利用ZeroWine进行恶意软件行为分析

核心提示： 当该虚拟机结束引导处理（基于Debian的操作系统的引导时间通常需要2分钟左右）后，可以用您的浏览器导航至http://localhost:8000，利用ZeroWine进行恶意软件行为分析(2)，您将看到如下所示的一个web页面：图1现在可以通过该Web接口将测试文件（通常为PE格式）加

当该虚拟机结束引导处理（基于Debian的操作系统的引导时间通常需要2分钟左右）后，可以用您的浏览器导航至http://localhost:8000。您将看到如下所示的一个web页面：

图1

现在可以通过该Web接口将测试文件（通常为PE格式）加载到虚拟机，指定超时时间，就可以让Zero Wine分析该程序的行为了。稍等片刻，就会受到如下所示的报告摘要：

图2

三、相关报告的介绍

分析结束时，会出现一个带有四个链接的报告摘要页面，这些链接分别是“report”、“Strings”、“Headers”和“Signature”。关于这些报告我们将在下面进行分别介绍。

完整的报告

我们首先有介绍的是“Report”链接，这是由WINE生成的一份完整的原始跟踪文件。 这个文件通常很大，并且也不太容易读，因为其中包含了WINE本身调用的大量应用程序接口以及恶意软件调用的应用程序接口，不过它对于全面理解程序到底做了些什么却是很有帮助的。以下是病毒MyTob的一个示例报告，我们看到这的确很长，并且读起来很晦涩：

图3

一般说来，其中的大量API调用都是WINE的内部调用，这些对我们的分析工作没有多大用处，并且对我们来说通常是枯燥无味的。请记住，虽然这些调用看上去很枯燥，但是却可能对分析的恶意软件的理解有所裨益。