在沙盒环境中执行文件并跟踪它

Question

我有一个可能是病毒的文件。我想在某种形式的沙盒环境中执行该文件，并跟踪它尝试修改的文件或基本上它尝试执行的任何操作。我需要哪些软件工具和知识才能做到这一点？

我的系统是windows 7。

Answer 1

我将尝试在编程环境中将其视为逆向工程。您可以执行以下操作：

• 了解使用 Microsoft SDK 中的 dependent.exe 将调用哪些 API。您还可以看到它所指的符号。
• 使用 http://www.sysinternals.com 中的 procexp.exe / tcpview.exe / filemon.exe / regmon查看进程在运行时的活动。
• 使用 Microsoft 的 WinDbg 调试器执行它，也可以了解发生了什么。

当然，你还可以走得更远。正如 Zyphrax 在他的回答中建议的那样，您最好在某种形式的虚拟机中执行此操作，前提是代码是危险的。

Answer 2

您可以使用 Microsoft Virtual PC 或 VMWare 工作站/播放器设置虚拟机。
这应该可以防止对您的机器/系统造成任何损害。

要查看病毒的行为，您可以监视注册表/文件系统更改和网络活动。这些应用程序很容易通过 Google 找到：sysinternals 有一些免费的应用程序。

Answer 3

提供“沙盒”环境的一些选项。 （这就是问题所在？如果您可以在虚拟机中运行它，则不是）。

• zerowine（免费）
• cwsandbox
• 诺曼沙箱