo l'esecuzione del file. Quando suppone che i cambiamenti che il file eseguibile dovrebbe apportare, siano terminati, procede alla creazione del report. Un link del report verrà poi spedito all'e-mail specificata in fase di inoltro. Di solito, l'analisi di un file non richiede più di 2-3 minuti.

Le informazioni che vengono rilasciate, e che è possibile leggere nel report sono:

  • Data e ora di invio del sample e il tempo impiegato dal servizio per analizzare il file, hash MD5 del file, dimensione in byte, e Alias assegnati al sample da parte di alcuni software antivirus.
  • File (Anche nascosti), Alternate Data Stream e cartelle aggiunte, modificate ed/o eliminate.
  • Processi (Anche nascosti), moduli, servizi e driver aggiunti o modificati in memoria.
  • Chiavi e valori (Anche nascosti) aggiunti, eliminati e/o modificati.
  • Traffico in uscita rilevato.
  • Analisi euristica che permette di scoprire capacità del file di terminare processi inerenti la sicurezza, dettagli sulla sua replicazione e su eventuali tecniche di keylogging.
  • Porte aperte, nazione di origine e API di Windows chiamate dal sample.
  • Traffico SMTP generato, vale a dire eventuali e-mail inviate, con dettagli circa il mittente, destinatari/io, oggetto del messaggio, allegati e testo del messaggio.


ATTENZIONE i file eseguibili che richiedono un intervento manuale, come l'installer di un software, non possono praticamente essere analizzati, in quanto il servizio mostrerà solamente l'immagine apparsa eseguendo il file, ma non le eventuali modifiche derivanti dalla sua installazione. Fonte, Megalab.it

[ Edited Tue 09 Sep 2008 - 18:35 ]
Back to top

Moderators: Danix, Taf, Rcs, Energy, zandet2, ZioZione, Admin, LordJim60

Jump:     Back to top
Syndicate this thread: rss 0.92 Syndicate this thread: rss 2.0 Syndicate this thread: RDF
Powered by e107 Forum System