• XSS.stack #1 – первый литературный журнал от юзеров форума

Sandboxes

Отслеживать
karabas-barabas

karabas-barabas

(L1) cache
Пользователь
Регистрация
18.07.2006
Сообщения
650
Реакции
5
Мини обзор сервисов которые предоставляют услугу проверки ваших файлов онлайн.

Так как анитивирусы вещь относительная, и далеко не все известно их базам, данные сервисы позволят вам проверять различное ПО без опасности для вашей системы, ну а после проведенного анализа, по результатам, принять решение о целесообразности использования неизвестного ПО.

Тема впринцепе не новая, но особо не обсуждаемая в широких массах российских пользователей.

Сервисы Анализируют:
- куда файл раскидывает своё дочерние содержимое в системе.
- что и куда прописывается в реестр.
- показывает сетевую активность(если она есть).
- указывает к каким ресурсам ОС он обращается.
- и прочее.

1)Threatexpert.com
Относительно не новый и неоднократно проверенный сервис, присылает вам отчет об анализе по электронной почте.
Сервис который выполняет вредоносный файл в виртуальной среде и предоставляет пользователям изменения, внесенные в файловую систему, ключи реестра, и весь сетевой трафик, делает снимок визуального интерфейса программы.

Проверить

2)Mwanalysis.org
Тоже неплохой сервис, и так же отсылает репорт на емаил.
Его отличие в том что он анализирует на основе DLL.Чтоб не грубить в определениях приведу высказывания на Инглише:
It works by DLL code injection, the injected DLL will hook Windows API functions to record malware behavior during the analyses. This provides good results but if a malware bypass the hook and directly call kernel code this can make the malware not monitored. But if we will look at most malwares we will have no issue in using CWSandbox.

Проверяем

3)Anubis.iseclab.org
Аналогичный, и очень хороший сервис.Выводит вам результат онлайн или пришлет на электронку, но с одним большим минусом, загрузка сервера высокая и результат вы увидите часов через 5-6.

Проверяем

4)Joesecurity.org
Весь тот же самый анализ и так же проверяет скрипты и т.п., но предоставляется возможность выбора ОС для запуска ПО (Windows XP, Windows Vista or Windows 7), и есть определенные проблемы связанные стем,чтоб провести анализ необходимо отправлять письмо с описанием и вложением файла, администратору сайта.Лишний гемор.

Оформить

ВНИМАНИЕ: Собственные разработки и файлы где вы заведомо уверены в их чистоте отправлять в данные сервисы ненужно, т.к. они автоматически становятся достоянием общественности и антивирусных компаний в том числе!

В этой теме давайте отписывать о подобных сервисах, их специфических особенностях и методах детекта этих поделок. Советую на реально ценную информацию ставить хайд , это даже приветствуется...
 
Видел своими глазами, как в подобных продуктах ставятся заглушки на api функции у загружаемого файла, короче: за несколько минут навоял код, который проходит по таблице импорта и ищет те самые переходы.
Исходники не прикладываю, т.к код не оптимизирован :)

Размер: 126 байт.
INPUT: eax - image base address.
esp - address, where to return.
OUTPUT: 1 - jmp found.
0 - nothng found.

Код: 
8945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C38B5DF83BD876042BD8EB042BD8F7DB8BCB8D5D90833800740EFF308F0383C30483C004EBEFEB136683780600740783C004EBE6EB05C603CCEB008D45908B18803BE9740A83C0048038CC7406EBEF33C040C333C0C3

Как юзать:
В олли Binary Paste, затем следуя правилам INPUT отлаживать код.
 
хм есть ли смысл сделать прогу, которая работая в сэндбоксе скинет на скрипт все их окружение или там сделано по типу эмулятора, апихукера - в сеть не пускает , только перехватывает параметры у фунок типа connect send и т.д. ?
 
А ведь можно же понаркоманить и выдавать нужные внутренние параметры в попытки записи ключей реестра, именах файлов и прочем, что эти песочницы выводят в качестве результата запуска, м? :D
 
А ведь можно же понаркоманить и выдавать нужные внутренние параметры в попытки записи ключей реестра, именах файлов и прочем, что эти песочницы выводят в качестве результата запуска, м?
непонятна твоя мысль
 
Lille more bit optimise ;)

Размер: 124 байта.
INPUT: esp - address, where to return.
OUTPUT: eax: 1 - jmp found / 0 - nothng found.
ebx: addr of bad func.

Код: 
64A1300000008B400C8B400C8B40188945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C38D5D90833800740EFF308F0383C30483C004EBEFEB136683780600740783C004EBE6EB05C603CCEB008D45908B18803BE9740A83C0048038CC7406EBEF33C040C333C0C3
 
О, нет. Т.е. допустим, вам нужно выдать какой-то важный параметр (напр. список драйверов). Так выдать его можно например в цикле:
попытки записи в общеизвестную всем ветку навроде 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run' с именами, соответствующими именам ключей/параметрам ключей, т.е. типа
'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\drv1.sys'
'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\drv2.sys'
и т.д.
песочницы же это точно выведут в качестве "результатов работы", т.е. в потенциально опасных действиях, совершаемых exe-шником?
Конечно, если получение такой информации разрешат похуканные функции или этот запрет удастся обойти :)
 
песочница может скрыть имена, например [value hidden] выдать в результате, но не факт, да и через base64 можно закодировать.

