File_Analysis

File_Analysis是一款专业的网络行为分析诊断工具，它可以为你监视多个进程的网络行为并记录在日志中，添加目录后可以查看到文件描述、创建时间、WIRSCAN、VIRUSTOTAL等信息，File_Analysis不是一个沙盒，强烈建议在虚拟机下运行。

什么是File_Analysis？File_Analysis的亮点在哪？

File_Analysis是一款出色的行为分析工具(网络操作实现抓包功能)，支持多个进程同时运行分析，不仅能够记录行为，还能使程序在安全环境下运行；在文件方面，构建一个简单的安全环境，会在File_Analysis同目录下创建一个名为“File_safe”的安全文件夹，可以理解为文件安全释放环境，会自动生成程序行为日志存放于此，包括母体释放的文件都会被存放在这里，不会写出实际环境，也可以随时获取子样本，删除文件也一样，仅仅只是删除安全环境下的文件，不会对实际环境造成任何影响

File_Analysis是沙盒(箱)吗？运行中的程序报错崩溃是怎么回事？

首先File_Analysis并不能算是完整意义上的沙盒，因为只有文件方面构建了安全环境，当然其他方面也可以进行构建，如果是构建一个真正的沙盒(箱)环境，那么工程量太大了，所以目前只做了文件方面的，其他方面则使用了修改命令返回值的方式，同样不会影响实际环境，只是这种方式比较简单，难免不会出错；对于程序可能运行出现中途报错崩溃的情况，主要是因为规则还没有完善和程序自身的逻辑判断导致的；因为并不是简单的拦截阻止行为操作，而且拦截后修改命令返回值，造成一种成功的假象欺骗程序执行下一步操作

File_Analysis是否安全？支持显示哪些行为？

File_Analysis默认阻止驱动加载，保证了运行中的程序安全可控，“漏沙”的可能性非常低，就算“漏沙”了，也不会造成多大影响，因为针对关键行为都有防护，可以说重启了发现还是原样；除了能显示进程、文件、注册表等基础行为外，还可以显示驱动操作、网络操作、进程注入操作、全局钩子行为等等

如何使白+黑木马等带有DLL类型的文件在File_Analysis里成功运行？

File_Analysis运行机制是将源文件复制至File_safe文件夹下再运行，并非原路径运行，所以也应该将所需的配置文件手动复制至File_safe文件夹下，这样才能达到运行的条件

File_Analysis刷新日志的两种方式及巧妙使用技巧

第一种方式是非常便捷的自动刷新日志，但这种方式会过于消耗资源和不宜同时查看日志内容，建议运行时开启，发现程序没有继续产生行为时关闭；第二种方式是手动刷新日志，点击▼按钮，选择指定进程名称点击会刷新一次，虽然比较麻烦，但如果有较好的运行判定能力，知道什么时候该刷新了，会减少很多重复步骤。我个人比较喜欢第二种；日志刷新并不是重新载入日志文件，那样会很浪费时间，而是在已有日志的内容基础上，读取还未被载入的日志内容

特别声明

推荐在虚拟机环境下使用，支持Windows 7及以上系统(32/64位)，仅适用于32位可执行文件；如果个别C#程序采取了64位系统优先启动方式，请将该程序放置32位系统下运行