Phân tích hành động của Malware với Joebox Online Sandbox

Quản Trị Mạng - Chắc hẳn mọi người đã biết đến những dịch vụ quét virus trực tuyến khá thông dụng, phổ biến và được nhiều người biết đến như VirusTotal, với chức năng quét bằng hơn 40 chương trình diệt virus hàng đầu hiện nay, mục đích chính là phân tích hành động chính của file khi được kích hoạt trên máy tính. Bên cạnh đó là những cỗ máy quét virus trực tuyến rất đáng tin cậy khác như: ThreatExpert, CWSandbox, Anubis, Sunbelt Sandbox, Norman Sandbox và Comodo Instant Malware Analysis.

Trong bài viết này, tác giả sẽ đề cập đến một tiện ích trực tuyến khác là Joebox. Bắt đầu chính thức đi vào hoạt động từ năm 2008, trải qua 3 năm phát triển và nâng cấp không ngừng, Joebox đã nhận được sự hưởng ứng và đóng góp và hưởng ứng tích cực của cộng đồng. Mới đây ngày 14/03/2010, Joebox đã nâng cấp lên phiên bản mới nhất 1.5.5 với nhiều sự thay đổi đáng chú ý: sửa lỗi khi thao tác với những trang HTML lớn, thêm chức năng đọc, viết các file thay đổi, chuỗi truy vấn giá trị chính tại các phần có sự thay đổi, tăng khả năng thiết kế HTML và cố định các lỗi cập nhật trên hệ thống máy chủ khi làm việc với các yêu cầu từ phía client.

Một trong những điểm nổi bật của Joebox là người sử dụng có thể tùy chọn các phiên bản Windows để phân tích hành động của Malware. Ở chế độ mặc định, Joebox sẽ cho phép thực thi các chương trình Malware đó trên môi trường Microsoft Windows XP SP3, nhưng người sử dụng có thể lựa chọn tùy ý với 2 phiên bản khác là Vista SP2 và Windows 7 cùng thời điểm. Bên cạnh đó, bạn có thể tích vào mục “Get network data - PCAP” và mở bằng ứng dụng Wireshark để phân tích luồng lưu lượng, dữ liệu thu thập được.

Bạn cần điền chính xác địa chỉ email vào ô “e-Mail” bởi vì toàn bộ kết quả và quá trình quét sẽ được gửi về địa chỉ email đó. Bản báo cáo sẽ được gửi dưới dạng file HTML, và có thể rất khó hiểu đối với những người ít kinh nghiệm trong lĩnh vực bảo mật.

Có thể nhiều người sẽ băn khoăn về các bản báo cáo của Joebox khó hiểu hơn so với các cỗ máy trực tuyến khác? Một trong những điểm nổi bật và đặc trưng của Joebox là khả năng nhận diện được phần mềm Malware tự trang bị chức năng chống phân tích hành động (un-analyzable) mới nhất hiện nay mà các dịch vụ khác chưa có. Từ vị thế được ít người biết đến, Joebox đã trở thành 1 trong những tên tuổi đáng tin cậy trong lĩnh vực bảo mật và phân tích hành động của các phần mềm độc hại hiện nay.

Chú ý rằng bạn chỉ nên tải file *.exe chứ không phải các định dạng khác như ZIP, RAR, 7z… Tuy nhiên, nếu người sử dụng sợ xảy ra nguy cơ vô tình kích hoạt phần mềm Malware đó trên máy tính cá nhân, bạn có thể đăng tải trực tiếp mà không cần để ý tới phần đuôi mở rộng, Joebox sẽ tự động nhận dạng đó là file thực thi câu lệnh (*.exe), mặc dù chúng có thể ngụy trang dưới dạng *.exe, *.dll, *.sys, *.doc, *.pdf…

Thứ Năm, 18/03/2010 15:46
31 👨 840
0 Bình luận
Sắp xếp theo