我有一个可能是病毒的文件。我想以某种形式的沙盒环境执行该文件,并跟踪它试图修改的文件或基本上它试图做的任何事情。我需要哪些软件工具和知识才能做到这一点?
我的系统是windows 7。
问问题
165 次
3 回答
4
我将尝试在编程环境中将其视为逆向工程。以下是您可以做的一些事情:
- 了解使用 Microsoft SDK 中的 depends.exe 将调用哪些 API。您还可以看到它所指的符号。
- 使用http://www.sysinternals.com中的procexp.exe / tcpview.exe / filemon.exe / regmon查看进程在运行时的活动。
- 使用 Microsoft 的 WinDbg 调试器执行它,以了解发生了什么。
当然,你可以走得更远。正如 Zyphrax 在他的回答中所建议的那样,假设代码很危险,您最好在某种形式的虚拟机中执行此操作。
于 2010-02-13T22:35:53.763 回答
1
您可以使用 Microsoft Virtual PC 或 VMWare 工作站/播放器设置虚拟机。
这应该可以防止对您的机器/系统造成任何伤害。
要查看病毒的行为,您可以监控您的注册表/文件系统更改和网络活动。使用 Google 很容易找到这些应用程序:sysinternals 有一些免费的。
于 2010-02-13T22:28:17.413 回答