Dr.Web vxCube поддерживает следующие форматы файлов:
Формат файлов |
|
|---|---|
Исполняемые файлы Windows |
CPL, DLL, EXE, MSI, NATIVE APP, SYS |
Пакеты Android |
APK |
Документы Microsoft Office |
MHT, RTF, DOC, DOCX, DOCM, DOTM, DOTX, WPS, XLL, XLS, XLSX, XLSM, XLSB, XLAM, XTLX, XTLM, SLK, IQY, PPT, PPTX, PPTM, PPSX, PPSM, SLDX, SLDM, PPA, PPAM, THMX, POTX, POTM, XML, ACCDB, PUB, ODT, ODS, ODP |
Файлы Acrobat Reader |
|
Исполняемые файлы Java |
CLASS, JAR |
Файлы сценарных языков |
BAT, JS, JSE, PL, PS1, PY, SCT, SH, VBE, VBS, WSF, XSL |
Исполняемые файлы *nix |
ELF |
Другие |
7Z, ACE, ARJ, BZ2, CAB, CHM, DOCKER, EML, GZ, HTA, LNK, MOF, RAR, TAR, XZ, ZIP |
|
Файлы с расширениями ZIP, ARJ, XZ, ACE, TAR, BZ2, CAB, GZ, RAR, 7Z и EML можно отправить на анализ только через API. |
Размер загружаемого файла не должен превышать 1000 МБ.
В зависимости от формата каждого файла Dr.Web vxCube использует разные механизмы его обработки и способы запуска.
|
При выборе файлов Microsoft Office, Acrobat Reader и Java выбор операционной системы заменяется на выбор версии соответствующего приложения. Например, для PDF-файла появится выбор между 10.1, 11.0 и 15.10 версиями Acrobat Reader. |
Форматы файлов и способы их запуска
Формат файла |
Способ запуска |
|---|---|
EXE |
%sample% |
DLL |
regsvr32 /s %sample% |
CPL |
rundll32 shell32.dll, Control_RunDLL "%sample%" |
SYS |
sc create %random_name% type= kernel start= demand error= ignore binpath= "%sample%" DisplayName= %random_name% sc start %random_name% |
NATIVE APP |
rtlrun %sample% |
MSI |
msiexec.exe /i %sample% |
MHT |
winword %sample% |
XML |
msoxmled.exe |
RTF, DOC, DOCX, DOCM, DOTM, DOTX, WPS, ODT |
winword.exe |
XLS, XLSX, XLSM, XLSB, XLAM, XTLX, XTLM, SLK, IQY, ODS |
excel.exe |
PPT, PPTX, PPTM, PPSX, PPSM, SLDX, SLDM, PPA, PPAM, THMX, POTX, POTM, ODP |
powerpnt.exe |
ACCDB |
msaccess.exe |
PUB |
mspub.exe |
acrord32.exe |
|
JAR |
javaw -jar %sample% |
CLASS |
java %sample% |
JS, VBS, WSF, JSE, VBE |
wscript /b /nologo %sample% |
PS1 |
powershell -file %sample% |
BAT |
cmd /c %sample% |
SCT |
regsvr32.exe /s /i:%sample% scrobj.dll |
XSL |
wmic printjob get /format:"%sample%" |
MOF |
mofcomp %sample% |
LNK, HTA |
%sample% |
CHM |
hh.exe |
XLL |
excel.exe %sample% |
ELF |
%sample% |
SH |
bash %sample% |
PY |
python %sample% |
PL |
perl %sample% |
DOCKER |
docker load -i %sample% docker run %image_id% |
%sample% — имя файла на виртуальной машине в процессе анализа. %random_name% — случайным образом сгенерированное имя. |