Портабельный комплекс для начального исследования потенциально вредоносных файлов

Обсуждение. Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

Нет прав для скачивания
  • Автор темы Автор темы gjf
  • Дата начала Дата начала

gjf

Ассоциация VN
Сообщения
641
Реакции
603
Итак, по предложению Кости создаю давно назревшую тему.

Многие обучающиеся здесь знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их - запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал - можете покинуть эту тему, Вам будет неинтересно :) Или сходите сюда и просветитесь: Buster Sandbox Analyzer

О настройке системы было много сказано и на Хабре, в журнале "Хакер", и на этом форуме. Основная проблема была в начальной настройке - как установить, что изменить, что прописать.

Поэтому я напрягся немного, попутно напряг ещё нескольких людей - и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: http://tools.safezone.cc/gjf/Sandboxie-portable.zip

Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней - всё просто.

1. Запускать систему надо с помощью файла start.cmd. Запускать от имени Администратора.

2. Исходно система настроена на русский язык. Если нужно, чтобы выбирался другой язык - пропишите номер кодовой страницы в файле Language.txt, что в папке Templates. Либо вообще удалите этот файл - будет использован язык установленной системы.

3. По окончании работы запустите stop.cmd. Все настройки сохранятся в соответствующих файлах в папке Templates, а система будет выгружена. Если необходимо вернуть настрйоки по умолчанию - запустите файл Templates.exe в одноимённой папке, он распакует исходные файлы.

Жду отзывов и багтрека :)

Добавлено через 18 минут 32 секунды
Ох, чуть не забыл!

Несколько слов о BSA.ini.template и sandboxie.ini.template в папке Templates!

По сути своей это - файлы настроек BSA и Sandboxie, которые подсовываются в систему во время работы, а затем обратно записываются в Templates по окончании.

Параметры, которые там меняются - это документированные параметры каждой из программ. Но есть три нюанса, о которых я и расскажу.

BSA.ini.template
В файле можно прописать в любом месте следующие шаблоны:
$(Language) - кодовая страница языка
$(InstallDrive) - диск, с которого запущена портабельная система
$(InstallPath) - папка, из которой запущена портабельная система

Sandboxie.ini.template
$(InstallDrive) - диск, с которого запущена портабельная система
$(InstallPath) - папка, из которой запущена портабельная система
Шаблоны работают только для параметров FileRootPath и InjectDll.

По сути, в ходе выполнения start.cmd шаблоны преобразуются в соответствующие значения, а после выполнения stop.cmd - обратно преобразуются в шаблоны и возвращаются в папку Templates.

По умолчанию, Sandboxie настроена на четыре песочницы:
BSA - для анализа с помощью Buster Sandbox Analyzer
Secure - для безопасного выполнения приложений (браузеров и т.д.)
Undelete - для выполнения приложений с сохранением всех создаваемых файлов (даже если исполняемый модель будет пытаться их удалить) - ВНИМАНИЕ: ряд инсталляторов в этой песочнице работать не будут
Unpack - для распаковки инсталляторов (мнимая инсталляция в песочнице)

Тем не менее Вы вольны создавать сколько угодно новых песочниц, их настройки сохранятся по окончании работы в файлах из Templates.

Комплекс сделан на основании shareware-лицензии Sandboxie, вполне работоспособен с ограничениями, наложенным автором. Ограничения могут быть сняты пытливыми умами, но в таком случае Вы нарушаете условия лицензионного пользования и действуете противозаконно! (я обязан был Вас предупредить)
--------------
Отдельные модули:
BSA Api Log to csv Converter
Доп. гайд по подготовке к первому запуску.
 
Последнее редактирование модератором:
Нужно что-то сделать с отличниками :)
 
Ну что я могу сказать, Костя.... Те, кому эта утилита нужна - сами разберутся, а те, кто испугаются - всё равно в ней ничего не поймут. Своеобразный естественный отбор.
 
Может уберем тестовые файлы в архив с паролем? Дабы не нервничали.
 
Костя, даже не подумаю. Народ должен привыкать к таким вещам. Знаешь, сколько у меня рабочего утиля "с вирусами"?
 
Не меньше чем у меня :) Но на виртуалке у меня нет антивируса, это делает жизнь проще.
 
Что порекомендуешь?
Link Removed
 
akoK, не знаю. Случайно не стоит что-то типа Internet Security? Может, права ограничены?

У меня такое было, когда BSA запускался в песочнице CIS. Ошибка может не такая же, но похожая.
 
Запуск идет на Oracle VM VirtualBox
 
При запуске BSA ругалось, что нету файлов wpcap.dll и Packet.dll
при запуске выдаёт сообщение что плагин устарел и просит обновить до версии 1.72 (в сборке версия 1.69) во время запуски программы выдало ошибку что-то неправильное имя песочницы по умолчанию. Создал песочницу с именем DefaultBox в ней программа запустилась.

ЗЫ. если можно предусмотрите защиту от удаления настроек и т.д. если на компьютере имеется инсталлированная версия Sandboxie.

тестировал на xp sp3
 
akoK, файлы уже нашёл и положил иначе не сумел бы запустить, но имхо это как-то неправильно ... по идее это должен быть готовый пакет, скачал запустил и работает.
 
Скрин из поста №2 уже не актуален ;)
ЛК убрала детект на эти файлы.
 
Сборку обновил в связи с актуализацией BSA.
Запуск идет на Oracle VM VirtualBox
VMWare 8 - Win XP x32 - всё работает.

При запуске BSA ругалось, что нету файлов wpcap.dll и Packet.dll
при запуске выдаёт сообщение что плагин устарел и просит обновить до версии 1.72 (в сборке версия 1.69) во время запуски программы выдало ошибку что-то неправильное имя песочницы по умолчанию. Создал песочницу с именем DefaultBox в ней программа запустилась.
Не подтверждаю. Как запускалась система? До этого Sandboxie была установлена? На системе установлены какие-то программы типа Internet Security?

Добавлено через 1 минуту 27 секунд
по идее это должен быть готовый пакет, скачал запустил и работает.
К сожалению, WinPCAP должен быть установлен в системе, если есть желание снимать сетевые дампы. Портабелизовать этот пакет я не могу.

К счастью, WinPCAP активно используют многие программы.
 
Не подтверждаю. Как запускалась система? До этого Sandboxie была установлена? На системе установлены какие-то программы типа Internet Security?
Sandboxie на том компьютере никогда не было.
На системе установлены какие-то программы типа Internet Security?
Emsisoft Internet Security Pack
К сожалению, WinPCAP должен быть установлен в системе
дополнительно ничего устанавливать не пришлось, после того как файлы были скопированы запустилось.
 
Назад
Сверху Снизу