【第二波干货行为分析工具】File_Analysis2.8【回帖奖CB先到先得】

山顶的一棵草

为了避免非零基础人群感到身体不适、头晕恶心、易怒及粗口，请不要查看以下内容
↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  ↑  



                                                   介绍说明

特别声明：推荐在虚拟机环境下使用，支持Windows 7及以上系统(32/64位)，仅适用于32位可执行文件；如果个别C#程序采取了AnyCPU(64位系统优先)启动方式，请将该程序放置32位系统下运行；收到少数用户反馈，添加文件运行后会直接奔溃退出，具体表现为显示“行为记录成功开启”后四秒就出现“行为记录到此为止”，我在Win7 32位+64位、Win8.1 32位、Win10 64位下测试均没有发现问题，全部测试均使用微软原装镜像（系统未激活），又找了两个用户在Win10 64位下测试，也没有发现问题，可能受当前系统环境影响

什么是File_Analysis？File_Analysis的亮点在哪？
       File_Analysis是一款出色的行为分析工具，不仅能够记录行为，还能使程序在安全环境下运行；在文件方面，构建一个简单的安全环境，会在File_Analysis同目录下创建一个名为“File_safe”的安全文件夹，可以理解为文件安全释放环境，会自动生成程序行为日志存放于此，包括母体释放的文件都会被存放在这里，不会写出实际环境，也可以随时获取子样本，删除文件也一样，仅仅只是删除安全环境下的文件，不会对实际环境造成任何影响

File_Analysis是沙盒(箱)吗？运行中的程序报错奔溃是怎么回事？
       首先File_Analysis并不能算是完整意义上的沙盒，因为只有文件方面构建了安全环境，当然其他方面也可以进行构建，如果是构建一个真正的沙盒(箱)环境，那么工程量太大了，所以目前只做了文件方面的，其他方面则使用了修改命令返回值的方式，同样不会影响实际环境，只是这种方式比较简单，难免不会出错；对于程序可能运行出现中途报错奔溃的情况，主要是因为规则还没有完善和程序自身的逻辑判断导致的；因为并不是简单的拦截阻止行为操作，而且拦截后修改命令返回值，造成一种成功的假象欺骗程序执行下一步操作

File_Analysis是否安全？支持显示哪些行为？
       File_Analysis默认阻止驱动加载，保证了运行中的程序安全可控，“漏沙”的可能性非常低，就算“漏沙”了，也不会造成多大影响，因为针对关键行为都有防护，可以说重启了发现还是原样；除了能显示进程、文件、注册表等基础行为外，还可以显示驱动操作、网络操作、进程注入操作、全局钩子行为等等

File_Analysis是免费的吗？需要修改系统某些位置才能用？
       在收费和免费两种方式上思考了很久，毕竟产品还不成熟，需要不断进行完善，所以目前打算做免费的；首先在这里向大家承诺这是一款纯净的安全工具，不会修改除同目录下的其他任意位置，双击主程序就可以直接使用

File_Analysis的更新及反馈说明
       目前没有发现“漏沙”情况，如果有发现请及时反馈有助于完善产品；一款好的工具离不开大家的共同努力！
—————————————————————————————————————————————————
                                                   演示教程

第一步：添加可执行文件运行

第二步：选择文件（默认过滤.exe扩展名以外的文件；如果文件名为其他扩展名，可选择显示所有文件）

第三步：启动后用鼠标点击想要显示行为的进程，会自动显示其行为记录

第四步：成功显示此样本的修改系统密码的行为

第五步：显示样本已经执行完毕退出，这时候需要结束进程


—————————————————————————————————————————————————
                                                还有一些话

1.白加黑木马，需要将黑DLL手动移动到File_safe文件夹下面来达到运行条件，因为程序会在File_safe文件夹下启动，而不是原始目录；也就是源文件需要什么其他运行必备文件，就手动移动到File_safe文件夹下

2.现在的敲竹杠除了修改系统开机密码之外，还会修改MBR来进行敲诈，虽然没有进行演示，但不用担心，也是可以拦截到的

3.还有就是现在最火的勒索软件，这就更不用担心了，由于构建了一个安全的文件环境，加密的文件全都会被存放在安全环境下，源文件会被安全保护着


解压密码：52pojie
File_Analysis.zip (2.93 MB, 下载次数: 4053)

2018-4-5 11:43 上传

点击文件名下载附件

福利三要素：不隐藏，不收费，实时更新！


更新日志：

主程序 2.5.0.0 版本更新内容

1.取消样本分享平台(取消样本上传功能)，改为在线云库，仅供下载
2.修复多个文件同时运行而导致的运行日志显示BUG
3.增加自动更新功能
4.部分内容重写

File_safe.dll  1.3.0.0 拦截规则版本更新说明
1.FD_safe.dll 更名为 File_safe.dll
2.网络操作增加微软端口漏洞拦截规则
3.文件操作增加局域网共享文件拦截规则
4.增加更多分析范围
5.修复了Win10无法拦截进程创建的BUG
5.规则进一步完善
你的支持，就是我最大的动力。。只求能好好评分。  
你评分一下只要两秒钟，为什么不能给我点动力呢？有了动力才能分享更多干货给你们。

奔跑的小秦

支持楼主！

www.52pojie.cn

只听说哟cb，赶紧来！！

芥末芥末

支持你，还有那些行为是自动阻止的吗？

pigdgg

感谢分享，支持

7780

我来来回复了

ltg6688

感谢分享，支持

zckde52pj

好东西，可惜不会用。。

蜗牛的壳

支持，感谢

csa

好像不错，谢谢。。