Запустите файл в изолированной среде и отследите его

Question

У меня есть файл, который может быть вирусом. Я хотел бы выполнить файл в некоторой форме изолированной среды и отследить, какие файлы он пытается изменить, или в основном все, что он пытается сделать. Какие программные инструменты и знания мне нужны для этого?

Моя система - Windows 7.

Answer 1

Я попытаюсь увидеть это в контексте программирования как реверс-инжиниринг. Вот некоторые вещи, которые вы могли бы сделать:

• Получите представление о том, какие API-интерфейсы он будет вызывать с использованием зависящего от.exe файла Microsoft SDK. Вы также сможете увидеть, к каким символам это относится.
• используйте procxp.exe / tcpview.exe / filemon.exe / regmon из http://www.sysinternals.com, чтобы увидеть активность процесса во время выполнения.
• Запустите его с помощью отладчика WinDbg от Microsoft, чтобы также выяснить, что происходит.

Вы могли бы, конечно, пойти дальше. Как предполагает Zyphrax в своем ответе, вам лучше всего делать это в какой-либо форме виртуальной машины при условии, что код опасен.

Answer 2

Вы можете настроить виртуальную машину с помощью Microsoft Virtual PC или рабочей станции / плеера VMWare.
Это должно предотвратить любой вред вашей машине / системе.

Чтобы увидеть действия вируса, вы можете отслеживать изменения реестра / файловой системы и сетевую активность. Эти приложения легко найти в Google: у sysinternals есть несколько бесплатных приложений.

Answer 3

Несколько опций, которые обеспечивают «изолированную» среду. (Это был правильный вопрос? Нет, если бы вы могли запустить его на виртуальной машине).

• Зеровин (бесплатно)
• cwsandbox
• Норман Песочница