Webshop
|
Kontakt zu Norman
|
Über Norman
|
Standort auswählen
Corporate
Norge
France
Deutschland
Sverige
Danmark
Suomi
Nederland
Schweiz
España
United States
United Kingdom
Italia
Proaktive IT-Sicherheit
Privatanwender & Home Office Kleine und mittlere Unternehmen Großunternehmen Unsere Technologie Sicherheitscenter Norman als Geschäftspartner Support   Partner-Web
Startseite
>
Großunternehmen
>
Alle Produkte für Großunternehmen
>
Malware Analyzer-Produkte
>
Norman SandBox Analyzer Pro
Alle Lösungen für Großunternehmen
Alle Produkte für Großunternehmen
Endpoint security
Gateway-Produkte
Malware Analyzer-Produkte
Dienstleistungen

Norman SandBox Analyzer Pro

Wichtige Funktionen

Norman SandBox Analyzer Pro - product image

SandBox Analyzer Pro bietet eine detaillierte und effiziente forensische Analyse ausführbarer Codes. Analyzer Pro ist eine vollständige Reverse-Engineering-Umgebung, die auf Grundlage der stabilen und leistungsfähigen SandBox-Plattform entwickelt wurde. Analyzer Pro vereint die Funktionen vieler verschiedener Reverse-Engineering-Tools in einem Produkt. Der Benutzer hat die vollständige Kontrolle über die SandBox-Umgebung und die Ausführung der zu analysierenden Beispieldatei. Register, Speicher, disassemblierter Code, virtuelle Festplatte und Netzwerkaktivität – dies alles kann genau überwacht und manipuliert werden, um das Ausmaß des verdächtigen Codes in seiner Gesamtheit zu verstehen. Analyzer Pro beinhaltet viele erweiterte Debugging-Funktionen, wie z. B. die Möglichkeit, Speicherauszüge zu erstellen, Reverse-Ausführungen zu simulieren, Speicherinhalte zu durchsuchen und auszugeben, Netzwerkpakete zu protokollieren und zu speichern und vieles mehr. Der Benutzer ist in der Lage, Code auf Anwendungs- und Kernel-Ebene zu sehen und an ihm zu arbeiten. Auf diese Weise kann er das Rootkit einsehen und sich die Funktionsweise des Codes zu Nutzen machen. Analysten können durch eine direkte Verbindung zum Internet Botnets, Netzwerkwürmer, Downloadprogramme und anderen Netzwerk-basierten Code schnell analysieren und überwachen.

Herunterladen

Typ Titel Kommentar Verwendung
Try Norman SandBox Analyzer products Online registration form Formular
Request live demo

Live demo of Norman SandBox analyzer products

 Formular
Das kleine grüne Buch über die Analyse von Malware Executive White Paper Whitepaper
Norman Green Book on Analyzing Malware

Executive White Paper

 Whitepaper
Norman SandBox Analyzer Pro Deutsch Produktbroschüre
Norman SandBox Analyzer Pro English Produktbroschüre
The SANS Technology Institute - Interview About The Norman Malware Analyzer Interview with Kurt Natvig and Righard J. Zwienenberg from Norman.  

Ausführliche Produktinformationen

Weitere Informationen...
Ausführliche Produktinformationen
Bereitstellungsszenarios
Comparison Chart - SandBox Analyzer, SandBox Online Analyzer and Norman SandBox Analyzer Pro

Norman SandBox Analyzer Pro ist eine GUI-Konsolenanwendung für die Analyse von ausführbaren WIN 32 PE- und anderen Dateitypen, die eingebetteten ausführbaren Exploit-Code enthalten. Beim Arbeiten mit Norman SandBox Analyzer Pro stehen dem Analysten eine Vielzahl von Funktionen zur Verfügung, mit denen er schnell die SandBox-Umgebung und den Zielcode analysieren und manipulieren kann. Der Analyst kann Dateien und Änderungen am simulierten SandBox-Betriebssystem untersuchen und so die gesamte Auswirkung der entsprechenden Datei sehen, die diese auf einen „echten Computer“ hätte.
Norman SandBox ist die Hauptkomponente von Norman SandBox Analyzer Pro. Dieses Modul ist kompatibel mit Windows-Funktionen wie Winsock, Kernel und MPR und unterstützt überdies Netzwerk- und Internetfunktionen wie HTTP, FTP, SMTP, DNS, IRC und P2P. Die Komponente ist also ein voll simulierter, innerhalb der Norman SandBox Analyzer Pro-Anwendung isolierter Computer.

Die zu analysierende Datei wird auf der simulierten Festplatte abgelegt und in der simulierten Umgebung gestartet. Innerhalb der simulierten Umgebung kann die Datei vollkommen frei agieren. Sie kann Dateien infizieren und löschen. Die Datei kann sich selbst über Netzwerke kopieren und eine Verbindung mit einem IRC-Server herstellen. Sie kann E-Mails senden und Abhörports einrichten. Sämtliche Aktionen werden von Norman registriert, da sie tatsächlich vom Emulator auf Basis des in der Datei enthaltenen Codes ausgeführt werden. Auf einer echten CPU wird außer für die Antiviren-Emulator-Engine kein Code ausgeführt. Sogar die Hardware im simulierten PC wird emuliert.

Mit Norman SandBox Analyzer Pro können Benutzer umfangreiche Analysen von Dateien erstellen. Die für den Benutzer verfügbaren Funktionen während der Analyse sind u. a.:

Vollständige Kontrolle

SandBox Analyzer Pro ist eine speziell auf bösartigen Code ausgelegte Debugging-Anwendung. Norman versteht die Notwendigkeit seitens der Benutzer, sich ausführbaren Code und seine Funktionsweise anzusehen und daraufhin mit ihm interagieren und ihn manipulieren zu können. Die Software, Hardware, wie z. B. Register, CPU und Speicher, und Netzwerkaktivitäten der SandBox können vollständig vom Analysten kontrolliert werden.

Disassemblierung

Im Disassemblierungsfenster kann der Analyst den disassemblierten Code jeder Anwendung anzeigen. Herkömmliche Standard-Debugging-Funktionen, wie den Code in Schritte zu unterteilen und zu parsen, Anweisungen einzufügen und zu ändern und Haltepunkte zu setzen, stehen dem Analysten ebenfalls zur Verfügung. Erweiterte Debugging-Funktionen wie die Möglichkeit, ein Backup zu erstellen oder eine Reverse-Simulation durchzuführen, sind in Analyzer Pro aktiviert.

Speicherauszug

In der Ansicht für den Speicherauszug kann jeder beliebige Speicherbereich angezeigt werden. Der Benutzer kann jede Speicheradresse durchsuchen, Haltepunkte am Speicher setzen und Speicher als Text, dWords, Bytes oder Shorts anzeigen. Wie bei allen Ansichten können die dargestellten Informationen aus dieser Ansicht durchsucht, kopiert und in Protokollen gespeichert werden.

API-Protokoll und Zusammenfassung

Der zusammenfassende Bericht der SandBox bietet einen kurzen Überblick über potenzielle böswillige Aktivitäten der Malware in Textform. Im API-Protokoll-Fenster, das detaillierte Informationen enthält, findet der Benutzer eine umfassende Liste der Systemaufrufe für jede Anwendung. Mithilfe dieser Ansichten erhält der Analyst einen generellen Überblick über alle von der Datei ausgeführten Aktionen. Obwohl diese Informationen für viele Untersuchungen häufig schon ausreichen, verschaffen sie dem Analysten doch wertvolle Hinweise, um den Code auch auf einer niedrigeren Ebene ohne viel Zeitaufwand zu debuggen.

Direkte Internetverbindung

Mit Live Internet Communicator (LIC) ist es möglich, dass alle Verbindungen oder Anwendungen, die innerhalb von Analyzer Pro geprüft werden, auf das Internet zugreifen und die resultierenden Netzwerkaktivitäten überwacht und analysiert werden können.
Die Funktionen von LIC ermöglichen dem Analysten, die Anwendung während des Herunterladens von aktiven Inhalten wie Spyware, URL-Adressen, Authentifizierungsinformationen etc. zu untersuchen. Analyzer Pro ist sogar in der Lage, die Internetkommunikation zwischen Bots und dem Command and Control-(C&C-)Botnetserver zu analysieren. Während der Kommunikation des C&C mit dem Slave-Bot kann der Analyst mithilfe von Analyzer Pro Netzwerkpakete beim Senden und Empfangen abfangen und ändern. Dadurch erhält der Benutzer einen transparenten Einblick in das Ausmaß derartiger Bedrohungen.

Die LIC-Funktionen können über einen Netzwerkregeleditor oder in Echtzeit konfiguriert und verwendet werden. LIC weiß dann, wie es mit bestimmten Knoten, Adressen, Anwendungen oder Protokollen zu verfahren hat. Regeln können hinzugefügt, bearbeitet oder entfernt werden. Sie agieren als Filter und liefern die erforderlichen benutzerdefinierten Informationen.

Exploit-Code

SandBox Analyzer-Produkte können nun nicht mehr nur ausführbaren Code, sondern auch in Microsoft Office versteckten Exploit-Code sowie andere bekannte Exploit-Dateiformate erkennen und analysieren. Das Ausführen von beliebigem Code wird täglich ein größeres Problem, insbesondere dann, wenn dies in Form von Day-Zero-Angriffen stattfindet. Durch die Möglichkeit, diese Angriffe mithilfe der SandBox-Technologie von Norman schnell zu verstehen, wird Analysten viel Mühe erspart, ganz zu schweigen von den Folgen für Benutzer und Organisationen, die dadurch vermieden werden können.

Erweiterte Packer-Unterstützung

Packer werden immer häufiger verwendet; der Trend entwickelt sich in Richtung komplexerer Schutzmechanismen wie Themida, Enigma und Slovak Protector (SVKP). Diese Technologien sind sowohl als kostenlose als auch als Vollversion erhältlich, wodurch jeder Malware-Autor, der nicht über die Fähigkeit verfügt, sich selbst verteidigenden Code selbst zu schreiben, diesen einfach in seine schädlichen Anwendungen integrieren kann. Im Allgemeinen stellen Packer und Schutzmechanismen kein Problem für die SandBox dar. In einem vollständig emulierten Windows-System durchläuft die ausführbare Datei einfach die Schutzmechanismen wie auf einem realen System.

Rootkits

Die Norman SandBox erkennt Rootkit-Aktivitäten, wenn bösartiger Code versucht, eigenen Code oder benutzerdefiniertes Verhalten in andere Anwendungen, Treiber oder das SandBox-Host-Betriebssystem einzuschleusen.

Wiederverkäufer vor Ort suchen


Certifications
Von ICSA Labs zertifizierte Antiviren-Produkte
Relevante Produkte
Norman SandBox Analyzer (Enterprise)
Norman SandBox Online Analyzer (Enterprise)
Norman SandBox Reporter (Enterprise)
Support
Support issues for Norman SandBox Analyzer Pro
RELEVANT WEBCASTS
Register for SandBox Analyzer webcast
Impressum
|
Datenschutzrichtlinie
|
Lizenzvereinbarung
|
Marken
|
Site-Übersicht
FacebookTwitterYouTubeLinkedIn