Come faccio a monitorare esattamente cosa fa un programma? [chiuso]

5

Vorrei eseguire qualche programma, preferibilmente in una sandbox, e vedere esattamente cosa fa / fatto. Al momento sono perplesso dall'accesso al disco e dalla rete, dal momento che ci sono così tante altre cose che accadono nello stesso momento.

Sono principalmente curioso di Windows, ma anche di Mac, Linux e Android. Ci sono buoni strumenti per sandbox / analizzare un programma?

    
posta Filip Haglund 06.12.2013 - 20:37
fonte

2 risposte

3

La mia "procedura di analisi delle applicazioni" di Windows è composta da quanto segue (tutto freeware):

  • Macchina virtuale Windows che utilizza VirtualBox per eseguire l'applicazione.

  • Microsoft Network Monitor per analizzare alcune attività di rete di base per applicazione.

  • Wireshark per scavare più a fondo nei pacchetti.

  • TinyWatcher per scattare istantanee prima e dopo l'installazione / l'esecuzione dell'applicazione e "sottrarle" per scoprirlo cosa è successo esattamente nei file, nel registro e in ogni cosa.

Si prega di notare che l'intero impianto di perforazione non è per analisi profonde effettive, ma piuttosto per analisi a un livello più alto.

    
risposta data 06.12.2013 - 21:48
fonte
1

In secondo luogo ciò che ha detto Adnan su Virtual Box e Network Monitor per analisi di livello superiore. Specifici di Windows: per l'accesso al disco, l'accesso al registro, l'utilizzo della memoria e gli eventi, è necessario esaminare gli strumenti di System Internals sviluppati da Mark Russinovitch, in particolare il monitor di processo, che ha assorbito la funzionalità che regola e altri utilizzati. Ci sono molti video che mostrano la potenza di questo set di strumenti, inclusi alcuni dal creatore .

Per un'analisi più approfondita, stai entrando nel territorio del reverse engineering e dovrai imparare a usare un debugger. Esiste anche un sito di scambio di stack dedicato all'inversione . Gli esempi sono: Immunità, Ollydbg , IDA e WinDBG . Un debugger è ciò che un analista di malware userebbe. (Sono solo un nome che scende qui. Non ho esperienza con nessun debugger.)

Inoltre, per i binari su cui esercitarsi, ci sono crackmes . Un vantaggio è che ci sono soluzioni pubblicate per tutti loro, in modo da poter confrontare i risultati con gli altri e vedere cosa ti sei perso. Ho fatto alcuni di quelli facili e anche quelli forniscono così tanto intuizione.

    
risposta data 07.12.2013 - 17:01
fonte

Leggi altre domande sui tag