Hallo Community,

ich habe eine Datei erhalten, bei der ich gerne herausfinden möchte, was diese tut.
Von außen kann ich es ihr leider nicht ansehen.
Ich könnte sie in einer VM testen und die Images vorher und nachher vergleichen, aber das währe mir für mehrere Dateien zu umständlich.

Ist es möglich die Anfragen/Datenströme dieser Datei abzufangen und zu protokollieren?

Ich hatte in die Richtung gedacht, die Datei innerhalb eines Programms zu starten. Doch wie kann ich das umsetzen?

Ich hoffe ihr könnt mir da weiterhelfen.
Gruß

Würden auch die Informationen des Process Explorers genügen?

Zitat von merovinger:

ich habe eine Datei erhalten, bei der ich gerne herausfinden möchte, was diese tut.

Was vermutest du das die datei macht?
Vermutest du Virus/Wurm (also ist es ein Executable) oder willst du wissen was der Inhalt dieser Datei ist?

Zitat von Bernhard Geyer:

Vermutest du Virus/Wurm (also ist es ein Executable) oder willst du wissen was der Inhalt dieser Datei ist?

Es ist eine Executable (PE-Format)

Zitat:

Würden auch die Informationen des Process Explorers genügen?

Da die Informationen sehr umfangreich sind werde ich ein wenig brauchen, um die Informationen begreifen.

Der Process Explorer ist noch nicht wirklich sehr umfangreich, evtl. meinte DeddyH den Process Monitor? Und auch das ist noch nicht wirklich viel...

Cuckoo, oder Anubis als fertiger Dienst, bieten sich evtl. eher an, bieten mehr wichtige Infos, brauchen natürlich noch mehr wissen um interpretiert zu werden.

Das kannst die Exe auch in einer Sandbox starten.
Der Vorteil ist, dass das Programm mit ~99,9% Geschwindigkeit läuft und nachdem das Programm gelaufen ist kann man ganz bequem nachschauen, welche Dateien und Registryeinträge das Programm angelegt hat.

Häufig gibt es ja Programme (Tools), die nur aus einer Exe und einer Readme-Datei bestehen; aber man ist gezwungen ein Installationprogramm laufen zu lassen.
Also lasse ich das Installationprogramm in einer Sandbox laufen und kann dann die Exe + Readme kopieren und so ohne Installation benützen.

Da merowinger an Malware-Analyse interessiert zu sein scheint, halte ich diese Empfehlung für extrem gefährlich! Manche Malware-Samples brechen sogar aus virtuellen Maschinen aus,da bezweifle ich, dass Sandboxie dicht genug für ist...

Zitat von CCRDude:

Da merowinger an Malware-Analyse interessiert zu sein scheint...

Na das muss er dazu sagen.
Dann kommt nur eine VM in Frage.
Oder auch eine Sandbox innerhalb der VM weil man über die Sandbox relativ leicht sehen kann welche Dateien und Registrykeys angelegt wurden.
Sandboxie schlägt normalerweise auch an, wenn Dienste und/oder Systemtreiber installiert werden.
Ein kleverer Virus kann die Sandbox überwinden, aber dadurch dass der Virus innerhalb der Sandbox läuft beommt man mehr Infos über sein Verhalten.

Zitat von sx2008:

Ein kleverer Virus kann die Sandbox überwinden, aber dadurch dass der Virus innerhalb der Sandbox läuft beommt man mehr Infos über sein Verhalten.

Oder er erkennt die Sandbox/VM und macht: nichts
Aber einen Versuch ist es vielleicht wert.