Как проверить вредоносный файл?

Question

[roxyroxy]

Доброго времени суток!
Есть вредоносный файл (VirusTotal по крайней мере выдает почти 10/10 по анализу). Также есть желание проследить за всеми "телодвижениями" в системе после его запуска. Хотелось бы узнать, что необходимо для таких манипуляций? И как это осуществить.
К примеру, разобрался я и установил виртуальную машину, запустил "вирус", а дальше что? Как просмотреть какие области затрагивает он, может пакеты отправляет или пароли/другие данные? Из подобного софта я пользовался только Fiddler'ом, может есть более узкоспециализированные утилиты?

В общем, подскажите, в каком направлении двигаться. Заранее спасибо за помощь!

Answer 1

[Владимир Коротенко]

IDA для понимания что он хочет и как работает
wireshark для анализа сетевой активности
felemon для анализа дисковой активности
утилиты для снятия хэшей с файлов, что бы понимать где и что изменилось

Comments

[roxyroxy]

Точно, а про wireshark я совсем забыл! Спасибо.

[Ternick]

1) FileMon
2) Трафик может быть зашифрован, если это какой-то ратник или стиллер.
3) Так можно до старости сверять хеши файлов и по таким гаданиям на кофейной гуще проверять изменился ли файл.

Answer 2

[Ternick]

Есть антиивирусные песочницы которые перехватывают абсолютно все телодвижения программы и показывают их.
Как пример *ТЫК*. На сколько помню, для авторизованных пользователей на VT доступен граф, на котором есть телодвижения вируса.
Но 100% гарантии нет, вирус может распознать песочницу, даже очень продвинутую.
Минус в том, что такие песочницы могут выводить не всю информацию (бесплатные), а платные имеют огромную стоимость.