ݺߣ

ݺߣShare a Scribd company logo

Сам собі sandbox або як перевіряти файли

Vladyslav Radetsky
Vladyslav Radetsky

Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту: • Розглянув роботу з документами MS Office, PDF, LNK та архівами. • Показав основні типи активної начинки, через яку пробують інфікувати системи. • Показав роботу з онлайн інструментами та з інструментами статичного аналізу. • Дав поради по налаштуванню тестового середовища. Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205 Будьте здорові, уважні та обережні. Слава Україні. #OptiData #InformationSecurity #Security #Інформаційнабезпека #безпека #malware #sandbox #перевірка #аналіз #пісочниця

1 of 49
Download to read offline
Владислав Радецький vr@optidata.com.ua Особливості перевірки файлів (як зробити власний sandbox) 26 / 03 / 2024
Хто я такий ? Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси під Windows. Часом пишу статті. Проводжу навчання з різних аспектів ІБ Займаюсь проектуванням, впровадженням та супроводом різних систем захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad slideshare.net/Glok17
1. Якщо вам сподобається – розкажіть друзям та знайомим 2. По можливості - не відволікайтеся на телефон 3. Кожне Ваше запитання важливе, тому, будь ласка, пишіть їх у чат – а я з радістю відповім на них після своєї розповіді. Регламент:
✓ пісочниця (sandbox) - комплекс для перевірки файлів (HW, VM, cloud) ✓ віртуалка (ВМ) - віртуальна машина, тестове середовище ✓ снепшот - зліпок (знімок) стану ВМ, дозволяє відкотитись ✓ семпл (зразок) - файл який потрібно перевірити ✓ детонація - запуск файлу, початок інфікування ✓ malware (ШПЗ) - комп'ютерний вірус ✓ маркери (IOC) - ІР, хеші, та інші ознаки активності вірусу ✓ приманка (decoy) - документ, скрипт, ярлик … ✓ скомпрометований - зламаний, такий що зазнав втручання Словничок:
1. Сценарії та задачі аналізу 2. До чого бути готовим ? 3. Інструменти перевірки 4. Пісочниці – які бувають, їх переваги та недоліки 5. Створення власної пісочниці 6. Висновки Про що я хочу з вами поговорити:
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC) Чим поламана система відрізняється від неушкодженої ?
1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: Знати інструменти та формати файлів Знати тактики malware щоб обманути їх конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму
1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ➢ Можна скористатись улюбленими онлайн інструментами ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ➢ Знадобиться додаткова перевірка ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму ➢ Заборона на онлайн інструменти. Тільки вручну. Тільки хардкор.
2. До чого бути готовим ?
2. До чого бути готовим ?
2. До чого бути готовим ?
2. До чого бути готовим ? ✓ exe , scr , msi в різних архівах, з паролем та без ✓ скрипти (js, vbs …) , hta , lnk , url ✓ Документи MS Office та PDF з активною начинкою ✓ Інше
2. До чого бути готовим ? ✓ Документи RTF ▪ Редактор формул (CVE-2017-11882) ▪ OLE об'єкти (CVE-2017-0199) ✓ Документи DOCX, XLSX, PPTX ▪ Шаблони (1221) ▪ Макроси ✓ Документи PDF ▪ Java Script ▪ Вбудовані об'єкти (exe, документи з макросами …)
2. До чого бути готовим ? Що можуть запхати у MS Office Template Injection T1221 VBA Macro 2017-11882, EQUATION
Увага! Додаткова інформація #1 ✓ Philippe Lagadec - Weaponized MS Office 97-2003 legacy/binary formats ✓ Philippe Lagadec - Weaponized PDF - Payload Delivery Format ✓ Ryan Chapman - CFWorkshop DefCon 27 (2019) ✓ Didier Stevens - Analyzing a “multilayer” Maldoc ✓ Nicole Fishbein - How to Analyze Malicious Microsoft Office Files ✓ Josh Stroschein - Summary of Samples
