利用沙箱工具分析僵尸网络恶意软件
1. 引言
获取僵尸网络及相关僵尸程序信息的方法有多种,其中一种有效的方式是在沙箱环境中执行这些软件,以分析其内部机制、通信方法和基础设施。
沙箱在计算机安全领域是一个常见概念,用于执行来自未经验证或不可信源的程序代码。它提供了一个受监控和控制的环境,确保未知软件不会对真实的主机系统造成损害。实现方式可以是阻止某些关键操作,同时允许并监控其他操作;也可以创建一个完整的虚拟环境,模拟处理器、内存和文件系统,使测试应用无法访问真实系统。在恶意软件分析中,沙箱的主要目的通常不是阻止对系统资源的访问,而是监控这些访问。一般会使用虚拟机或其他机制,以便在分析运行后将系统恢复到干净、未受感染的初始状态。这种分析方式被称为行为分析,与借助反汇编器或调试器检查程序指令的代码分析相对。
有几款软件工具可通过在沙箱中执行样本进行行为分析,监控操作并生成分析报告:
-Norman SandBox:由挪威的数据安全公司Norman ASA开发,模拟整个计算机系统和连接的网络。相关实现细节和底层技术可在该公司的沙箱白皮书中找到。其在线实时版本为 http://sandbox.norman.no/live.html ,用户可提交恶意软件样本并通过电子邮件获取分析报告。
-TTAnalyze:由Ikarus Software GmbH的Ulrich Bayer与维也纳工业大学合作开发。它使用PC模拟器QEMU运行完整的Windows操作系统,在
