Comment suivre l'activité des fichiers dans un système.  Dans ce didacticiel, nous voulons vous apprendre à tracer un fichier pour savoir s'il est complètement sûr. Pour compléter cette astuce et vous plonger dans la légitimité d'un fichier ou d'un processus suspect, vous pouvez, via des outils en ligne, retracer ses composants.

Grâce à ces sites, vous pouvez simuler virtuellement l'exécution d'un fichier suspect au sein d'un système et donc faire un rapport détaillé à ce sujet. Comprendre et interpréter tous les résultats de l'analyse nécessite une excellente compréhension du fonctionnement de Windows. Cependant, ces outils en ligne sont aussi accessibles aux curieux qu'ils souhaitent avoir un aperçu de l'action d'un exécutable, ainsi qu'à la personne avertie qui souhaite des informations plus détaillées.

Dans cette astuce, nous proposons de disséquer, à titre d'exemple, les résultats de l'analyse de fichiers pièce.exe sur le site d'Anubis, pour illustrer les différents domaines de recherche que ce site propose en ligne.

Comment suivre l'activité des fichiers avec des programmes

Exemple: analyse de résultat patch.exe

1) Résumé.

En haut du rapport, nous avons un bref résumé de l'analyse, avec un code couleur qui indique le degré de risque dans certains changements de système évalués par le site.

Ici, nous avons, dans l'ordre:

  • Modifier les paramètres de sécurité d'IE: Ce changement de système peut sérieusement affecter la sécurité de la navigation Web. Risque évalué: comprimé orange.
  • Modification et destruction du dossier.: L'exécutable modifie et détruit les dossiers non temporaires. Risque évalué: comprimé rouge.
  • Processus générés: L'exécutable crée des processus lors de son exécution. Risque évalué: comprimé jaune.
  • Activité d'inscription: L'exécutable lit et modifie les valeurs de registre. Vous pouvez également créer et surveiller des clés de registre. Risque évalué: comprimé jaune.

2) Analytique: La table des matières résume les actions énumérées du processus patch.exe, ainsi que les différents processus créés ou demandés lors de son exécution.

Dans notre exemple, la table des matières nous dit que course le fichier patch.exe a entraîné l'exécution de ces autres fichiers: evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exey cmd.exe.

3) Informations générales sur Anubis:

Dans cette partie, nous avons des informations générales sur le site, ici, dans l'ordre:

  • La durée requise pour l'analyse des fichiers.
  • Date et heure de création du rapport.
  • La raison donnée pour terminer l'analyse.
  • La version du programme utilisée par le site.

4) Activité réseau:

Cette partie du rapport nous renseigne sur les activités connectées au réseau, ici Anubis détecte les tentatives de connexion réseau sur le port 53.

5) Patch.exe

Voici les informations sur le dossier soumis pour analyse, dans l'ordre:

  • Motif de l'analyse: fichier envoyé pour analyse.
  • Nom du fichier: patche.exe
  • MD5: algorithme pour obtenir le Empreinte digitale unique et caractéristique d'une quantité fixe de données dans un fichier (fonction de hachage cryptographique).
  • SHA-1: Une autre fonction de hachage cryptographique.
  • Taille du fichier
  • Ligne de commande
  • Statut du fichier à la fin de la simulation: ici signifie que le fichier ne sera plus actif une fois l'analyse terminée.
  • Code renvoyé à la fin de l'analyse.


6) Chargement de Dynamic Link - Temps de chargement des DLL
:

Ici, le rapport nous indique comment appeler les fonctions des fichiers system.dll qui seront nécessaires au fonctionnement du virus, en appelant les fonctions effectuées lors de la compilation du code du virus.

7) Exécution de lien dynamique - DLL d'exécution:

A ce niveau, le rapport nous renseigne sur l'importation des fonctions du fichier .dll par l'exécutable, autres fonctions dont il aura besoin pour son fonctionnement.

8) Ikarus intégré Anubis antivirus Module de numérisation:

Ici nous avons le résultat de scan de virus intégré au site Web d'Anubis.

