Гибридный анализ: анализ файлов Windows в изолированной программной среде браузера

Каждый раз, когда я нахожу новую программу для обзора здесь, на этом сайте, я сначала провожу ее через серию тестов безопасности, чтобы убедиться, что она не является вредоносной или проблематичной в других отношениях.

Такие услуги, как Virustotal незаменимы для этого, поскольку они сканируют эти файлы с помощью десятков различных антивирусных движков. Хотя это также увеличивает вероятность ложных срабатываний, результаты полезны в большинстве случаев, особенно если служба не возвращает совпадений.

Если результаты неясны, я запускаю дополнительные тесты, чтобы узнать больше о программе, прежде чем запускать ее в локальной системе.

Hybrid Analysis by Payload Security — это бесплатная служба анализа вредоносных программ, запускающая файлы, которые вы загружаете в нее, в виртуальной среде песочницы.

Сервис поддерживает только некоторые типы файлов. Поддерживаются форматы PE (Portable Executable), такие как exe, com или dll, основные форматы документов Microsoft Office, такие как docx, xlsx или pptx, и файлы jar Java. Кроме того, Payload Security поддерживает распространенные форматы архивов, такие как 7z, zip или gzip2.

Информация о поддерживаемых типах файлов не указана на странице загрузки, и служба не сразу выдает сообщение об ошибке, когда вы выбираете неподдерживаемый файл для проверки.

безопасность полезной нагрузки

После того, как вы выбрали файл в локальной системе, вам будет предложено ввести капчу и выбрать среду анализа, которую вы хотите использовать.

Payload Security предоставляет четыре различных среды Windows:

  1. 64-битная Windows 7 на немецком языке.
  2. Windows 7 32-битный английский.
  3. Windows 8.1 32-битный английский.
  4. 32-разрядный скрытый режим Windows 7.

Вы можете добавить адрес электронной почты для уведомлений, так как обработка выбранного файла может занять некоторое время. Однако это необязательно, и если вы оставляете окно сканирования открытым, результаты отображаются в нем сразу после завершения сканирования.

Анализ обширен, и на его выполнение потребуется время. Гибридный анализ отображает общий рейтинг угрозы, который может оказаться полезным.

Страница результатов разделена на несколько частей. Он начинается с оценки угроз, в которой перечислены потенциально вредоносные, подозрительные и информативные варианты поведения.

Например, вредоносное поведение может указывать на отключение системного драйвера или вызовов собственных функций. Отображается подробная информация для каждого поведения со списком имен файлов и источников.

Интересно то, что вы можете искать отчеты, соответствующие одной и той же подписи. Если вы это сделаете, отобразится список ранее отсканированных файлов, который может помочь вам в анализе.

После этого отображаются подробные сведения о файле, включая различные хэши, классификацию, информацию о версии и информацию о разработчике.

Еще одна интересная часть анализа — это временная шкала скриншотов, которая отображает различные этапы выполнения. Если вы, например, добавляете файл установки, все шаги установки отображаются в виде снимков экрана на странице результатов.

Также подсвечивается сетевой трафик, то есть запросы, сделанные программой. Служба разделяет информацию на DNS-запросы, узлы с контактами и HTTP-запросы. Предоставленная информация может быть полезна по-разному. Например, вы можете заблокировать хосты или сайты перед запуском программы в вашей системе или просто убедиться, что соединения являются законными.

гибридный анализ

Гибридный анализ перечисляет первые десять файлов, которые были отброшены во время выполнения, например временные файлы и строки, найденные в файле программы.

Такая информация, как строки, файлы сетевого захвата в формате PCAP и отчет HTML, могут быть загружены в локальную систему для дальнейшего анализа или сохранения.

Ссылка на Virustotal находится на странице, где перечислены результаты сканирования файла на сайте. Полезно, так как кажется, что сканирование запускается во время анализа на веб-сайте Payload Security.

Поиск на странице службы поддерживает хеш-значения, которые вы можете ввести для поиска прошлых отчетов. В некоторых случаях может быть интересно то, что вы также можете искать IP-адреса, имена хостов или подписи.

Вердикт

Гибридный анализ — это расширенный инструмент безопасности, который предоставляет подробную информацию о поддерживаемых файлах, которые вы загружаете в службу.

Хотя для понимания сложных частей анализа требуется более глубокое понимание Windows и программного кода, некоторые из его функций полезны для всех пользователей Windows.

Это включает в себя скриншоты выполнения, информацию о сетевом трафике или общую оценку угрозы файла.