今天就来介绍下文件情报的分析，以及分析文件必用的沙箱为何物？

一、什么是沙箱

小时候玩沙子，一沙一世界，操盘我的虚拟天地。沙箱，就像我的虚拟世界。

 

沙箱：是桌面运行环境的虚拟镜像系统，用来深度检测可疑文件。当对未知的可疑文件分析时，有时我们需要实际运行它，并记录他的一切行为，进而对其进行分析，就需要用到沙箱。

二、沙箱的特点

 

（1）沙箱是桌面运行环境的虚拟镜像系统，包括：配置、驱动、应用、语言；

（2）接受来自安全联动产品的可疑对象：例如可疑URL、文档文件、可执行文件；

（3）可以自动执行针对可疑文件及URL的分析检测；

（4）生成详细的报告，并告知不同的风险级别。

三、沙箱的优势

1.便捷经济：不需要部署真机，只需要制造一个虚拟环境运行软件。通过分析文件的动作，来判断是否属于恶意文件。虚拟环境停止后，一切运行痕迹消失。

 

2.高度可视化：呈现文件动态运行结果，告知“高危”、“中危”、“低危”行为。恶意动作一目了然，给您直观视觉感受。

 

四、沙箱分析，产生的分析结果分类

1.高级恶意程序；

2.控制与命令（C&C）违规外联；

3.零日恶意程序；

4.防毒软件逃逸、自我保护；

5.自运行或其他系统配置；

6.欺骗、社交工程；

7.文件删除、下载、共享或者复制

8.劫持、重定向、数据窃取

9.畸形、有瑕疵或者带有已知威胁特征

10.进程、服务、或者内存对象被篡改；

11.可疑网络或通讯活动

12.Rootkit

13.其他威胁特征

五、实操课：如何在威胁情报TI平台分析文件情报？

一、打开TI首页：
https://ti.dbAppsecurity.com.cn/，点击上传文件图标

 

二、上传分析文件，等候分析结果

 

 

三、文件提交后，在个人中心-文件管理内查看

 

刷新，查看分析状态：

 

另外，在查询hash文件的后，选择“动态分析”，即是沙箱分析报告，可以完整查看：

 

 

以上就是文件上传分析的基本知识点，下期你们想了解什么？

PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件

关注微信公众号：安恒威胁情报中心

获取一手原创安全分析报告