Увага! Додаткова інформація #2 Мої матеріали по зразкам malware на slideshare: ✓ Невивчені уроки або логи антивірусних війн (2018) ✓ Логи (анти)вірусних війн (2020) ✓ Як не стати жертвою ? (2020) ✓ Практичні рецепти захисту (2021)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний) ✓ VirusTotal - перевірка по AV виробникам, не завжди точний ✓ Docguard - статичний аналіз документів, пошук активного вмісту ✓ Triage - якісний інтерактив (з відповідними обмеженнями) ✓ UnpacMe - розпаковка ЕХЕ ✓ Intezer Analyze - статичний аналіз ЕХЕ, пошук співпадіння по інструкціям
Послідовність дій з перевірки не секретного документу MS Office або PDF: ✓ Вивантажити файл на VirusTotal (але не орієнтуватися на рейтинг 0/60) ✓ Вивантажити файл на Docguard та отримати чіткий вердикт по активному вмісту ✓ За потреби повного аналізу вивантажити файл на Triage (результат може бути “0”) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег … 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний) ✓ file - NIX команда для визначення типу файлу ✓ exiftool - вичитка метаданих з файлів ✓ oletools - статичний аналіз документів MS Office ✓ pdfid - статичний аналіз PDF документів ✓ pdfinfo - статичний аналіз PDF документів #2
3. Інструменти перевірки – офлайн (коли файл конфіденційний) Послідовність дій з перевірки конфіденційного документу MS Office або PDF: ✓ Визначити справжній тип файлу (не за розширенням) ✓ Перевірити метадані на предмет аномалій (час редагування, компанія, автор) ✓ Перевірити наявність активного вмісту (макроси, об'єкти, скрипти, посилання) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
3. Інструменти перевірки – офлайн (коли файл конфіденційний)
4. Пісочниці – які бувають, їх переваги та недоліки ✓ 90% Sandbox = гіпервізор 1го типу + додаткові функції ✓ malware детонує в “чистій” зоні – тестова ВМ (Win/NIX/macOS) ✓ Ефективність залежить від якості імітації реальної системи ✓ Слабка кастомізація ОС > помилки при детонації malware
✓ Стокові образи уже відомі авторам malware ✓ Без перехоплень запитів malware виявить віртуалізацію ✓ Конкретні версії ОС, локалі, обмежений об'єм HDD ✓ Відсутність імітації мережевого оточення (AD, Exchange etc) 4. Пісочниці – які бувають, їх переваги та недоліки
Корпоративні ($) Публічні (хмарні) 4. Пісочниці – які бувають, їх переваги та недоліки
• Хмарні (публічні): - краще заточені на динаміку ✓ Cuckoo , CAPE, Triage ✓ Hybrid Analysis (колишня Payload Security) ✓ AnyRun (розробка РФ!) • Наземні (корпоративні): - динаміка + статичний ✓ Trellix (McAfee) Intelligent Sandbox ✓ Palo Alto WildFire ✓ CrowdStrike Falcon X (по суті прокачаний Hybrid Analysis) ✓ Trend Micro Deep Discovery Analyzer . . . 4. Пісочниці – які бувають, їх переваги та недоліки
1. AnyRun - РФ | якісні звіти, інтерактив 2. HybridAnalysis - США (CrowdStrike) | слабкі звіти, слабкий захист 3. Triage - Голландія | якісні звіти, екстракт конфігу(!) 4. CAPE / Cuckoo - open-source | opensource, без інтерактиву 5. JOESandbox - Швейцарія | складні звіти, екстракт конфігу(!) 4. Пісочниці – які бувають, їх переваги та недоліки
1. Trellix (ex. McAfee) - США | якісна кастомізація ОС 2. Palo Alto - США | слабка кастомізація ОС, заточена NGFW 3. CrowdStrike - США | слабкі звіти, слабкий захист 4. Trend Micro - Японія | якісна кастомізація ОС, тільки наземна 4. Пісочниці – які бувають, їх переваги та недоліки
1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи
1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи З цим публічні пісочниці можуть впоратись (але не завжди) Тут потрібна тільки комерційна пісочниця ($$) або власна ВМ
5. Створення власної пісочниці Чиста зона Семпл Брудна зона Основний снепшот Робочий снепшот Детонація Після кожного запуску іде фіксація результатів, потім - відкат
