23、网络安全与恶意软件分析:从CWSandbox到情报收集
网络安全与恶意软件分析:从CWSandbox到情报收集
1. CWSandbox的功能及应用
CWSandbox是用于Windows可执行文件自动行为分析的工具。它在恶意软件研究中发挥着重要作用,以下是其具体的工作流程:
1.启动进程:初始恶意软件进程由启动应用程序cwsandbox.exe创建。
2.注入DLL:Cwmonitor.dll被注入到每个受监控的进程中。
3.安装API钩子:该DLL为Windows API的所有重要函数安装API钩子。
4.监控新进程:如果恶意软件启动新进程或感染现有进程,这些进程也会被监控。
5.终止进程:在可定制的时间后,所有受监控的进程被终止。
6.生成报告:生成所有监控操作的高级摘要分析报告。
7.网络流量分析:检查网络流量,识别重要的Web协议(如HTTP、FTP、IRC等),并报告所有相关的协议数据(如用户名、密码等)。
此外,CWSandbox还可以集成到自动化恶意软件分析的更大流程中,例如Automated Analysis Suite(AAS)。AAS使用数据库存储恶意软件样本和分析报告,集成了蜜罐工具Nepenthes进行自动恶意软件收集,还可以通过基于PHP的Web界面提交恶意软件进行分析。
使用CWS