Портабельный комплекс для начального исследования потенциально вредоносных файлов

Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Итак, по предложению Кости создаю давно назревшую тему.

Многие обучающиеся здесь знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их - запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал - можете покинуть эту тему, Вам будет неинтересно :) Или сходите сюда и просветитесь: Buster Sandbox Analyzer

О настройке системы было много сказано и на Хабре, в журнале "Хакер", и на этом форуме. Основная проблема была в начальной настройке - как установить, что изменить, что прописать.

Поэтому я напрягся немного, попутно напряг ещё нескольких людей - и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: http://tools.safezone.cc/gjf/Sandboxie-portable.zip

Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней - всё просто.

1. Запускать систему надо с помощью файла start.cmd. Запускать от имени Администратора.

2. Исходно система настроена на русский язык. Если нужно, чтобы выбирался другой язык - пропишите номер кодовой страницы в файле Language.txt, что в папке Templates. Либо вообще удалите этот файл - будет использован язык установленной системы.

3. По окончании работы запустите stop.cmd. Все настройки сохранятся в соответствующих файлах в папке Templates, а система будет выгружена. Если необходимо вернуть настрйоки по умолчанию - запустите файл Templates.exe в одноимённой папке, он распакует исходные файлы.

Жду отзывов и багтрека :)

Добавлено через 18 минут 32 секунды
Ох, чуть не забыл!

Несколько слов о BSA.ini.template и sandboxie.ini.template в папке Templates!

По сути своей это - файлы настроек BSA и Sandboxie, которые подсовываются в систему во время работы, а затем обратно записываются в Templates по окончании.

Параметры, которые там меняются - это документированные параметры каждой из программ. Но есть три нюанса, о которых я и расскажу.

BSA.ini.template
В файле можно прописать в любом месте следующие шаблоны:
$(Language) - кодовая страница языка
$(InstallDrive) - диск, с которого запущена портабельная система
$(InstallPath) - папка, из которой запущена портабельная система

Sandboxie.ini.template
$(InstallDrive) - диск, с которого запущена портабельная система
$(InstallPath) - папка, из которой запущена портабельная система
Шаблоны работают только для параметров FileRootPath и InjectDll.

По сути, в ходе выполнения start.cmd шаблоны преобразуются в соответствующие значения, а после выполнения stop.cmd - обратно преобразуются в шаблоны и возвращаются в папку Templates.

По умолчанию, Sandboxie настроена на четыре песочницы:
BSA - для анализа с помощью Buster Sandbox Analyzer
Secure - для безопасного выполнения приложений (браузеров и т.д.)
Undelete - для выполнения приложений с сохранением всех создаваемых файлов (даже если исполняемый модель будет пытаться их удалить) - ВНИМАНИЕ: ряд инсталляторов в этой песочнице работать не будут
Unpack - для распаковки инсталляторов (мнимая инсталляция в песочнице)

Тем не менее Вы вольны создавать сколько угодно новых песочниц, их настройки сохранятся по окончании работы в файлах из Templates.

Комплекс сделан на основании shareware-лицензии Sandboxie, вполне работоспособен с ограничениями, наложенным автором. Ограничения могут быть сняты пытливыми умами, но в таком случае Вы нарушаете условия лицензионного пользования и действуете противозаконно! (я обязан был Вас предупредить)
--------------
Отдельные модули:
BSA Api Log to csv Converter
Доп. гайд по подготовке к первому запуску.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
16,367
Реакции
13,006
Баллы
2,203
Нужно что-то сделать с отличниками :)

 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Ну что я могу сказать, Костя.... Те, кому эта утилита нужна - сами разберутся, а те, кто испугаются - всё равно в ней ничего не поймут. Своеобразный естественный отбор.
 

akok

Команда форума
Администратор
Сообщения
16,367
Реакции
13,006
Баллы
2,203
Может уберем тестовые файлы в архив с паролем? Дабы не нервничали.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Костя, даже не подумаю. Народ должен привыкать к таким вещам. Знаешь, сколько у меня рабочего утиля "с вирусами"?
 

akok

Команда форума
Администратор
Сообщения
16,367
Реакции
13,006
Баллы
2,203
Не меньше чем у меня :) Но на виртуалке у меня нет антивируса, это делает жизнь проще.
 

akok

Команда форума
Администратор
Сообщения
16,367
Реакции
13,006
Баллы
2,203
Что порекомендуешь?
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
akoK, не знаю. Случайно не стоит что-то типа Internet Security? Может, права ограничены?

У меня такое было, когда BSA запускался в песочнице CIS. Ошибка может не такая же, но похожая.
 

akok

Команда форума
Администратор
Сообщения
16,367
Реакции
13,006
Баллы
2,203
Запуск идет на Oracle VM VirtualBox
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,913
Баллы
998
При запуске BSA ругалось, что нету файлов wpcap.dll и Packet.dll
при запуске выдаёт сообщение что плагин устарел и просит обновить до версии 1.72 (в сборке версия 1.69) во время запуски программы выдало ошибку что-то неправильное имя песочницы по умолчанию. Создал песочницу с именем DefaultBox в ней программа запустилась.

ЗЫ. если можно предусмотрите защиту от удаления настроек и т.д. если на компьютере имеется инсталлированная версия Sandboxie.

тестировал на xp sp3
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,913
Баллы
998
akoK, файлы уже нашёл и положил иначе не сумел бы запустить, но имхо это как-то неправильно ... по идее это должен быть готовый пакет, скачал запустил и работает.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,913
Баллы
998
Скрин из поста №2 уже не актуален ;)
ЛК убрала детект на эти файлы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,913
Баллы
998

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Сборку обновил в связи с актуализацией BSA.
Запуск идет на Oracle VM VirtualBox
VMWare 8 - Win XP x32 - всё работает.

При запуске BSA ругалось, что нету файлов wpcap.dll и Packet.dll
при запуске выдаёт сообщение что плагин устарел и просит обновить до версии 1.72 (в сборке версия 1.69) во время запуски программы выдало ошибку что-то неправильное имя песочницы по умолчанию. Создал песочницу с именем DefaultBox в ней программа запустилась.
Не подтверждаю. Как запускалась система? До этого Sandboxie была установлена? На системе установлены какие-то программы типа Internet Security?

Добавлено через 1 минуту 27 секунд
по идее это должен быть готовый пакет, скачал запустил и работает.
К сожалению, WinPCAP должен быть установлен в системе, если есть желание снимать сетевые дампы. Портабелизовать этот пакет я не могу.

К счастью, WinPCAP активно используют многие программы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,913
Баллы
998
Не подтверждаю. Как запускалась система? До этого Sandboxie была установлена? На системе установлены какие-то программы типа Internet Security?
Sandboxie на том компьютере никогда не было.
На системе установлены какие-то программы типа Internet Security?
Emsisoft Internet Security Pack
К сожалению, WinPCAP должен быть установлен в системе
дополнительно ничего устанавливать не пришлось, после того как файлы были скопированы запустилось.
 
Сверху Снизу