5. Створення власної пісочниці ✓ Нам знадобиться віртуалка з Windows 7 (легша) або 10-11 (важча) ✓ В якості гіпервізора краще QEMU або Oracle VirtualBox ✓ Ця ВМ має бути без гостьових утиліт, без оновлення, телеметрії та захисту ✓ В цій ВМ має бути пара користувачів (звичайний та Адмін) ✓ Цю ВМ потрібно буде добряче “поюзати” щоб згенерувати історію дій
✓ .Net 4.6(8) , JRE 8.15 , C++ 10-12-19 , DirectX – обов'язково ✓ Перед створенням першого (чистого) снепшоту – аптайм 2-4 години ✓ Історія активності (документи, додатки, хісторі браузера) ✓ Документи не просто скопіювати, а відкрити, змінити, зберегти ✓ По можливості зачистити усі сліди віртуалізації* Pafish 5. Створення власної пісочниці
5. Створення власної пісочниці
5. Створення власної пісочниці
5. Створення власної пісочниці
6. Висновки ✓ Варто вміти користуватися різними інструментами та методиками ✓ Якісний аналіз - мінімум 2 (а краще 3) підтвердження отриманих маркерів ✓ Статичний аналіз дає 50% результату, але для точності потрібна динаміка ✓ Якість аналізу дуже залежить від імітації реальної системи ✓ Краще завжди мати власну віртуалку під рукою
Вітаю, ви прослухали матеріал повністю ? Ті, у кого залишилися запитання – я побуду з вами. Усім іншим – дякую за ваш час та вашу увагу.
Дякую вам за увагу! Слава Україні!

More Related Content

Сам собі sandbox або як перевіряти файли

  • 1. Владислав Радецький vr@optidata.com.ua Особливості перевірки файлів (як зробити власний sandbox) 26 / 03 / 2024
  • 2. Хто я такий ? Мене звати Влад. Я працюю у компанії OptiData Аналізую віруси під Windows. Часом пишу статті. Проводжу навчання з різних аспектів ІБ Займаюсь проектуванням, впровадженням та супроводом різних систем захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad slideshare.net/Glok17
  • 3. 1. Якщо вам сподобається – розкажіть друзям та знайомим 2. По можливості - не відволікайтеся на телефон 3. Кожне Ваше запитання важливе, тому, будь ласка, пишіть їх у чат – а я з радістю відповім на них після своєї розповіді. Регламент:
  • 4. ✓ пісочниця (sandbox) - комплекс для перевірки файлів (HW, VM, cloud) ✓ віртуалка (ВМ) - віртуальна машина, тестове середовище ✓ снепшот - зліпок (знімок) стану ВМ, дозволяє відкотитись ✓ семпл (зразок) - файл який потрібно перевірити ✓ детонація - запуск файлу, початок інфікування ✓ malware (ШПЗ) - комп'ютерний вірус ✓ маркери (IOC) - ІР, хеші, та інші ознаки активності вірусу ✓ приманка (decoy) - документ, скрипт, ярлик … ✓ скомпрометований - зламаний, такий що зазнав втручання Словничок:
  • 5. 1. Сценарії та задачі аналізу 2. До чого бути готовим ? 3. Інструменти перевірки 4. Пісочниці – які бувають, їх переваги та недоліки 5. Створення власної пісочниці 6. Висновки Про що я хочу з вами поговорити:
  • 6. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
  • 7. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC) Чим поламана система відрізняється від неушкодженої ?
  • 8. 1. Сценарії та задачі аналізу ✓ За змістом файлів: ✓ Залежно від поставленої задачі: Знати інструменти та формати файлів Знати тактики malware щоб обманути їх конфіденційні публічні, не секретні шкідливий чи ні ? повний аналіз (IOC)
  • 9. 1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму
  • 10. 1. Сценарії та задачі аналізу ▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні ➢ Можна скористатись улюбленими онлайн інструментами ▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC) ➢ Знадобиться додаткова перевірка ▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму ➢ Заборона на онлайн інструменти. Тільки вручну. Тільки хардкор.
