【第二波干货行为分析工具】File_Analysis2.8【回帖奖CB先到先得】
本帖最后由 山顶的一棵草 于 2018-4-5 11:43 编辑为了避免非零基础人群感到身体不适、头晕恶心、易怒及粗口,请不要查看以下内容
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑
介绍说明
特别声明:推荐在虚拟机环境下使用,支持Windows 7及以上系统(32/64位),仅适用于32位可执行文件;如果个别C#程序采取了AnyCPU(64位系统优先)启动方式,请将该程序放置32位系统下运行;收到少数用户反馈,添加文件运行后会直接奔溃退出,具体表现为显示“行为记录成功开启”后四秒就出现“行为记录到此为止”,我在Win7 32位+64位、Win8.1 32位、Win10 64位下测试均没有发现问题,全部测试均使用微软原装镜像(系统未激活),又找了两个用户在Win10 64位下测试,也没有发现问题,可能受当前系统环境影响
什么是File_Analysis?File_Analysis的亮点在哪?
File_Analysis是一款出色的行为分析工具,不仅能够记录行为,还能使程序在安全环境下运行;在文件方面,构建一个简单的安全环境,会在File_Analysis同目录下创建一个名为“File_safe”的安全文件夹,可以理解为文件安全释放环境,会自动生成程序行为日志存放于此,包括母体释放的文件都会被存放在这里,不会写出实际环境,也可以随时获取子样本,删除文件也一样,仅仅只是删除安全环境下的文件,不会对实际环境造成任何影响
File_Analysis是沙盒(箱)吗?运行中的程序报错奔溃是怎么回事?
首先File_Analysis并不能算是完整意义上的沙盒,因为只有文件方面构建了安全环境,当然其他方面也可以进行构建,如果是构建一个真正的沙盒(箱)环境,那么工程量太大了,所以目前只做了文件方面的,其他方面则使用了修改命令返回值的方式,同样不会影响实际环境,只是这种方式比较简单,难免不会出错;对于程序可能运行出现中途报错奔溃的情况,主要是因为规则还没有完善和程序自身的逻辑判断导致的;因为并不是简单的拦截阻止行为操作,而且拦截后修改命令返回值,造成一种成功的假象欺骗程序执行下一步操作
File_Analysis是否安全?支持显示哪些行为?
File_Analysis默认阻止驱动加载,保证了运行中的程序安全可控,“漏沙”的可能性非常低,就算“漏沙”了,也不会造成多大影响,因为针对关键行为都有防护,可以说重启了发现还是原样;除了能显示进程、文件、注册表等基础行为外,还可以显示驱动操作、网络操作、进程注入操作、全局钩子行为等等
File_Analysis是免费的吗?需要修改系统某些位置才能用?
在收费和免费两种方式上思考了很久,毕竟产品还不成熟,需要不断进行完善,所以目前打算做免费的;首先在这里向大家承诺这是一款纯净的安全工具,不会修改除同目录下的其他任意位置,双击主程序就可以直接使用
File_Analysis的更新及反馈说明
目前没有发现“漏沙”情况,如果有发现请及时反馈有助于完善产品;一款好的工具离不开大家的共同努力!
—————————————————————————————————————————————————
演示教程
第一步:添加可执行文件运行
第二步:选择文件(默认过滤.exe扩展名以外的文件;如果文件名为其他扩展名,可选择显示所有文件)
第三步:启动后用鼠标点击想要显示行为的进程,会自动显示其行为记录
第四步:成功显示此样本的修改系统密码的行为
第五步:显示样本已经执行完毕退出,这时候需要结束进程
—————————————————————————————————————————————————
还有一些话
1.白加黑木马,需要将黑DLL手动移动到File_safe文件夹下面来达到运行条件,因为程序会在File_safe文件夹下启动,而不是原始目录;也就是源文件需要什么其他运行必备文件,就手动移动到File_safe文件夹下
2.现在的敲竹杠除了修改系统开机密码之外,还会修改MBR来进行敲诈,虽然没有进行演示,但不用担心,也是可以拦截到的
3.还有就是现在最火的勒索软件,这就更不用担心了,由于构建了一个安全的文件环境,加密的文件全都会被存放在安全环境下,源文件会被安全保护着
解压密码:52pojie
福利三要素:不隐藏,不收费,实时更新!
更新日志:
主程序 2.5.0.0 版本更新内容
1.取消样本分享平台(取消样本上传功能),改为在线云库,仅供下载
2.修复多个文件同时运行而导致的运行日志显示BUG
3.增加自动更新功能
4.部分内容重写
File_safe.dll1.3.0.0 拦截规则版本更新说明
1.FD_safe.dll 更名为 File_safe.dll
2.网络操作增加微软端口漏洞拦截规则
3.文件操作增加局域网共享文件拦截规则
4.增加更多分析范围
5.修复了Win10无法拦截进程创建的BUG
5.规则进一步完善
你的支持,就是我最大的动力。。只求能好好评分。
你评分一下只要两秒钟,为什么不能给我点动力呢?有了动力才能分享更多干货给你们。 支持楼主! 只听说哟cb,赶紧来!! 支持你,还有那些行为是自动阻止的吗? 感谢分享,支持 我来来回复了{:1_929:} 感谢分享,支持 好东西,可惜不会用。。 支持,感谢 好像不错,谢谢。。