Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

Портабельный комплекс Buster Sandbox Analyzer и Sandboxie

  1. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Итак, по предложению Кости создаю давно назревшую тему.

    Многие обучающиеся здесь знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их - запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал - можете покинуть эту тему, Вам будет неинтересно :) Или сходите сюда и просветитесь: http://bsa.isoftware.nl

    О настройке системы было много сказано и на Хабре, в журнале "Хакер", и на этом форуме. Основная проблема была в начальной настройке - как установить, что изменить, что прописать.

    Поэтому я напрягся немного, попутно напряг ещё нескольких людей - и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: http://tools.safezone.cc/gjf/Sandboxie-portable.zip

    Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней - всё просто.

    1. Запускать систему надо с помощью файла start.cmd. Запускать от имени Администратора.

    2. Исходно система настроена на русский язык. Если нужно, чтобы выбирался другой язык - пропишите номер кодовой страницы в файле Language.txt, что в папке Templates. Либо вообще удалите этот файл - будет использован язык установленной системы.

    3. По окончании работы запустите stop.cmd. Все настройки сохранятся в соответствующих файлах в папке Templates, а система будет выгружена. Если необходимо вернуть настрйоки по умолчанию - запустите файл Templates.exe в одноимённой папке, он распакует исходные файлы.

    Жду отзывов и багтрека :)

    Добавлено через 18 минут 32 секунды
    Ох, чуть не забыл!

    Несколько слов о BSA.ini.template и sandboxie.ini.template в папке Templates!

    По сути своей это - файлы настроек BSA и Sandboxie, которые подсовываются в систему во время работы, а затем обратно записываются в Templates по окончании.

    Параметры, которые там меняются - это документированные параметры каждой из программ. Но есть три нюанса, о которых я и расскажу.

    BSA.ini.template
    В файле можно прописать в любом месте следующие шаблоны:
    $(Language) - кодовая страница языка
    $(InstallDrive) - диск, с которого запущена портабельная система
    $(InstallPath) - папка, из которой запущена портабельная система

    Sandboxie.ini.template
    $(InstallDrive) - диск, с которого запущена портабельная система
    $(InstallPath) - папка, из которой запущена портабельная система
    Шаблоны работают только для параметров FileRootPath и InjectDll.

    По сути, в ходе выполнения start.cmd шаблоны преобразуются в соответствующие значения, а после выполнения stop.cmd - обратно преобразуются в шаблоны и возвращаются в папку Templates.

    По умолчанию, Sandboxie настроена на четыре песочницы:
    BSA - для анализа с помощью Buster Sandbox Analyzer
    Secure - для безопасного выполнения приложений (браузеров и т.д.)
    Undelete - для выполнения приложений с сохранением всех создаваемых файлов (даже если исполняемый модель будет пытаться их удалить) - ВНИМАНИЕ: ряд инсталляторов в этой песочнице работать не будут
    Unpack - для распаковки инсталляторов (мнимая инсталляция в песочнице)

    Тем не менее Вы вольны создавать сколько угодно новых песочниц, их настройки сохранятся по окончании работы в файлах из Templates.

    Комплекс сделан на основании shareware-лицензии Sandboxie, вполне работоспособен с ограничениями, наложенным автором. Ограничения могут быть сняты пытливыми умами, но в таком случае Вы нарушаете условия лицензионного пользования и действуете противозаконно! (я обязан был Вас предупредить)
     
    Последнее редактирование: 3 окт 2013
    E100, Diver, Dragokas и 17 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Нужно что-то сделать с отличниками :)

    [​IMG]
     
  3. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Ну что я могу сказать, Костя.... Те, кому эта утилита нужна - сами разберутся, а те, кто испугаются - всё равно в ней ничего не поймут. Своеобразный естественный отбор.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Может уберем тестовые файлы в архив с паролем? Дабы не нервничали.
     
  5. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Костя, даже не подумаю. Народ должен привыкать к таким вещам. Знаешь, сколько у меня рабочего утиля "с вирусами"?
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Не меньше чем у меня :) Но на виртуалке у меня нет антивируса, это делает жизнь проще.
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Что порекомендуешь?
    [​IMG]
     
  8. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    akoK, не знаю. Случайно не стоит что-то типа Internet Security? Может, права ограничены?

    У меня такое было, когда BSA запускался в песочнице CIS. Ошибка может не такая же, но похожая.
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Запуск идет на Oracle VM VirtualBox
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    При запуске BSA ругалось, что нету файлов wpcap.dll и Packet.dll
    при запуске выдаёт сообщение что плагин устарел и просит обновить до версии 1.72 (в сборке версия 1.69) во время запуски программы выдало ошибку что-то неправильное имя песочницы по умолчанию. Создал песочницу с именем DefaultBox в ней программа запустилась.

    ЗЫ. если можно предусмотрите защиту от удаления настроек и т.д. если на компьютере имеется инсталлированная версия Sandboxie.

    тестировал на xp sp3
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Файлы найдешь по пути Sandboxie\Buster Sandbox Analyzer\PCAP
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    akoK, файлы уже нашёл и положил иначе не сумел бы запустить, но имхо это как-то неправильно ... по идее это должен быть готовый пакет, скачал запустил и работает.
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Скрин из поста №2 уже не актуален ;)
    ЛК убрала детект на эти файлы.
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ну и прекрасно раз не актуален.
     
  15. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    ЛК просто так не убрала бы ;)
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Варианты?
     
  17. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    akoK, отправил файлы в вирлаб с пометкой ложное срабатывание. Детект убрали.)
     
    1 человеку нравится это.
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    так она и не просто так убрала, два дня с ними переписывался :)
     
  19. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Сборку обновил в связи с актуализацией BSA.
    VMWare 8 - Win XP x32 - всё работает.

    Не подтверждаю. Как запускалась система? До этого Sandboxie была установлена? На системе установлены какие-то программы типа Internet Security?

    Добавлено через 1 минуту 27 секунд
    К сожалению, WinPCAP должен быть установлен в системе, если есть желание снимать сетевые дампы. Портабелизовать этот пакет я не могу.

    К счастью, WinPCAP активно используют многие программы.
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Sandboxie на том компьютере никогда не было.
    Emsisoft Internet Security Pack
    дополнительно ничего устанавливать не пришлось, после того как файлы были скопированы запустилось.
     

Поделиться этой страницей