  • 11. 2. До чого бути готовим ?
  • 12. 2. До чого бути готовим ?
  • 13. 2. До чого бути готовим ?
  • 14. 2. До чого бути готовим ? ✓ exe , scr , msi в різних архівах, з паролем та без ✓ скрипти (js, vbs …) , hta , lnk , url ✓ Документи MS Office та PDF з активною начинкою ✓ Інше
  • 15. 2. До чого бути готовим ? ✓ Документи RTF ▪ Редактор формул (CVE-2017-11882) ▪ OLE об'єкти (CVE-2017-0199) ✓ Документи DOCX, XLSX, PPTX ▪ Шаблони (1221) ▪ Макроси ✓ Документи PDF ▪ Java Script ▪ Вбудовані об'єкти (exe, документи з макросами …)
  • 16. 2. До чого бути готовим ? Що можуть запхати у MS Office Template Injection T1221 VBA Macro 2017-11882, EQUATION
  • 17. Увага! Додаткова інформація #1 ✓ Philippe Lagadec - Weaponized MS Office 97-2003 legacy/binary formats ✓ Philippe Lagadec - Weaponized PDF - Payload Delivery Format ✓ Ryan Chapman - CFWorkshop DefCon 27 (2019) ✓ Didier Stevens - Analyzing a “multilayer” Maldoc ✓ Nicole Fishbein - How to Analyze Malicious Microsoft Office Files ✓ Josh Stroschein - Summary of Samples
  • 18. Увага! Додаткова інформація #2 Мої матеріали по зразкам malware на slideshare: ✓ Невивчені уроки або логи антивірусних війн (2018) ✓ Логи (анти)вірусних війн (2020) ✓ Як не стати жертвою ? (2020) ✓ Практичні рецепти захисту (2021)
  • 19. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний) ✓ VirusTotal - перевірка по AV виробникам, не завжди точний ✓ Docguard - статичний аналіз документів, пошук активного вмісту ✓ Triage - якісний інтерактив (з відповідними обмеженнями) ✓ UnpacMe - розпаковка ЕХЕ ✓ Intezer Analyze - статичний аналіз ЕХЕ, пошук співпадіння по інструкціям
  • 20. Послідовність дій з перевірки не секретного документу MS Office або PDF: ✓ Вивантажити файл на VirusTotal (але не орієнтуватися на рейтинг 0/60) ✓ Вивантажити файл на Docguard та отримати чіткий вердикт по активному вмісту ✓ За потреби повного аналізу вивантажити файл на Triage (результат може бути “0”) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег … 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 21. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 22. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 23. 3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
  • 24. 3. Інструменти перевірки – офлайн (коли файл конфіденційний) ✓ file - NIX команда для визначення типу файлу ✓ exiftool - вичитка метаданих з файлів ✓ oletools - статичний аналіз документів MS Office ✓ pdfid - статичний аналіз PDF документів ✓ pdfinfo - статичний аналіз PDF документів #2
  • 25. 3. Інструменти перевірки – офлайн (коли файл конфіденційний) Послідовність дій з перевірки конфіденційного документу MS Office або PDF: ✓ Визначити справжній тип файлу (не за розширенням) ✓ Перевірити метадані на предмет аномалій (час редагування, компанія, автор) ✓ Перевірити наявність активного вмісту (макроси, об'єкти, скрипти, посилання) ✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів ✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …
  • 26. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 27. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 28. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 29. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 30. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 31. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 32. 3. Інструменти перевірки – офлайн (коли файл конфіденційний)
