تحلیل ایستا

جعبه شن پارسا قابليت انجام تحت تحليل و استخراج کليه خصوصيات برنامه تحت تحليل، و همچنين فايل‌هاي Drop شده توسط آن را دارد. چنانچه تيک گزينه "انجام تحليل ايستا بر روي برنامه تحت تحليل" را بزنيد، قبل از انجام تحليل پويا پنجره‌اي همانند زير باز خواهد شد.

 

 

بعد از به پايان رسيدن عمليات تحليل ايستا بر روي فايل، اين پنجره به طور خودکار بسته خواهد شد. همچنين چنانچه برنامه تحت تحليل، فايل‌هايي را در سيستم Drop کرده باشد، و تيک گزينه "گرفتن نسخه پشتيبان از فايل‌هاي Drop شده" فعال باشد، آنگاه بعد از اتمام تحليل پويا، فايل‌هاي Drop‌شده نيز مورد تحليل ايستا قرار مي‌گيرند. خروجي تحليل ايستا به بخش‌هاي زير تقسيم مي‌گردد:

  1. بخش File Info: در اين بخش اطلاعاتي در مورد فايل، همانند نام فايل، نوع فايل، Compiler يا Packer مورد استفاده براي ساخت فايل (در صورتي که فايل اجرايي باشد) نمايش داده مي‌شود. همچنين براي فايل‌هاي اجرايي ميزان Entropy فايل که مقياسي براي تعيين ميزان Randomize بودن داده‌هاي موجود در فايل است، نمايش داده مي‌شود.
  2. بخش Dos Header Info: در اين بخش اطلاعات و فيلدهاي موجود در MZ_DOS_HEADER نمايش داده مي‌شود. (فقط براي فايل‌هاي اجرايي)
  3. بخش PE Header Info: در اين بخش اطلاعات مهم موجود در PE Header فايل نمايش داده مي‌شود.
  4. بخش Sections Info: اطلاعات سکشن‌هاي برنامه تحت تحليل در اين بخش نمايش داده مي‌شود.
  5. بخش Hashes: مقادير Hashهاي MD5، SHA-1، و SHA-256 براي فايل نمايش داده مي‌شود. (فقط براي فايل‌هاي اجرايي)
  6. بخش File Imports: کتابخانه‌ها و توابع Import شده در Import Directory فايل نمايش داده مي‌شود.
  7. بخش File Exports: توابع Export شده در فايل تحت تحليل در اين بخش نمايش داده مي‌شود.
  8. بخش TLS Info: فيلدهاي موجود در Thread Local Storage Directory در اينجا نمايش داده مي‌شود. (TLS محلي براي ذخيره داده‌هاي منحصر به فرد هر نخ مي‌باشد.)
  9. بخش Debug Info: اطلاعات موجود در Debug Directory نمايش داده مي‌شوند. معمولا تنها فايل‌هايي حاوي اين اطلاعات مي‌باشند که در حالت Debug کامپايل شده باشند.
  10. بخش .net Info: برنامه‌هاي .Net حاوي يک ساختمان به نام .net Directory مي‌باشند. اطلاعات اين ساختمان داده، در صورت وجود در اين بخش نمايش داده مي‌شود.
  11. بخش Relocation Info: اطلاعات مربوط به سکشن reloc‌ فايل تحت تحليل در اين بخش نمايش داده مي‌شود.
  12. بخش Resource Directory: ليست Resourceهاي موجود در فايل تحت تحليل در اين بخش نمايش داده مي‌شود.
  13. بخش First 100 Bytes: کد اسمبلي 100 بايت اول فايل تحت تحليل در اينجا نمايش داده مي‌شود.
  14. بخش Strings of file (Unicode): در اين بخش ليست رشته‌هاي يونيکد موجود در فايل نمايش داده مي‌شود. بررسي اين رشته‌ها مي‌توان کمک خوبي براي شناسايي عملکرد داخلي برنامه تحت تحليل باشد.
  15. بخش Strings of file (ASCII) : در اين بخش ليست رشته‌هاي اسکي موجود در فايل نمايش داده مي‌شود.

نمی‌توانید پاسخی پیدا کنید؟ آیا به دنبال مقاله خاصی هستید که در سؤالات عمومی قرار دارد؟ فقط پوشه ها و دسته بندی های مختلف مربوطه را مرور کنید و سپس مقاله مورد نظر خود را پیدا خواهید کرد.
صفحه اصلی تماس با ما سایبرنو
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا می‌باشد.