Sandboxes

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Оценка реакций
4
Баллы
18
Мини обзор сервисов которые предоставляют услугу проверки ваших файлов онлайн.

Так как анитивирусы вещь относительная, и далеко не все известно их базам, данные сервисы позволят вам проверять различное ПО без опасности для вашей системы, ну а после проведенного анализа, по результатам, принять решение о целесообразности использования неизвестного ПО.

Тема впринцепе не новая, но особо не обсуждаемая в широких массах российских пользователей.

Сервисы Анализируют:
- куда файл раскидывает своё дочерние содержимое в системе.
- что и куда прописывается в реестр.
- показывает сетевую активность(если она есть).
- указывает к каким ресурсам ОС он обращается.
- и прочее.

1)Threatexpert.com
Относительно не новый и неоднократно проверенный сервис, присылает вам отчет об анализе по электронной почте.
Сервис который выполняет вредоносный файл в виртуальной среде и предоставляет пользователям изменения, внесенные в файловую систему, ключи реестра, и весь сетевой трафик, делает снимок визуального интерфейса программы.

Проверить

2)Mwanalysis.org
Тоже неплохой сервис, и так же отсылает репорт на емаил.
Его отличие в том что он анализирует на основе DLL.Чтоб не грубить в определениях приведу высказывания на Инглише:
It works by DLL code injection, the injected DLL will hook Windows API functions to record malware behavior during the analyses. This provides good results but if a malware bypass the hook and directly call kernel code this can make the malware not monitored. But if we will look at most malwares we will have no issue in using CWSandbox.

Проверяем

3)Anubis.iseclab.org
Аналогичный, и очень хороший сервис.Выводит вам результат онлайн или пришлет на электронку, но с одним большим минусом, загрузка сервера высокая и результат вы увидите часов через 5-6.

Проверяем

4)Joesecurity.org
Весь тот же самый анализ и так же проверяет скрипты и т.п., но предоставляется возможность выбора ОС для запуска ПО (Windows XP, Windows Vista or Windows 7), и есть определенные проблемы связанные стем,чтоб провести анализ необходимо отправлять письмо с описанием и вложением файла, администратору сайта.Лишний гемор.

Оформить

ВНИМАНИЕ: Собственные разработки и файлы где вы заведомо уверены в их чистоте отправлять в данные сервисы ненужно, т.к. они автоматически становятся достоянием общественности и антивирусных компаний в том числе!
В этой теме давайте отписывать о подобных сервисах, их специфических особенностях и методах детекта этих поделок. Советую на реально ценную информацию ставить хайд , это даже приветствуется...
 

E.N.G.Land

(L3) cache
Пользователь
Регистрация
16.10.2008
Сообщения
219
Оценка реакций
0
Баллы
18

Chococream

Старожил форума
Легенда
Регистрация
31.10.2009
Сообщения
347
Оценка реакций
7
Баллы
18
Видел своими глазами, как в подобных продуктах ставятся заглушки на api функции у загружаемого файла, короче: за несколько минут навоял код, который проходит по таблице импорта и ищет те самые переходы.
Исходники не прикладываю, т.к код не оптимизирован :)

Размер: 126 байт.
INPUT: eax - image base address.
esp - address, where to return.
OUTPUT: 1 - jmp found.
0 - nothng found.

Код:
8945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C38B5DF83BD876042BD8EB042BD8F7DB8BCB8D5D90833800740EFF308F0383C30483C004EBEFEB136683780600740783C004EBE6EB05C603CCEB008D45908B18803BE9740A83C0048038CC7406EBEF33C040C333C0C3

Как юзать:
В олли Binary Paste, затем следуя правилам INPUT отлаживать код.
 