Добавлено в [time]1299968182[/time]
если получение информации запрещено - это можно заюзать как обход песочницы)
 
accelerator да-да, только хотел сказать что если данные нужны чисто бинарные, то не грех и base64 было бы воспользоваться, да и для скрытия тоже пойдет. Кстати ни разу не встречал [value hidden]
 
threatexpert
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
[01] TEMP : C:\DOCUME~1\UserName\LOCALS~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : COMPUTERNAME
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Documents and Settings\UserName\Application Data
[08] windir : C:\WINDOWS
[09] TMP : C:\DOCUME~1\UserName\LOCALS~1\Temp
[10] USERPROFILE : C:\Documents and Settings\UserName
[11] ProgramFiles : C:\Program Files
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Documents and Settings\UserName
[14] COMPUTERNAME : COMPUTERNAME
[15] USERNAME : UserName
[16] NUMBER_OF_PROCESSORS : 1
[17] PROCESSOR_IDENTIFIER : x86 Family 6 Model 23 Stepping 10, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\COMPUTERNAME
[21] CommonProgramFiles : C:\Program Files\Common Files
[22] PROCESSOR_LEVEL : 6
[23] PROCESSOR_REVISION : 170a
[24] CLIENTNAME : Console
[25] ALLUSERSPROFILE : C:\Documents and Settings\All Users
[26] OS : Windows_NT
[27] HOMEDRIVE : C:
 
mwanalysis
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\Intel\DMIX
[01] TEMP : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : DELL-D3E62F7E26
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[08] windir : C:\WINDOWS
[09] TMP : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[10] USERPROFILE : C:\Dokumente und Einstellungen\Administrator
[11] ProgramFiles : C:\Programme
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Dokumente und Einstellungen\Administrator
[14] COMPUTERNAME : DELL-D3E62F7E26
[15] USERNAME : Administrator
[16] NUMBER_OF_PROCESSORS : 2
[17] PROCESSOR_IDENTIFIER : x86 Family 15 Model 2 Stepping 9, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\DELL-D3E62F7E26
[21] CommonProgramFiles : C:\Programme\Gemeinsame Dateien
[22] PROCESSOR_LEVEL : 15
[23] PROCESSOR_REVISION : 0209
[24] CLIENTNAME : Console
[25] PROMPT : $P$G
[26] ALLUSERSPROFILE : C:\Dokumente und Einstellungen\All Users
[27] OS : Windows_NT
[28] HOMEDRIVE : C:
 
anubis.iseclab
Переменные окружения:

[00] Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
[01] TEMP : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[02] SESSIONNAME : Console
[03] PATHEXT : .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
[04] USERDOMAIN : PC
[05] PROCESSOR_ARCHITECTURE : x86
[06] SystemDrive : C:
[07] APPDATA : C:\Documents and Settings\Administrator\Application Data
[08] windir : C:\WINDOWS
[09] TMP : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[10] USERPROFILE : C:\Documents and Settings\Administrator
[11] ProgramFiles : C:\Program Files
[12] FP_NO_HOST_CHECK : NO
[13] HOMEPATH : \Documents and Settings\Administrator
[14] COMPUTERNAME : PC
[15] USERNAME : Administrator
[16] NUMBER_OF_PROCESSORS : 1
[17] PROCESSOR_IDENTIFIER : x86 Family 6 Model 3 Stepping 3, GenuineIntel
[18] SystemRoot : C:\WINDOWS
[19] ComSpec : C:\WINDOWS\system32\cmd.exe
[20] LOGONSERVER : \\PC
[21] CommonProgramFiles : C:\Program Files\Common Files
[22] PROCESSOR_LEVEL : 6
[23] PROCESSOR_REVISION : 0303
[24] CLIENTNAME : Console
[25] ALLUSERSPROFILE : C:\Documents and Settings\All Users
[26] OS : Windows_NT
[27] HOMEDRIVE : C:
 
Lille more bit optimise #2.
Теперь сканирует call и jmp, можете добавить недостающие команды.

Размер: 95 байт.
INPUT: esp - address, where to return.
OUTPUT: eax: 1 - jmp found / 0 - nothng found.
ebx: addr of bad func.

Код: 
64A1300000008B400C8B400C8B40188945FC83C03C8B1883E83C5003C305800000008B48048B005B03C38945F8894DF48B40108B5DFC03C383380074118B18803BE87417803BE9741283C004EBEA6683780600740583C004EBE1C333C040C3
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх