Professional Documents
Culture Documents
Zero Wine
AUTOMATED MALWARE ANALYSIS SYSTEM
Viso Geral
O que o Zero Wine? um projeto de pesquisa open source (GPL v2) para anlisar dinamicamente o comportamento de malware.
Viso Geral
Zero Wine executa o malware usando WINE num sandbox (em um ambiente isolado) coletando informao sobre as chamadas APIs do programa.
Viso Geral
A sada gerada pelo WINE (usando a varivel de ambiente WINEDEBUG) so as chamadas APIs usadas pelo malware (e seus valores).
Viso Geral
Zero Wine distribuda como uma imagem de uma mquina virtual QEMU com um sistema operacional Debian. Atualmente o Zero Wine no permite mais de uma analise de malware por vez. No futuro ser implementado uma fila.
Instalao
Instalao
Instalao
Submisso
Sumrio
Relatrio
Strings
File headers
Signature
Submisso
Submisso e o QEMU
Antes do reports_cleaner.py
Depois do reports_cleaner.py
Viso Geral
No estgio atual, o Zero Wine s faz uso dos seguintes componentes: * QEMU/KVM, para o gerenciamento de ambientes de anlise virtualizados. * Python, para automatizar processo de anlise e gerenciar as tarefas. * Wine, para executar arquivos com o formato PE.
Viso Geral
Desvantagens: No tem fila. S analisa arquivos no formato PE. Tem problemas com vrios packers. Ex: Armadillo. Existem vrias tcnicas de deteco do Wine. Ex: Verificao dos registradores HKLM\Software\Wine e HKCU\Software\Wine. Obs: O malware escrito para escapar do Zero Wine escapar.
Referncias
Project's web page: http://sourceforge.net/projects/zerowine WINE: http://www.winehq.org QEMU: http://bellard.org/qemu/ PEFile by Ero Carrera: http://code.google.com/p/pefile/ PEIdSignatures: http://code.google.com/p/pefile/wiki/PEiDSignatures PEId: http://www.PEiD.info/ Python: http://www.python.org