- Сообщения
- 9,327
- Реакции
- 3,979
Смотрите видео ниже, чтобы узнать, как установить наш сайт в качестве веб-приложения на домашнем экране.
Примечание: Эта возможность может быть недоступна в некоторых браузерах.
скачать обновлённую версию можно тут.Buster Sandbox Analyzer написал(а):Я сделал два небольших изменения в BSA 1.88:
Первое изменение состоит в том, что в проводнике Windows, если вы щелкните правой кнопкой мыши на файле и выберите пункт "Анализ в BSA", то только этот файл будет проанализирован. Если вы хотите проанализировать папку, то выберите папку, щелкните правой кнопкой мыши и выберите пункт "Анализ в BSA".
Второе изменение заключается в том, из командной строки можно проанализировать только один файл, используя модификатор "-i" или "-file". Пример:
CMD/BATCH:bsa.exe -s 30 -i c:\test\notepad.exe
версию BSA тоже обновили?Добавил в комплект, обновил, можете скачать заново и проверить.
Просто повторю ответ, который писал на другом форуме, лень перебивать всё зановоА это ошибка при запуске BSA с чем связана? Запускаю на XP SP3
gjf в свежей портативной версии (видно после обновления плагина BSA) не всегда, скорее даже почти всегда не создаются папки с песочницами. Так что при запуске BSA невозможно указать папку с песочницей которую надо анализировать. Первоначально указал на эту ошибку здесь.
откуда взялся диск E:\ ? У меня на виртуалке только С:\ и D:\ это CD привод. Возможно с этим и связана та ошибка на которую я раньше указывал. [?]
for /f "tokens=3" %%a in ('reg query "HKLM\SYSTEM\CurrentControlSet\Control\Nls\CodePage" /v ACP') do set "AnsiCP=%%a"
for /f "tokens=2 delims=:" %%a in ('chcp') do set "CurrentCP=%%a"
chcp %AnsiCP% > nul
for /f "tokens=2*" %%a in ('reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Desktop') do set "DesktopPath=%%b"
del /f /q "%DesktopPath%\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%DesktopPath%\Web browser under Sandboxie.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\Web browser under Sandboxie.lnk"
chcp %CurrentCP% > nul
Написано: notepad-test.7z - значит, пароль "test"Testing Tools for Sandboxes\notepad-test.7z
это что и какой пароль?
cd /d "%~dp0"
BSA одна версия, точней один архив, внутри есть библиотеки для обоих разрядностей (сам исполняемый файл, который надо запускать один). Возможно ты спутал с x64 версией Sandboxie.x64-битную BSA
в этой портативной версии папки песочницы должны создаваться автоматом. На практике они у меня иногда создаются иногда нет, от чего зависит так и не понял.* А чтобы эта папка там создалась, нужно сначала хотя бы раз что-нибудь запустить в этой песочнице.
трудно сделать что-то не так, учитывая, что просто надо запустить один батник.Из этого делаю вывод, что Вы что-то делаете не так.
по крайней мере для хелпера у них немного разные назначения .а почему именно песочница? а не виртуальная машина?
Re: BSA
Sent: Mon Feb 09, 2015 9:58 pm
by Buster_BSA
gjf wrote:Actually, above mentioned Subjects are exactly what is absent
Could be like you say.
Anyway I will not take a look because meanwhile BSA is not supported, there is no point to continue working on it.
Regards.
Re: BSA
Sent: Mon Feb 09, 2015 8:33 pm
by gjf
Actually, above mentioned Subjects are exactly what is absent
Look:
C:\\Users\\Johnson\\AppData\\Local\\Temp\\feroge.exe <- Subject 3
C:\\Users\\Johnson\\AppData\\Local\\Temp\\pyizymn.exe <- Subject 4
Can you find any similar payload when analysing in other way (BSA, Anubis, Cuckoo)? Me - not.
Page 158:
Name Resolutions
Hostname Results
ppc.cba.pl 95.211.144.65
cargol.cat 217.149.7.213
smartoptionsinc.com 216.70.228.110
www.download.windowsupdate.com 165.254.42.66, 165.254.42.89
Did you find any of such resolution when analysing in other way (except the last one)? Me - not.
Re: BSA
Sent: Mon Feb 09, 2015 8:00 pm
by Buster_BSA
gjf wrote:Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.
I have looked at Subject 3 and 4 and I do not see anything. You will have to be more specific about what I should look. Or even better, copy&paste here the information you consider relevant.
Regards.
Re: BSA
Sent: Mon Feb 09, 2015 4:47 pm
by gjf
Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.
Re: BSA
Sent: Mon Feb 09, 2015 1:43 am
by Buster_BSA
gjf wrote:Hi!
Are you still in business?
Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.
The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".
Any comments?
I am still around but I will not be doing any update in the software until Invincea team supports BSA as Ronen used to do and I doubt very much they do it.
I took a look to LastLine´s report and I was like this:
315 pages of report? Seriously?
The report says the sample injects to other processes. Maybe the malware launches from injected process and as Sandboxie does not allow process injection, the sample fails to run and therefore it can not be analyzed properly.
Regards.
BSA
Sent: Sun Feb 08, 2015 5:45 pm
by gjf
Hi!
Are you still in business?
Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.
The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".
Any comments?
Buster, больше не обновляет свою программу, но она рабочая и такого простого и удобного аналога для оффлайн анализа нету. Так что не смотря на то что BSA больше не обновляется им скорее всего ещё долго будут пользоваться.Так что не вижу смысла подтягивать гайки в паровозе, который сошёл с рельс.
Но при этом на x64 системах BSA работает портабл сборка нет.Проект закрыт, поскольку автор BSA закрыл свой проект.
Восстановили доступ к файлу, теперь скачивается без проблем.
Внимание, в связи с пылкой любовью АВ вендоров к некоторым файлам на архив установлен пароль: safezone.cc