Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
Chociażtechnikianalizydynamicznejsąniezwyklepotężne,należyjewykonywać
dopieropozakończeniupodstawowejanalizystatycznej,ponieważanalizadynamiczna
możenarazićsiećisystemnaryzyko.Technikidynamicznemająteżswojeograni-
czenia,ponieważniewszystkieścieżkikodumogąbyćwykonywanepouruchomieniu
malware.Naprzykładwprzypadkumalwareuruchamianegozwierszapoleceńiwy-
magającegopodaniaargumentówkażdyargumentmożewykonywaćinnąfunkcjonal-
nośćprogramu,bezznajomościopcjizatemniemożnadynamiczniezbadaćwszystkich
funkcjiprogramu.Najlepszymrozwiązaniembędzieużyciezaawansowanychtechnik
dynamicznychlubstatycznych,abydowiedziećsię,jakzmusićmalwaredowykona-
niawszystkichswoichfunkcjonalności.Wtymrozdzialeopisanopodstawowetechniki
analizydynamicznej.
Piaskownice–podejścietanieiszybkie
Dowykonaniapodstawowejanalizydynamicznejmożnaużyćkilkukompleksowych
programów,zktórychnajbardziejpopularnewykorzystujątechnologiępiaskownicy
.
Piaskownicajestmechanizmembezpieczeństwadouruchamianianiezaufanychprogra-
mówwbezpiecznymśrodowiskubezobawyouszkodzenieprawdziwychsystemów.
Piaskownicezawierajązwirtualizowaneśrodowiska,któreczęstowpewiensposób
symulująusługisieciowe,abyzapewnić,żetestowaneoprogramowanielubmalware
będądziałałynormalnie.
Użyciepiaskownicydlamalware
Wielepiaskownicdlamalware–takichjakNormanSandBox,GFISandbox,Anubis,
JoeSandbox,ThreatExpert,BitBlazeiComodoInstantMalwareAnalysis–umożliwia
analizowaniemalwarezadarmo.Obecnienajbardziejpopularnewśródspecjalistów
odbezpieczeństwakomputerowegosąNormanSandBoxiGFISandbox(wcześniej
CWSandbox).
Tepiaskowniceoferująłatwedozrozumieniaprzedstawianiewynikówiświetnie
nadająsiędowstępnejsegregacji,oiletylkozechcemyprzesłaćmalwarenastrony
internetowepiaskownic.Mimożesąonezautomatyzowane,możemyniechciećprze-
syłaćmalwarezawierającegoinformacjeofirmienapublicznąstronęinternetową.
UWAGAMożnakupićnarzędziatypupiaskownicadoużytkuwewnętrznego,alesąonebardzodrogie.Zamiast
tegomożnaodkryćwszystkoto,cotepiaskownicemogązaoferować,używającpodstawowychtechnik
omówionychwtymrozdziale.Oczywiście,mającdoprzeanalizowaniadużomalware,wartokupić
odpowiednipakietoprogramowaniatypupiaskownica,dziękiktóremubędziemożnaskonfigurowaćje
doszybkiegoprzetworzaniazłośliwegooprogramowania.
Większośćpiaskownicdziałapodobnie,skupimysięzatemnajednymprzykładzie
–GFISandbox.Rysunek3.1pokazujespistreściraportuPDFwygenerowanegoza
pomocąautomatycznejanalizyGFISandboxnauruchomionympliku.Raportozło-
śliwymoprogramowaniuzawieraróżneszczegółynajegotemat,takiejaksieciowe
aktywności,tworzonepliki,wynikiskanowaniazapomocąVirusTotalitd.
40Rozdział3