  • 33. 4. Пісочниці – які бувають, їх переваги та недоліки ✓ 90% Sandbox = гіпервізор 1го типу + додаткові функції ✓ malware детонує в “чистій” зоні – тестова ВМ (Win/NIX/macOS) ✓ Ефективність залежить від якості імітації реальної системи ✓ Слабка кастомізація ОС > помилки при детонації malware
  • 34. ✓ Стокові образи уже відомі авторам malware ✓ Без перехоплень запитів malware виявить віртуалізацію ✓ Конкретні версії ОС, локалі, обмежений об'єм HDD ✓ Відсутність імітації мережевого оточення (AD, Exchange etc) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 35. Корпоративні ($) Публічні (хмарні) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 36. • Хмарні (публічні): - краще заточені на динаміку ✓ Cuckoo , CAPE, Triage ✓ Hybrid Analysis (колишня Payload Security) ✓ AnyRun (розробка РФ!) • Наземні (корпоративні): - динаміка + статичний ✓ Trellix (McAfee) Intelligent Sandbox ✓ Palo Alto WildFire ✓ CrowdStrike Falcon X (по суті прокачаний Hybrid Analysis) ✓ Trend Micro Deep Discovery Analyzer . . . 4. Пісочниці – які бувають, їх переваги та недоліки
  • 37. 1. AnyRun - РФ | якісні звіти, інтерактив 2. HybridAnalysis - США (CrowdStrike) | слабкі звіти, слабкий захист 3. Triage - Голландія | якісні звіти, екстракт конфігу(!) 4. CAPE / Cuckoo - open-source | opensource, без інтерактиву 5. JOESandbox - Швейцарія | складні звіти, екстракт конфігу(!) 4. Пісочниці – які бувають, їх переваги та недоліки
  • 38. 1. Trellix (ex. McAfee) - США | якісна кастомізація ОС 2. Palo Alto - США | слабка кастомізація ОС, заточена NGFW 3. CrowdStrike - США | слабкі звіти, слабкий захист 4. Trend Micro - Японія | якісна кастомізація ОС, тільки наземна 4. Пісочниці – які бувають, їх переваги та недоліки
  • 39. 1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи
  • 40. 1. Захист від пісочниць ✓Апаратні параметри (CPU, HDD, MAC) ✓Гостьові утиліти ✓Ідентифікатори GPU, HDD (reg, WMI) ✓MRU, історія роботи, uptime 2. Пункт призначення (жертва) ✓Hostname/username , local/public IP ✓Локаль системи, розкладка клавіатури ✓Мережеве оточення ✓Наявність специфічних додатків 4. Логіка malware. Перевірка цільової системи З цим публічні пісочниці можуть впоратись (але не завжди) Тут потрібна тільки комерційна пісочниця ($$) або власна ВМ
  • 41. 5. Створення власної пісочниці Чиста зона Семпл Брудна зона Основний снепшот Робочий снепшот Детонація Після кожного запуску іде фіксація результатів, потім - відкат
  • 42. 5. Створення власної пісочниці ✓ Нам знадобиться віртуалка з Windows 7 (легша) або 10-11 (важча) ✓ В якості гіпервізора краще QEMU або Oracle VirtualBox ✓ Ця ВМ має бути без гостьових утиліт, без оновлення, телеметрії та захисту ✓ В цій ВМ має бути пара користувачів (звичайний та Адмін) ✓ Цю ВМ потрібно буде добряче “поюзати” щоб згенерувати історію дій
  • 43. ✓ .Net 4.6(8) , JRE 8.15 , C++ 10-12-19 , DirectX – обов'язково ✓ Перед створенням першого (чистого) снепшоту – аптайм 2-4 години ✓ Історія активності (документи, додатки, хісторі браузера) ✓ Документи не просто скопіювати, а відкрити, змінити, зберегти ✓ По можливості зачистити усі сліди віртуалізації* Pafish 5. Створення власної пісочниці
  • 47. 6. Висновки ✓ Варто вміти користуватися різними інструментами та методиками ✓ Якісний аналіз - мінімум 2 (а краще 3) підтвердження отриманих маркерів ✓ Статичний аналіз дає 50% результату, але для точності потрібна динаміка ✓ Якість аналізу дуже залежить від імітації реальної системи ✓ Краще завжди мати власну віртуалку під рукою
  • 48. Вітаю, ви прослухали матеріал повністю ? Ті, у кого залишилися запитання – я побуду з вами. Усім іншим – дякую за ваш час та вашу увагу.
  • 49. Дякую вам за увагу! Слава Україні!