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Оценка реакций
4
Баллы
18
хм есть ли смысл сделать прогу, которая работая в сэндбоксе скинет на скрипт все их окружение или там сделано по типу эмулятора, апихукера - в сеть не пускает , только перехватывает параметры у фунок типа connect send и т.д. ?
 

greenzy

(L3) cache
Пользователь
Регистрация
25.10.2010
Сообщения
208
Оценка реакций
1
Баллы
18
был образец кидо в котором длина строки была ооооочень большим. и он в аккурат завешивал вирустотал (кк писал на васме)
 

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Оценка реакций
4
Баллы
18
мда интересно как такое могло быть , vt серьезный ресурс, даже посерьезнее чем у choco ;) - не похоже, чтоб у них на одной оси висело нескока АВ хотя хз
 

DASM32

(L2) cache
Пользователь
Регистрация
14.05.2008
Сообщения
451
Оценка реакций
3
Баллы
18
А ведь можно же понаркоманить и выдавать нужные внутренние параметры в попытки записи ключей реестра, именах файлов и прочем, что эти песочницы выводят в качестве результата запуска, м? :D
 

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Оценка реакций
4
Баллы
18
А ведь можно же понаркоманить и выдавать нужные внутренние параметры в попытки записи ключей реестра, именах файлов и прочем, что эти песочницы выводят в качестве результата запуска, м?
непонятна твоя мысль
 

E.N.G.Land

(L3) cache
Пользователь
Регистрация
16.10.2008
Сообщения
219
Оценка реакций
0
Баллы
18
Наверно DASM32 имел в виду подмену выдачи на стороне сервера\песочницы. Но это сказочно конечно :)
 

greenzy

(L3) cache
Пользователь
Регистрация
25.10.2010
Сообщения
208
Оценка реакций
1
Баллы
18
вырваться из песочницы можно лишь срывом стека, ибо все функции перехуканы, мини фильтры включены :D
 

Chococream

Старожил форума
Легенда
Регистрация
31.10.2009
Сообщения
347
Оценка реакций
7
Баллы
18
Lille more bit optimise ;)

Размер: 124 байта.
INPUT: esp - address, where to return.
OUTPUT: eax: 1 - jmp found / 0 - nothng found.
ebx: addr of bad func.

Код:
64A1300000008B400C8B400C8B40188945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C38D5D90833800740EFF308F0383C30483C004EBEFEB136683780600740783C004EBE6EB05C603CCEB008D45908B18803BE9740A83C0048038CC7406EBEF33C040C333C0C3
 

DASM32

(L2) cache
Пользователь
Регистрация
14.05.2008
Сообщения
451
Оценка реакций
3
Баллы
18
О, нет. Т.е. допустим, вам нужно выдать какой-то важный параметр (напр. список драйверов). Так выдать его можно например в цикле:
попытки записи в общеизвестную всем ветку навроде 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run' с именами, соответствующими именам ключей/параметрам ключей, т.е. типа
'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\drv1.sys'
'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\drv2.sys'

и т.д.
песочницы же это точно выведут в качестве "результатов работы", т.е. в потенциально опасных действиях, совершаемых exe-шником?
Конечно, если получение такой информации разрешат похуканные функции или этот запрет удастся обойти :)
 

accelerator

RAM
Пользователь
Регистрация
13.10.2010
Сообщения
128
Оценка реакций
1
Баллы
18
песочница может скрыть имена, например [value hidden] выдать в результате, но не факт, да и через base64 можно закодировать.

Добавлено в [time]1299968182[/time]
если получение информации запрещено - это можно заюзать как обход песочницы)
 

DASM32

(L2) cache
Пользователь
Регистрация
14.05.2008
Сообщения
451
Оценка реакций
3
Баллы
18
accelerator да-да, только хотел сказать что если данные нужны чисто бинарные, то не грех и base64 было бы воспользоваться, да и для скрытия тоже пойдет. Кстати ни разу не встречал [value hidden]
 

accelerator

RAM
Пользователь
Регистрация
13.10.2010
Сообщения
128
Оценка реакций
1
Баллы
18
Кстати ни разу не встречал [value hidden]
threatexpert например экранирует пути:
[filename of the sample #1]
[file and pathname of the sample #1]
 

