黑帽联盟

标题: 文件安全分析工具 [打印本页]
作者: 权利的游戏    时间: 2017-8-10 00:32
标题: 文件安全分析工具
      介绍说明

特别声明:推荐在虚拟机环境下使用,支持Windows 7及以上系统(32/64位),仅适用于32位可执行文件;如果个别C#程序采取了AnyCPU(64位系统优先)启动方式,请将该程序放置32位系统下运行;收到少数用户反馈,添加文件运行后会直接奔溃退出,具体表现为显示“行为记录成功开启”后四秒就出现“行为记录到此为止”,我在Win7 32位+64位、Win8.1 32位、Win10 64位下测试均没有发现问题,全部测试均使用微软原装镜像(系统未激活),又找了两个用户在Win10 64位下测试,也没有发现问题,可能受当前系统环境影响

什么是File_Analysis?File_Analysis的亮点在哪?
       File_Analysis是一款出色的行为分析工具,不仅能够记录行为,还能使程序在安全环境下运行;在文件方面,构建一个简单的安全环境,会在File_Analysis同目录下创建一个名为“File_safe”的安全文件夹,可以理解为文件安全释放环境,会自动生成程序行为日志存放于此,包括母体释放的文件都会被存放在这里,不会写出实际环境,也可以随时获取子样本,删除文件也一样,仅仅只是删除安全环境下的文件,不会对实际环境造成任何影响

File_Analysis是沙盒(箱)吗?运行中的程序报错奔溃是怎么回事?
       首先File_Analysis并不能算是完整意义上的沙盒,因为只有文件方面构建了安全环境,当然其他方面也可以进行构建,如果是构建一个真正的沙盒(箱)环境,那么工程量太大了,所以目前只做了文件方面的,其他方面则使用了修改命令返回值的方式,同样不会影响实际环境,只是这种方式比较简单,难免不会出错;对于程序可能运行出现中途报错奔溃的情况,主要是因为规则还没有完善和程序自身的逻辑判断导致的;因为并不是简单的拦截阻止行为操作,而且拦截后修改命令返回值,造成一种成功的假象欺骗程序执行下一步操作

File_Analysis是否安全?支持显示哪些行为?
       File_Analysis默认阻止驱动加载,保证了运行中的程序安全可控,“漏沙”的可能性非常低,就算“漏沙”了,也不会造成多大影响,因为针对关键行为都有防护,可以说重启了发现还是原样;除了能显示进程、文件、注册表等基础行为外,还可以显示驱动操作、网络操作、进程注入操作、全局钩子行为等等

File_Analysis是免费的吗?需要修改系统某些位置才能用?
       在收费和免费两种方式上思考了很久,毕竟产品还不成熟,需要不断进行完善,所以目前打算做免费的;首先在这里向大家承诺这是一款纯净的安全工具,不会修改除同目录下的其他任意位置,双击主程序就可以直接使用

File_Analysis的更新及反馈说明
       目前没有发现“漏沙”情况,如果有发现请及时反馈有助于完善产品;一款好的工具离不开大家的共同努力!

第一步添加文件
29.png


第二步选择文件
30.png


第三步分析文件
32.png


第四步查看分析日志
31.png


另外:
1.白加黑木马,需要将黑DLL手动移动到File_safe文件夹下面来达到运行条件,因为程序会在File_safe文件夹下启动,而不是原始目录;也就是源文件需要什么其他运行必备文件,就手动移动到File_safe文件夹下

2.现在的敲竹杠除了修改系统开机密码之外,还会修改MBR来进行敲诈,虽然没有进行演示,但不用担心,也是可以拦截到的

3.还有就是现在最火的勒索软件,这就更不用担心了,由于构建了一个安全的文件环境,加密的文件全都会被存放在安全环境下,源文件会被安全保护着



工具安全分析工具: File_Analysis 2.5.zip (3.28 MB, 下载次数: 1)
作者: feihu    时间: 2017-8-10 07:32
我看到了net user,哈哈哈
作者: huangjia    时间: 2017-8-13 13:20
我一直用的360,哈哈
作者: qq48890466    时间: 2019-10-27 12:07
解压密码是啥



欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5