79
2.
File Activity бўлими.
Бу бўлимда ЗД томонидан ўчирилган, очилган, яратилган
ва фойдаланилган барча файллар рўйхати келтирилади;
3.
Created Mutexes бўлими
. Бу бўлимда ЗД томонидан
яратилган ресурслар
рўйхати келтирилади;
4.
Registry Activity бўлими.
Бу бўлимда регисторда мавжуд бўлган ўзгаришлар
келтирилади;
5.
Network Activity бўлими.
Бу бўлимда ЗД томонидан тармоқдан фойдаланиш
даражаси ва ҳолати келтирилади;
6.
VirusTotal Results бўлими.
Бу бўлимда ЗД VirusTotal орқали сканерлаш
натижаси келтирилади.
Sandbox камчиликлари.
Кўплаб Sandbox дастурий
воситалари бин нечта
катта камчиликларга эга. Масалан, Sandboxларда ЗД фақат юклаш орқали
таҳлилланади (буйруқлар сатрида буни амалга ошириш имокнияти мавжуд эмас).
Агар ЗД буйруқлар сатридан юкланишни сўраса бу ҳолда Sandbox дастурлар бу
ЗД юклай олмайди.
Бундан ташқари қуйидаги камчиликлар кузатилади:
–
ЗД тез
-
тез вертуал машина юкланганини аниқлайди ва бу ҳолда ЗД
юкланишдан ўзини тўхтатиши ёки ўзини бошқача тутиши мумкин. Бу барча
Sandboxлар учун мос эмас;
–
баъзи ЗД юкланишда ОТ махсус файл ва регистор
маълумотларини талаб
этади. Бу маълумотлар ўз навбатида Sandboxда мавжуд бўлмайди;
–
агар ЗДлар
dll
файл кенгайтмасида бўлса, улар юкланувчи ЗДлар (.exe
кенгайтмали) дек тўлиқ Sandboxга юкланмайди;
–
Sandbox муҳити ЗД учун мос бўлмаслиги мумкин. Масалан, Windows XP га мос
бўлган ЗД, Windows 7 учун мос бўлмаслиги мумкин;
–
Sandboxлар ЗД ларни вазифасини аниқласада, аслида нима қилаётганинини
айтмайди.
ЗД юклаш (running malware).
Содда динамик таҳлиллаш технологиялари ЗД
юкланмаган ҳолда уларни таҳлиллай олишмайди. ЗДларнинг аксарияти
.exe
ва
.dll
файл кенгайтмаларида бўлишларини ҳисобга олиб, қуйида бу икки турдаги
файлларни юклаш усулларини қараб чиқилади.
.exe
кенгайтмали файл
юкланишга осон бўлиб, одатда сичқонча тугмачасини икки марта босиш орқали
ёки буйруқлар сатридан фойдаланган ҳолда юкланади.
.dll
кенгайтмали файллар нисбатан хийлакор бўлиб,
windows OT буни
қандақҳй
қилиб автоматик юклашни билмайди.
Барча турдаги замонавий Windows OTлари
rundll32.exe
файлига эга бўлиб,
бу файл ўзида
DLL
ларни юклаш имкониятини сақлайди. Ушбу файл орқали ЗД
юклаш тартиби қуйидагича:
C:\>rundll32.exe DLLname, Export arguments
80
Бу ерда
Export
қиймати
олинган
DLL
файл ичидан експорт қилиниши керак
бўлган функция номи. Статик таҳлиллаш усулида фойдаланилган дастурий
воситалар PEview ёки PE Explorer орқали
DLL
файл
ичидаги функция номи
аниқланади. Масалан,
rip.dll
деб номланувчи файл ўзида
Install
ва
Uninstall
деб
номланувчи функцияларни олади. Бу ҳолда юқоридаги тартиб қуйидагича
бўлиши мумкин:
C:\>rundll32.exe rip.dll, Install
Баъзи ҳолларда DLL шаклидаги ЗДлар хизмат каби ўрнатилишни талаб
этади.
C:\>rundll32 ipr32x.dll,InstallService ServiceName
C:\>net start ServiceName
Бу
ердаги
ServiceName
DLL файл таркибидан олинади. net start буйруғи эса
хизматни Windows OT амалга ошириш учун керак бўлади.
Do'stlaringiz bilan baham: