动态分析技术
沙箱
Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。
逃逸技术请看这里 沙箱逃逸
运行恶意代码
dll运行: rundll32.exe DLLName, Export Arguments
dll入口函数 DLLMain
rundll32.exe rip.dll, Install #Install为 rip.dll 的一个函数
rundll32.exe rip.dll, #5 #rip.dll 导出函数没有名称
1.rundll32.exe irp.dll, Install ServiceName
2.net start ServiceName #将Install作为服务启动
进程监视器(Process Monitor)
提供监视 注册表,文件系统, 网络, 进程, 线程 功能