建立一个用于恶意软件分析的手动沙箱

Question

我想建立一个手动沙箱来分析Windows系统上的恶意软件。我指的是手动环境，而不是像布谷山盒这样的自动化环境。

有很多工具，我选择了其中的一些工具，但我不知道每个工具是否值得。你能告诉我你的想法吗?如果这些工具对我的沙箱有用的话？

首先，我认为其中一些是不可避免的，比如IDA、winDBG、Wireshark、npcap、像Fiddler这样的HTTP、Sysinternals套件、波动性，也许是最重要的。

还有其他的工具，我从来没有真正尝试过，但这似乎是有趣的。关于静态分析，我发现了以下工具，并希望得到最终的反馈: Log-MD (一种使用先进的Windows审计策略查看系统的工具)、Cerbero Profiler、Pestudio、Unpacker (它似乎是一个自动解压缩二进制文件的工具，看起来更快，但我有点怀疑，但我不是RE专家，如果您知道这个工具.)，Didier的oledump.py (用于识别各种元素，如启发式模式、IP、字符串)……

关于动态分析，我注意到Hook (静态地分析具有启发式模式的元素并允许您挂钩应用程序)、Malheur (检测“恶意行为”)、ViperMonkey (在Microsoft文档中检测VBA宏并模拟它们的行为)。

您有关于我的设置和工具的任何命令吗？我想分析典型的恶意元素(PE、PDF、各种脚本、Office文档，.)。

关于恶意软件的规避，在检测RE和分析工具时，是否存在恶意软件拒绝分析的风险？

最后，我应该在沙箱里使用互联网吗？今天大多数的恶意软件都使用C&C服务器，我看到有些沙箱是用像iNetSim这样的模拟器构建的，但是由于连接不是真实的，我会丢失一些信息吗？

谢谢！

Answer 1

您可能需要考虑使用看见框架来构建分析平台。

它基于插件的设计将允许您以相当灵活的方式集成扫描工具。

请记住，许多恶意软件检查执行环境，如果发现任何RE工具，将拒绝运行。

对于与互联网连接有关的问题，这取决于您想要收集多少信息。诚然，现在很多恶意软件都与C&C通信，但它们必须确保它们在目标计算机上的持久性。

因此，即使没有Internet连接，注入机制仍将被执行。我在这个问题上的2分钱是在默认情况下不使用互联网运行，并且只有在必要时才激活它。