如何分析恶意软件，找出键盘记录器发送数据的地方？

Question

最近我的防病毒发现了一些键盘记录器感染了我的网络。我有那些恶意软件文件，我想分析一下。

我该怎么做这个分析？重要的是找出像这些日志被发送到哪里这样的细节。至少我需要一条线索来调查。

Answer 1

如果您不是这方面的专家，仍然有一些自动恶意软件分析工具，您可以使用从文件中获取一些信息。

沙箱可能是一个非常有用的工具，布谷鸟可能是最著名的工具。您可以自己设置它，也可以找到在线布谷鸟沙箱。Cuckoo将告诉您什么DNS查询，什么HTTP连接尝试，以及许多其他细节。

通过在关闭的VM中运行恶意软件并监视网络连接和对文件系统的任何更改，您可以复制沙箱所做的部分工作。这只会给你一小部分信息(如果你不知道你在做什么，在你自己的虚拟机中运行未知的恶意软件是非常危险的)，但它也是一个选择。

如果您确实有一些技能，那么您可能想运行一个调试器，看看它是如何运行的，但这是一种高级技能。

当然，有许多商业工具可供使用。

Answer 2

恶意软件分析需要逆向工程方面的知识，并且取决于您恶意软件的复杂性，理解它的工作方式可能是一个真正的痛苦。例如，如果您从未打开过IDA或OllyDbg，就没有必要尝试自己分析您的文件(而不了解事情是如何完成的:组装、逆向工程、解压缩.)

现在，如果您只想监视您的网络，就像@schroeder所说的那样，在VM上运行恶意文件，例如运行Wireshark就可以了。

以下是一些在线沙箱/恶意软件分析服务，您可以使用这些服务获取一些关于键盘记录器的“深度”信息：

• http://sandbox.pikker.ee/
• https://www.hybrid-analysis.com/
• http://www.threatexpert.com/submit.aspx
• https://www.joesandbox.com/

检查这个链接，它列出了一些免费的自动恶意软件分析沙箱和服务。