• :
  • 火眼支持分析的压缩包具体格式说明以及一些小技巧介绍-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    火眼支持分析的压缩包具体格式说明以及一些小技巧介绍

    [复制链接]

    该用户从未签到

    发表于 2012-7-4 14:28:30 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 Lintel 于 2013-10-6 19:56 编辑

    注:火眼目前支持分析的文件格式有:apk,exe,dll,bat,html,js,vbs,msi

    火眼目前已支持特定格式的压缩包上传分析,具体格式如下:


    1、火眼支持rar、zip、7z等主流格式压缩包以及一些网购木马变异压缩包的解包;
    1.png

    2、火眼支持单一双层压缩包的解包,即压缩包内可以有且只能有一个压缩包;
    2.png

    3、压缩包内被分析的目标样本文件应存在于一级目录,同时压缩包内可存在二级目录;

    3.1.png
    3.2.png

    4、若压缩包内同时存在多个格式不同的样本文件,exe优先被分析;
    4.png

    5、若压缩包内同时存在多个格式相同的样本文件,火眼随机选取一个进行分析;
    5.png

    6、压缩包的大小不能超过30MB。
    6.png

    不会打包或嫌麻烦的同学可以使用火眼打包工具进行打包点击下载使用说明





    [小技巧1]关于多文件配合样本的小技巧

    关于如何分析多文件配合的样本(自解压压缩包)
    警告:制作过程请谨慎,不要误运行可能存在危险的样本文件!!!

    比如如下样本,存在多级目录,你想运行a.bat并且想放在D盘下
    1.png


    2.png

    3.png

    4.png

    5.png

    6.png

    7.png

    8.png

    确定
    自定义的样本制作完成
    rar打开查看如下:(警告:请勿直接双击制作好的含有危险样本的自解压包!!!)
    9.png

    点评

    希望能支持分析压缩包内的.reg文件!  发表于 2012-12-20 21:41
    能支持7z格式吗?  发表于 2012-8-28 19:47
    要是支持doc等文档就好了,现在有几个宏病毒想看看  发表于 2012-8-14 09:41
    科普贴!  发表于 2012-7-5 01:29

    本帖被以下淘专辑推荐:

    使用道具 举报 回复
    好像dll也有限制,最多4个。

    点评

    是一个可执行文件+多个dll里面么?刚才高压气瓶没说啊……  详情 回复 发表于 2012-7-4 15:24
    使用道具 举报 回复 支持 反对
    pengzhongyi123 发表于 2012-7-4 15:17
    好像dll也有限制,最多4个。

    是一个可执行文件+多个dll里面么?刚才高压气瓶没说啊……

    点评

    是的,你再问问看。之前应该是这样的,不知道现在是不是又放开了1+N的限制。  详情 回复 发表于 2012-7-4 15:26
    使用道具 举报 回复 支持 反对
    Lintel 发表于 2012-7-4 15:24
    是一个可执行文件+多个dll里面么?刚才高压气瓶没说啊……

    是的,你再问问看。之前应该是这样的,不知道现在是不是又放开了1+N的限制。

    点评

    高压气瓶说没有……  详情 回复 发表于 2012-7-4 15:32
    使用道具 举报 回复 支持 反对
    pengzhongyi123 发表于 2012-7-4 15:26
    是的,你再问问看。之前应该是这样的,不知道现在是不是又放开了1+N的限制。

    高压气瓶说没有……
    使用道具 举报 回复 支持 反对
    感谢分享支持
    使用道具 举报 回复 支持 反对
    很好~~~非常有用的帖子~~~~~~支持一下~~~~
    使用道具 举报 回复 支持 反对
    有用,试一下压缩包
    使用道具 举报 回复 支持 反对
    顶一下,感谢版主热心科普!
    使用道具 举报 回复 支持 反对
    本帖最后由 高压气瓶 于 2012-7-6 11:14 编辑

    关于火眼的压缩包支持问题,不少人问及,版主的回复是正解!
    使用道具 举报 回复 支持 反对
    其实增加个配置文件比较好,否则人家两个exe需要配合就没办法分析了
    使用道具 举报 回复 支持 反对
    来顶贴,很多朋友还是需要看此科普贴的!

    点评

    下次沉了我提升一下吧!  详情 回复 发表于 2012-7-13 19:16
    使用道具 举报 回复 支持 反对
    高压气瓶 发表于 2012-7-13 18:47
    来顶贴,很多朋友还是需要看此科普贴的!

    下次沉了我提升一下吧!
    使用道具 举报 回复 支持 反对
    了解了
    使用道具 举报 回复 支持 反对
    文件大小限制20M太小了
    使用道具 举报 回复 支持 反对
    一个可执行文件+多个dll里面么?刚才高压气瓶没说啊……  
    使用道具 举报 回复 支持 反对
    REZ可以不?真的很想分析下CF的安全系统与操作系统黑客们,上!将辅助进行到底=。=
    使用道具 举报 回复 支持 反对
    .7z也是主流。。。

    点评

    也是支持的!  发表于 2012-9-5 08:12
    使用道具 举报 回复 支持 反对
    那么,送交一个带有完整目录结构的可疑软件看起来是不行咯?

    foo/
     |- bin/ (可执行文件目录)
     |- conf/ (配置文件目录)
     |- lib/ (动态链接库)
     `- var/ (日志等运行中会发生变化的文件)

    点评

    单个可执行文件即可!  发表于 2012-9-13 22:57
    使用道具 举报 回复 支持 反对
    恩,这个不错的哦 。。。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则