今天就來介紹下文件情報的分析，以及分析文件必用的沙箱為何物？

一、什么是沙箱

小時候玩沙子，一沙一世界，操盤我的虛擬天地。沙箱，就像我的虛擬世界。

沙箱：是桌面運行環境的虛擬鏡像系統，用來深度檢測可疑文件。當對未知的可疑文件分析時，有時我們需要實際運行它，并記錄他的一切行為，進而對其進行分析，就需要用到沙箱。

二、沙箱的特點

（1）沙箱是桌面運行環境的虛擬鏡像系統，包括：配置、驅動、應用、語言；

（2）接受來自安全聯動產品的可疑對象：例如可疑URL、文檔文件、可執行文件；

（3）可以自動執行針對可疑文件及URL的分析檢測；

（4）生成詳細的報告，并告知不同的風險級別。

三、沙箱的優勢

1.便捷經濟：不需要部署真機，只需要制造一個虛擬環境運行軟件。通過分析文件的動作，來判斷是否屬于惡意文件。虛擬環境停止后，一切運行痕跡消失。

2.高度可視化：呈現文件動態運行結果，告知“高危”、“中危”、“低危”行為。惡意動作一目了然，給您直觀視覺感受。

四、沙箱分析，產生的分析結果分類

1.高級惡意程序；

2.控制與命令（C&C）違規外聯；

3.零日惡意程序；

4.防毒軟件逃逸、自我保護；

5.自運行或其他系統配置；

6.欺騙、社交工程；

7.文件刪除、下載、共享或者復制

8.劫持、重定向、數據竊取

9.畸形、有瑕疵或者帶有已知威脅特征

10.進程、服務、或者內存對象被篡改；

11.可疑網絡或通訊活動

12.Rootkit

13.其他威脅特征

五、實操課：如何在威脅情報TI平臺分析文件情報？

一、打開TI首頁：
https://ti.dbAppsecurity.com.cn/，點擊上傳文件圖標

二、上傳分析文件，等候分析結果

三、文件提交后，在個人中心-文件管理內查看

刷新，查看分析狀態：

另外，在查詢hash文件的后，選擇“動態分析”，即是沙箱分析報告，可以完整查看：

以上就是文件上傳分析的基本知識點，下期你們想了解什么？

PS：每日更新整理國內外威脅情報快訊，幫助威脅研究人員了解及時跟蹤相關威脅事件

關注微信公眾號：安恒威脅情報中心

獲取一手原創安全分析報告