Ces outils permettent de tracer l'exécution de quelque chose dans un environnement contrôlé (une sandbox) ou un environnement virtuel (ordinateur virtuel) et de noter tout ce que l'objet analysé ferait dans une machine réelle.
On sera attentif aux résultats vides de certaines analyses. En effet, certaines malveillances arrivent à détecter qu'elles sont en cours d'exécution dans une sandbox ou dans une machine virtuelle et n'exécutent alors pas leur charge active.
iSecLab = International Secure Systems Lab. Anubis accepte des fichiers de 8 MO Max. Pas de caractères spéciaux, dont l'interprétation par un serveur pourait être ambigüe, dans le nom du fichier. Tous les codes exécutables Windows sont acceptés ainsi que toutes les applications Androïd (fichiers APK valide avec les fichiers AndroidManifest.xml et classes.dex. Rapport possible aux formats HTML, XML, PDF ou Text. Possibilité de soumettre une URL et de recevoir un rapport sur la totalité de l'activité Internet de cette URL simulée dans Internet Explorer (donc avec analyse de l'activité ActiveX également). Astuce : répondre au Test de Turing (Captcha), optionnel, en bas de page. Cela rend votre analyse prioritaire dans la file d'attente. Il existe une version commerciale d'Anubis (https://www.lastline.com/). Si un exécutable est une application contenant des dépendances (DLLs, etc. ...), les envoyer en même temps ("auxiliary files") - la taille totale de l'exécutable et de ses dépendances ne devant pas dépasser 8 MO. |
Analyse URL, PDF, JavaScript. JSUnpack = JavaScript Unpack (déobfuscation de codes javascript). Sandboxing - Emulation d'un navigatur - Analyse et décode le comportement d'un objet analysé : document PDF, dump PCap, SWF, code HTML, Script Javascript, URL d'une ressource Web. Outil orienté vers les professionnels de la sécurité. Emule un navigateur pour analyser le comportement de l'objet analysé. Aide à la détection d'exploits visant les vulnérabilités des navigateurs et des plug-in des navigateurs. Open Source. Peut être téléchargé pour un usage local. Cet outil observe mais ne juge pas. Tests janvier, février, mars 2016 : semble ne plus fonctionner. |
Sandboxing d'un fichier envoyé depuis la machine de l'utilisateur (ou désigné par son URL pour l'analyser avant téléchargement). Taille maximum : 25 MO. L'utilisation de Comodo Valkyrie commence par une recherche dans leur base de données, à partir du condensat (hash) (algorithme SHA-1 uniquement) du fichier à analyser (utilisez HashTab pour calculer les condensats). Si le hash est inconnu (le fichier est inconnu), une fenêtre s'ouvre avec un bouton permettant d'envoyer le fichier (ou de le désigner par son URL). Astuce : le pseudo hash par défaut ci-dessous conduit immédiatement à la page de soumission. |
Ouvrir un compte - lien "Register", en haut à droite. Il est ensuite beaucoup plus facile d'utiliser ThreatExpert, dont retrouver tous ses propres résultats d'analyses, depuis le tout premier, il y a des années, au dernier. Le lien utilisé ici est celui avec compte ouvert. Une autre possibilité de soumettre un échantillon, sans ouvrir de compte, se trouve à : Sandboxing d'un fichier dont la taille ne doit pas dépasser 5 MO.. Analyse comportementale (modifications faites à un système). Les résultats ne sont pas aussi complets que ceux de la sandbox Joe Sandbox File Analyzer, mais ThreatExpert est plus facile à utiliser. Possibilité de télécharger et installer une applet Java pour soumettre un fichier sans passer par un navigateur Internet, à : Au bout de 10 à 20 minutes (selon la charge du serveur et l'échantillon à analyser), un courrier entrant vous donne le lien vers le résultat d'analyse. |
Soumettre un objet (uniquement de type Windows .dll, .doc, .docx, .exe, .htm, .html, .jar, .msg, .pdf, .ppt, .pptx, .url, .xls, .xlsx) à l'analyse en déclinant son identité complète. Réponse par e-mail uniquement (comporte également la soumission de l'échantillon à VirusTotal). ThreatTrack est le nouveau nom de GFI Sandbox, lui-même le nouveau nom de Sunbelt Sandbox (anciennement CWSandbox de Sunbelt Software aquis par GFI en 2010 et déplacé dans Threattrack en mars 2013). ThreatTrack ThreatAnalyzer est également, et surtout, un produit commercial. ThreatTrack édite également l'antivirus Vipre. |
Soumission d'une URL. Ouverture de l'URL dans un environnement confiné simulant Internet Explorer 8. Les scripts sont analysés. Les Flash (documents appelés et player), les documents PDF, sont analysés. Recherche des tentatives d'exploitation de failles de sécurité. Recherche de Drive-by Download. Les contrôles ActiveX sont également exécutés. L'usage gratuit de la sandbox (usage dit " basic ") limite le comportement des analyses hybrides et limites le nombre d'analyses à 200 par mois, sans dépasser 10 par jour. |
Ne jamais utiliser un "service gratuit en ligne", ou un "outil gratuit à télécharger et installer" qui ne soit pas recommandé par Assiste.com. Si nous n'avons pas encore parlé de tous les produits ou services fiables existants, il est quasi certain que presque tous les produits ou services dont nous ne parlons pas sont des malveillances ou des crapuleries (ou des produits moins performants, donc inutiles).
Avertissement : Produits et Services gratuits