SheepDip

A SheepDip egy olyan mesterséges környezet, ahol a "veszélyesnek" ítélt file-okat, adathotdozókat, programokat kipróbálhatjuk mielőtt az éles környezetben károkat okoznánk velük.
 Ez tulajdonképpen nem más, mint egy speciális virtuális gép amiben fut pár előre feltelepített alkalmazás amiknek a segítségével analizálhatjuk a programokat és egyéb adathordozókat, mielőtt az éles környezetben elindítanánk. Én egy Windows XP-t használok erre a célra. Telepítettem egy avast vírusírtót, amit updatelek a vizsgálat előtt. Van egy mentés a rendszerről egy snapshot amire bármikor vissza lehet térni, ha esetleg kárt tenne a program a rendszerben és manuális módon nem lehetne kijavítani.. A következő programokat használom a vizsgálathoz :

• Process Explorer, Process Monitor 
• Regshot, JV Power tools 
• SrvMan , ServiWin 
• Starter 
• Netresident és Tcpview 
• Bintext 
• Ollydbg 

Mielőtt a programot elindítanám preparálni kell a rendszert. Kell készíteni egy lenyomatot a registry-ről. A fontosabb operációs rendszer fájlokról is kell készíteni egy integritás lenyomatot fciv-vel. Monitorozom a programot a Process monitorral és a hálózatot a tcpview-al vagy a netresident-el (vagy mindkettővel) A virtuális gép természetesen futhat host-only környezetben, de ha a programot futás időben akarom megfigyelni, akkor jobb bridgelt környezetben futtatni, mert így azt is lehet látni, ha adatokat küld valamerre. Ezzel a környezettel egyúttal a vírusirtót (AntiMalware , Anti Spyware szoftvereinket) is tudjuk tesztelni. Fennakad-e a hálójukon a kártékony kód vagy sem. A Starter, SrvMan, Serviwin, bittext és a többi tool pedig akkor kell, ha káros programot talál a vizsgálat. Ebben az esetben gyorsan lehet lokalizálni, hogy a kártékony program hol próbál meg beépülni a rendszerbe.Registry-be, Service-ként, op-rendszer fájlt felülírva, vagy melyik módszert próbálja meg használni.