Посоветуйте программы для подробного анализа исполняемых файлов, с функцией контролируемого запуска вредоносного файла, которая бы показывала лог, какие файлы в какие папки устанавливаются, по каким адресам программа пытается вылезти в сеть, какие ключи реестра прописываются, и могла бы замедлить выполнение программы по шагам, где бы каждый шаг описывался в мониторе (в логах) и я бы мог прервать выполнение программы, либо разрешить ей переход к следующему действию.

| Сообщение посчитали полезным:

останется только минет.

https://xakep.ru/2012/11/03/sandboxie/

sandboxie нужна старая

| Сообщение посчитали полезным: plutos

Про sandboxie знаю, но хотелось бы что-то по круче
Ссылки на плагины для sandboxie битые, в поиске по инету плагины найти не удалось

| Сообщение посчитали полезным:

Ranger88
https://cuckoosandbox.org/
Качай, ставь, настраивай, разбирайся, пиши плагины к нему, в общем развлекайся, как душе угодно. Без знания и понимания что и как работает ты далеко не уедешь.

-----
ds

| Сообщение посчитали полезным: plutos

Ranger88 пишет:
подробного анализа исполняемых файлов, с функцией контролируемого запуска вредоносного файла, которая бы показывала лог, какие файлы в какие папки устанавливаются, по каким адресам программа пытается вылезти в сеть, какие ключи реестра прописываются, и могла бы замедлить выполнение программы по шагам, где бы каждый шаг описывался в мониторе (в логах) и я бы мог прервать выполнение программы, либо разрешить ей переход к следующему действию.

что-то в вашем списке не видно слова "самостоятельно". Т.е. вам нужна программа, которая все сделает сама.
Так не бывает, ну разве что "минет"

DimitarSerg пишет:
Без знания и понимания что и как работает ты далеко не уедешь.
++1

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ranger88
newvirus@kaspersky.com (немного рекламы. нет)
если это винда, то за Вас в 90% случаев просто напросто все сделает автоматика.

В остальных 10% случаев:
1) это не вирус;
2) из-за феерический жопорукости авторов вируса/трояна, образец не запускается или частично работает (в процентном соотношении таких больше 30% наберется);
3) частный случай предыдущего: сайт, к которому обращается троян, был через пару часов заблочен/грохнулся. троян глохнет на обращении к сайту и ничего больше не делает;
что-то реально стоящее, новое и, в тоже время, интересное встречается очень редко.

sandboxi эт конечно хорошо, однако, может оказаться в особых случаях Olly/x64 дебаггер со знанием асм, с патчингом некоторых WinAPI, получше и быстрее будет.

| Сообщение посчитали полезным:

ELF_7719116

4. Запуск в км(драйвера). Можно забыть про песочницы и всё остальное.

Апи интерфейс существует для аналитических тулзов пока привязан к адресам.

-----
vx

| Сообщение посчитали полезным:

Ranger88 пишет:
Ссылки на плагины для sandboxie битые

http://tools.safezone.cc/gjf/Sandboxie-portable.zip

safezone.cc

собирал gjf

| Сообщение посчитали полезным:

BSA - отличный инструмент под Win для анализа разного рода засранцев

| Сообщение посчитали полезным:

DimitarSerg пишет:
https://cuckoosandbox.org/

глянул этот писец. Чувак, да ты жестокий )

| Сообщение посчитали полезным:

Gideon Vi пишет:
глянул этот писец. Чувак, да ты жестокий )

Если ты про установку этого чуда, то я тоже порядком приторчал...
Начал было собирать необходимые "справки", но терпения не хватило: бросил.
Значит я не один такой!.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

поставить пол беды, особенно под десяткой: Installation of Cuckoo Sandbox in Windows 10
хотя я посмеялся, когда софт, у которого заявлены окошки, предложил мне sudo )

| Сообщение посчитали полезным:

plutos пишет:
Начал было собирать необходимые "справки", но терпения не хватило: бросил.
буквально с неделю назад установил кукушку под хостом manjaro linux.
там всё достаточно просто, не скажу прям что все модули собрал и активировал, но основной функционал работает на ура + tor routing настроил
для поиграться - с головой)

по поводу хоста вин10 - хз как настроить там, авторы говорят что кукушка рассчитана на Ubuntu and Debian-like systems

хотя враньё
например - https://cuckoo.sh/docs/usage/rooter.html
This command is currently only available for Ubuntu and Debian-like systems.
на manjaro(по сути arch) работает, хотя мне и пришлось вручную перетянуть несколько модулей прямо с ubuntu 18 lts
с говна и палок - но работает

осталось только гостевую ОС протестировать(та хотя бы блин с al-khaser) и настроить, что бы разная сложная малварь не детектила VBox и не было лишних данных в отчёте


и на последок ссылки про установку на Ubuntu and Debian-like systems

https://habr.com/ru/post/350392/
https://arnaudloos.com/2019/cuckoo-sandbox-installation/
http://jbremer.org/vmcloak3/

а всё что гуглится по поводу установки на win10, всё сводится к WSL + installing ubuntu


Ranger88 пишет:
могла бы замедлить выполнение программы по шагам
и я бы мог прервать выполнение программы либо разрешить ей переход к следующему действию
отладчик?

| Сообщение посчитали полезным:

RevCred пишет:
отладчик?
Не разу не имел дело с отладчиками, можете дать ссылку на инструкцию для новичков

| Сообщение посчитали полезным:

Ranger88 пишет:
Не разу не имел дело с отладчиками

Ricardo Narvaja --> tutorials<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> Link <--

| Сообщение посчитали полезным:

Building a custom malware sandbox with PANDA

| Сообщение посчитали полезным:

--> Тут много всякого <--

| Сообщение посчитали полезным: Adler

Ranger88 пишет:
Не разу не имел дело с отладчиками, можете дать ссылку на инструкцию для новичков
В гугле забанили?Изучайте ассемблер,а всё необходимое для работы с отладчиками можно найти в книгах вроде >>ЭТОЙ<<

| Сообщение посчитали полезным: