概要
[仮想アナライザ]→[送信] ページで手動でサンプルを解析する際、「バンドルファイル」を選択することができます。「バンドルファイル」の解析について使い方を教えてください。
詳細
バンドルファイルの解析とは
解析対象のファイルが実行時に他の依存関係のあるファイルを参照する場合、単独で実行しても本来の挙動を解析できない場合があります。
依存関係のあるファイルと併せて実行することで本来の挙動を解析し、未知の不正ファイルを発見することを目的とした機能が「バンドルファイルの解析」です。
バンドルファイルの解析で指定するパラメータについて
バンドルファイルの解析時に以下のパラメータを指定する必要があります。
| パラメータ名 | 説明 |
|---|---|
| アーカイブファイルのパス | 実行対象ファイルおよび依存関係のあるファイルを1つにまとめたアーカイブファイルのパスを指定してください。 |
| 実行対象ファイル | アーカイブファイルに含まれる実行対象のファイル名を指定してください。 |
| パラメータ | 実行対象ファイルを実行する際に必要なコマンドラインパラメータを指定します。実行時にコマンドラインパラメータが不要な場合は空白のままとします。 |
| 優先度設定 | 選択すると [処理待ち] キューの先頭に配置され、他のサンプルよりも優先して解析されます。 |
| 解凍先のパス | アーカイブ内のファイルを配置する仮想アナライザイメージ上のフォルダを指定します。 依存関係のあるファイルを別のフォルダに配置する場合は、次のセクションにファイル名と配置先のパスを個別に指定してください。 |
| エンコード | ファイル名に使用されている文字のエンコード形式を指定します。 |
解析の例
以下のようなサンプルの解析を行う場合の例を示します。
- 実行対象のファイル名は「サンプル.exe」
- 「サンプル.exe」は「C:\Windows\System32」にある「sample.dll」を参照する
- 「サンプル.exe」の実行時に「/execute」のコマンドラインパラメータが必要
- 「サンプル.exe」のファイル名の文字エンコードは「UTF-8」である
この場合、以下のようにパラメータを入力しサンプルを送信します。
| パラメータ名 | 入力値 | |
|---|---|---|
| アーカイブファイルのパス | 「サンプル.exe」と「sample.dll」を1つにまとめた zip ファイルのパス | |
| 実行対象ファイル | サンプル.exe | |
| パラメータ | /execute | |
| 優先度設定 | 任意で選択 | |
| 解凍先のパス | 任意に指定(
C:\Program Files
など) | |
| 依存関係のあるファイルの解凍先 | ファイル名 | sample.dll |
| パス | C:\Windows\System32 | |
| エンコード | UTF-8 | |
制限事項
バンドルファイルの解析では以下の制限事項があります。
- 実行対象に指定できるファイルは1つです
- 実行ファイルと依存関係のあるファイルに指定できるエンコードタイプは1つです
- 実行ファイルおよび依存関係のあるファイルをアーカイブファイル内のサブフォルダに配置することはできません
