sandbox

Les articles taggés sandbox

cuckoo

Attention, cet article s’adresse à des personnes averties et qui ont de bonnes connaissances en informatique. La manipulation et l’analyse de virus informatique étant très risquée, elle est fortement déconseillée aux personnes novices.

La pratique de l’analyse de virus informatique requiert de nombreuses régles de sécurité d’environnement et de pratique afin de ne pas être soi-même infecté et exposé à cette menace. Un de ces pratiques est la mise en place de Sandbox. C’est dans ce domaine que Cuckoo va intervenir.

Cuckoo est un environnement de création, de gestion et d’analyse de sandbox (ou bac à sable). Il fourni une plateforme fiable avec une interface centralisée pour la récolte des résultats sous toutes ses formes possibles. Une fois mis en place, il suffit d’envoyer le package voulu via cette interface et cuckoo exécute l’analyse.

cuckoo-sendpackage

Cuckoo va donc créer une nouvelle machine virtuelle, qui sera détruite par la suite, et exécuter le virus à l’intérieur de celle-ci pour en livrer tous ses secrets. Les résultats sont plus que complets, sont précis et vont vraiment loin dans l’analyse de l’état de la machine. Il est même possible d’en ressortir les résultats du trafic réseau détecté.

cuckoo-network

Une fois l’analyse terminée, Cuckoo vous en informe et les résultats sont disponibles à la consultation. Cependant, suivant la puissance de la machine hébergeant le système, ces analyses peuvent prendre plus ou moins de temps; le système étant assez gourmand niveau ressources.

Il est aussi possible de comparer des résultats, dans le but de, par exemple, différencier plusieurs versions d’un même virus. Ou du moins, qui voudrait se faire passer pour un autre virus.

cuckoo-compare

Dans cet exemple, on remarque que, malgré que ces deux virus semblent être similaires, leurs actions sont très différentes.

Une panoplie d’autres analyses et rapports, tels que capture de la mémoire, modification des fichiers, IO systèmes, signature et code du virus, etc…, sont aussi disponibles.

Le projet est OpenSource et disponible web-link sur leur site