20、利用沙箱工具分析僵尸网络恶意软件

利用沙箱工具分析僵尸网络恶意软件

1. 引言

获取僵尸网络及相关僵尸程序信息的方法有多种，其中一种有效的方式是在沙箱环境中执行这些软件，以分析其内部机制、通信方法和基础设施。

沙箱在计算机安全领域是一个常见概念，用于执行来自未经验证或不可信源的程序代码。它提供了一个受监控和控制的环境，确保未知软件不会对真实的主机系统造成损害。实现方式可以是阻止某些关键操作，同时允许并监控其他操作；也可以创建一个完整的虚拟环境，模拟处理器、内存和文件系统，使测试应用无法访问真实系统。在恶意软件分析中，沙箱的主要目的通常不是阻止对系统资源的访问，而是监控这些访问。一般会使用虚拟机或其他机制，以便在分析运行后将系统恢复到干净、未受感染的初始状态。这种分析方式被称为行为分析，与借助反汇编器或调试器检查程序指令的代码分析相对。

有几款软件工具可通过在沙箱中执行样本进行行为分析，监控操作并生成分析报告：
-Norman SandBox：由挪威的数据安全公司Norman ASA开发，模拟整个计算机系统和连接的网络。相关实现细节和底层技术可在该公司的沙箱白皮书中找到。其在线实时版本为 http://sandbox.norman.no/live.html ，用户可提交恶意软件样本并通过电子邮件获取分析报告。
-TTAnalyze：由Ikarus Software GmbH的Ulrich Bayer与维也纳工业大学合作开发。它使用PC模拟器QEMU运行完整的Windows操作系统，在