 

9) 2.a- Patch.exe - Activités d'enregistrement :

Registre a changé les valeurs :

Ici, le rapport parle des modifications apportées par le virus dans le registre du système. À ce niveau, vous aurez besoin d'une compréhension approfondie du fonctionnement du registre système pour comprendre et distinguer entre une clé ajoutée par le virus ou une clé modifiée pour modifier les paramètres de sécurité du système, par exemple.

Clés de registre lues- Ici, le rapport indique les valeurs clés lues par le virus.

Clés de registre surveillées: aCeci répertorie toutes les clés de registre, ou valeurs, surveillées en temps réel par le virus.

10) 2.b- patch.exe - Activité des fichiers

Fichiers créés: visible ici dans les fichiers temporaires de Internet.

Fichiers lus: nous avons ici la liste des fichiers où le virus a exécuté ou lu le contenu, c'est-à-dire où nous trouverons autant de fichiers sains que de fichiers relatifs nécessaires au processus d'infection.

Fichiers modifiés: Dans cette partie, nous avons des fichiers téléchargés par l'infection, que nous retrouvons ici dans des fichiers Internet temporaires, d'où le mot «fichiers modifiés» à partir de fichiers temporaires.

Voici trois modules qui nous informent des autres fichiers ou pilotes demandés par le virus pendant leur exécution.

11) 2.c) patch.exe - Activités du processus :

Processus créés - Les fichiers créés ou demandés par le fichier patch.exe seront listés ici.

Le rapport fournit des informations supplémentaires sur les actions des fichiers créés ou utilisés par patch.exe.

12) 2.d) patch.exe - Activité réseau:

Dans cette partie, le rapport répertorie tous les noms de domaine (contenu dans le code du virus) testé. Si tel est le cas, le serveur DNS convertira ces noms de domaine en adresses IP, que le rapport mentionnera.

Connexion HTTP: ici, le virus vérifie si les pages auxquelles il tentera de se connecter existent. Si les pages existent et que la connexion a été établie avec succès, le virus peut alors commencer "silencieusement" à en télécharger de nouvelles. fichiers infectés à l'insu de l'utilisateur.

Trafic TCP et tentatives de connexion TCP inconnus: Après avoir mis en évidence un échange de données (ici files.exe) avec le réseau externe, Anubis résume les tentatives de connexion TCP sortantes sur le port 80.

13) 2.e) Patch.exe - Autres activités:

Mutex (exclusions mutuelles) créés: Vous trouverez ci-dessous la liste des "mutex" créés par le virus pour "réguler" son activité et empêcher plusieurs de ses actions de s'exécuter en même temps, ce qui pourrait affecter son "bon fonctionnement" ou même un "crash". "du système.

Cette partie est le résumé de la gestion des exceptions, c'est-à-dire de événements les événements inattendus ou ceux qui pourraient altérer le développement normal d'un processus.

14) 3.Evbmy.exe : Nous allons maintenant passer à la deuxième partie du rapport, qui nous renseignera sur les activités des fichiers créés par le fichier patch.exe, également scannés.

Ici nous trouvons des informations générales sur le fichier evbmy.exe :

  • Motif de l'analyse : Processus démarré par le fichier patch.exe
  • Nom du fichier: evbmy.exe
  • Statut du fichier à la fin de la simulation: ici Cela signifie que le processus est toujours en cours à la fin de l'analyse.
  • Code retourné à la fin de l'analyse.

Tudo encore! Anubis fournira ensuite des informations sur les fichiers secondaires en fonction des mêmes critères que l'analyse.

Limites de ces outils en ligne.

Ces outils en ligne, tout en fournissant des informations précieuses sur les actions d'un fichier, ne sont malheureusement pas parfaits et peuvent être totalement inefficaces sur certains fichiers infectés qui font l'objet d'analyses. En fait, certains fichiers «immunisés» peuvent déterminer s'ils s'exécutent dans un environnement virtuel ou s'ils ont été analysés, auquel cas le rapport ne fournira aucune information pertinente.

Le compte-gouttes Virut illustre un exemple de fichier capable de contrer ce type d'analyse.