rolkaluiu0

CD-диск
Пользователь
Регистрация
21.11.2010
Сообщения
18
Оценка реакций
0
Баллы
8
threatexpert
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
[01] TEMP : C:\DOCUME~1\UserName\LOCALS~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : COMPUTERNAME
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Documents and Settings\UserName\Application Data
[08] windir : C:\WINDOWS
[09] TMP : C:\DOCUME~1\UserName\LOCALS~1\Temp
[10] USERPROFILE : C:\Documents and Settings\UserName
[11] ProgramFiles : C:\Program Files
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Documents and Settings\UserName
[14] COMPUTERNAME : COMPUTERNAME
[15] USERNAME : UserName
[16] NUMBER_OF_PROCESSORS : 1
[17] PROCESSOR_IDENTIFIER : x86 Family 6 Model 23 Stepping 10, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\COMPUTERNAME
[21] CommonProgramFiles : C:\Program Files\Common Files
[22] PROCESSOR_LEVEL : 6
[23] PROCESSOR_REVISION : 170a
[24] CLIENTNAME : Console
[25] ALLUSERSPROFILE : C:\Documents and Settings\All Users
[26] OS : Windows_NT
[27] HOMEDRIVE : C:
 

rolkaluiu0

CD-диск
Пользователь
Регистрация
21.11.2010
Сообщения
18
Оценка реакций
0
Баллы
8
mwanalysis
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\Intel\DMIX
[01] TEMP : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : DELL-D3E62F7E26
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[08] windir : C:\WINDOWS
[09] TMP : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[10] USERPROFILE : C:\Dokumente und Einstellungen\Administrator
[11] ProgramFiles : C:\Programme
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Dokumente und Einstellungen\Administrator
[14] COMPUTERNAME : DELL-D3E62F7E26
[15] USERNAME : Administrator
[16] NUMBER_OF_PROCESSORS : 2
[17] PROCESSOR_IDENTIFIER : x86 Family 15 Model 2 Stepping 9, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\DELL-D3E62F7E26
[21] CommonProgramFiles : C:\Programme\Gemeinsame Dateien
[22] PROCESSOR_LEVEL : 15
[23] PROCESSOR_REVISION : 0209
[24] CLIENTNAME : Console
[25] PROMPT : $P$G
[26] ALLUSERSPROFILE : C:\Dokumente und Einstellungen\All Users
[27] OS : Windows_NT
[28] HOMEDRIVE : C:
 

rolkaluiu0

CD-диск
Пользователь
Регистрация
21.11.2010
Сообщения
18
Оценка реакций
0
Баллы
8
anubis.iseclab
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
[01] TEMP : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : PC
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Documents and Settings\Administrator\Application Data
[08] windir : C:\WINDOWS
[09] TMP : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[10] USERPROFILE : C:\Documents and Settings\Administrator
[11] ProgramFiles : C:\Program Files
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Documents and Settings\Administrator
[14] COMPUTERNAME : PC
[15] USERNAME : Administrator
[16] NUMBER_OF_PROCESSORS : 1
[17] PROCESSOR_IDENTIFIER : x86 Family 6 Model 3 Stepping 3, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\PC
[21] CommonProgramFiles : C:\Program Files\Common Files
[22] PROCESSOR_LEVEL : 6
[23] PROCESSOR_REVISION : 0303
[24] CLIENTNAME : Console
[25] ALLUSERSPROFILE : C:\Documents and Settings\All Users
[26] OS : Windows_NT
[27] HOMEDRIVE : C:
 

Chococream

Старожил форума
Легенда
Регистрация
31.10.2009
Сообщения
347
Оценка реакций
7
Баллы
18
Lille more bit optimise #2.
Теперь сканирует call и jmp, можете добавить недостающие команды.

Размер: 95 байт.
INPUT: esp - address, where to return.
OUTPUT: eax: 1 - jmp found / 0 - nothng found.
ebx: addr of bad func.

Код:
64A1300000008B400C8B400C8B40188945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C383380074118B18803BE87417803BE9741283C004EBEA6683780600740583C004EBE1C333C040C3
 
Верх