【示例】如何用默认规则测试病毒和进行程序行为监测分析

柯林

第一步：下载样本   卡饭样本区下今日新样本，随便选了一个forin.rar
第二步：清场   打开注册表，把HKEY_LOCAL_MACHINE\SYSTEM\VritualRoot删除   到C盘，删除C:\VritualRoot里的所有东东
第三步：准备  关闭毛豆杀毒  默认规则（安全模式，沙盘等级“部分限制”）
第四步：上阵检测  沙盘启用  D+安全模式  防火墙自定义规则（这是默认规则的修改，不看联网行为可以直接默认）
第五步：开测  解压出样本 放到一个地方执行（毛豆默认规则有文件自动检验机制，放计算机上任意一个位置，效果都是一样的，譬如有的人喜欢建个Virus的目录来放样本，我故作矫情放到system32下也是一样的） 本例放到C:\test里  右键点击C:\test\forin.EXE 弹出菜单上选“在sandbox里运行”  稍等一阵
第六步：检查结果  打开C:\VritualRoot，里面有个forin.EXE的文件夹，就是这个样本的所有FD行为大集合了——这个样本比较老实，只释放了一个批处理文件（作为示例堪称失败）：

打开注册表，定位到沙盘目录，看到这个样本的RD行为还比较丰富：

第七步：行为总结 如果我们只想看看一个样本的FD和RD行为，到此就可以写分析报告了（依据第6步所得的资料）
FD方面，该程序只释放了一个批处理到用户临时目录去运行，把批处理改为txt后缀名，查看原dos代码，发现只是一些网络检测命令，没有恶意破坏行为。
RD上，这个程序行为比较丰富，添加或改写了一大堆注册表，HKEY_LOCAL_MACHINE和HKEY_USERS两大根键下都有所建树（不嫌麻烦可以把具体的注册表项都列出）……
【注意，根据第6步获得的资料，如果样本的FD行为，包括了系统目录（比如C:\WINDOWS）和程序目录（比如C:\Program Files），里面的东东就值得玩味——如果原本就有的文件，代表这个样本将对原有文件执行修改或替换的操作。比如说，系统原本有C:\WINDOWS\explorer.exe这个文件，如果病毒运行后产生了C:\VritualRoot\abc.exe\HarddiskVolume1\WINDOWS\explorer.exe，意思就是说，如果是实机运行，abc.exe这个病毒将会修改或替换我们的资源管理器。
如果原本没有，代表样本将创建这样一些文件。比如说，病毒运行后产生了C:\VritualRoot\abc.exe\HarddiskVolume1\WINDOWS\lsass.exe，C:\VritualRoot\abc.exe\HarddiskVolume1\WINDOWS\system32\MSJ.DLL，C:\VritualRoot\abc.exe\HarddiskVolume1\WINDOWS\system32\drivers\ABC.sys，意思就是说，如果是实机运行，abc.exe这个病毒将向windows目录释放一个假冒的系统程序lsass.exe，向系统目录system32下释放一个动态链接库文件MSJ.DLL，并释放一个驱动程序ABC.sys到drivers目录里，一共创建了3个病毒文件。
如果某些文件为零kb，代表样本对该文件执行了删除操作。
（如果大量存在修改替换操作，表明这是一个感染型的东东
如果大量存在删除操作，表明这是一个具有全局破坏倾向的恶意东东）】
第八步：AD测试  如果还想测试AD行为，请转到自动入沙  本例，由第6步资料得知，这是一个没有全局破坏行为的东东，默认规则不加FD全局保护下的自动入沙完全可以对付，所以我们放心地双击C:\VritualRoot\forin.EXE  得到日志如下：

根据日志，我们写下分析报告：这个样本运行后，释放一个bt5080.bat的批处理到用户临时目录运行，由这个批处理调用netstat.exe程序来检查网络连接状况，为木马的联网提供依据。

作为范例的样本不够精彩，FD和AD行为稀少，没有典型意义，我懒得找其它了，大家将就着看，基本步骤就这样。

柯林

示例表明了，采用默认规则提供的沙盘，可以进行基本的程序行为跟踪和分析，满足一般的测试需要。
一些相关问题补充说明如下：
1、默认规则没加FD全局保护，自动入沙有漏的风险，请在手动入沙结果分析确认不含全局破坏的基础上，再转自动入沙，或者补加全局FD保护。
2、默认规则给予的沙盘“部分限制”的权限，对于某些样本可能限制不够，可以考虑适当提高沙盘等级。
3、测试完毕，记得分析一下，最后不忘手动倒沙。
4、这样的测试不止对于病毒，各种软件都可以测试，甚至像传统沙盘一样把程序装里面进行测试——可以看看某些程序安装过程中是否捆绑了恶意程序，是否有恶意创建或修改重要文件的动作？不放心的程序如此预安装一遍比较清楚。当然，也可以对沙盘内病毒的生成物运行来看它们都有哪些行为。
5、寂寞哥（姐）们无聊时多做做测试操也可以健脾醒脑

wrl8363

学习一下，但不敢随意去测试

柯林

wrl8363 发表于 2011-12-5 20:15
学习一下，但不敢随意去测试

放心，安全的，毛豆沙盘虽不是一流，但也貌似没有明确被穿的记载，对付这些常规样本还是没压力的。

有你丶我幸福

柯林 发表于 2011-12-5 20:10
示例表明了，采用默认规则提供的沙盘，可以进行基本的程序行为跟踪和分析，满足一般的测试需要。
一些相关 ...

FD保护就是  吧?:\*|

柯林

有你丶我幸福 发表于 2011-12-5 20:29
FD保护就是  吧?:\*|

准确说是FD全局保护

有你丶我幸福

柯林 发表于 2011-12-5 20:34
准确说是FD全局保护

全局是不是注册表也加

wrl8363

我进卡饭的初衷是来学习安全知识的，由于总是遇到些系统运行不正常的问题，安全软件如防火墙用过天网、PCTOOL、费尔，杀毒软件小A\红伞、江民，江民与天网用得时间最长，到现在改成了金山毒霸和毛豆，很满意，每个星期或多或少都到卡饭毛豆区看看，都成习惯了，对您敬仰之至，正是毛豆区有您这样无私的先行者和传播者，才是我等初学者来此论坛的动力呀！

chncwk

可惜，疯狂模式下受不了这种全局保护。

柯林

wrl8363 发表于 2011-12-5 20:41
我进卡饭的初衷是来学习安全知识的，由于总是遇到些系统运行不正常的问题，安全软件如防火墙用过天网、PCTO ...

我是菜鸟  不值得敬仰  请敬仰论坛真正的高手——懂技术的高手  俺就一个滥玩软件的菜鸟