Портабельный комплекс для начального исследования потенциально вредоносных файлов

Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
gjf, regist, да бог с ним, с этим ярлыком.
WinPcap установил и кажется теперь все работает на портабельной Sandboxie, так же как и на ранее установленной Sandboxie в другой системе.
Процесс на портабельной пошел)))
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
Buster Sandbox Analyzer написал(а):
Я сделал два небольших изменения в BSA 1.88:

Первое изменение состоит в том, что в проводнике Windows, если вы щелкните правой кнопкой мыши на файле и выберите пункт "Анализ в BSA", то только этот файл будет проанализирован. Если вы хотите проанализировать папку, то выберите папку, щелкните правой кнопкой мыши и выберите пункт "Анализ в BSA".

Второе изменение заключается в том, из командной строки можно проанализировать только один файл, используя модификатор "-i" или "-file". Пример:
CMD/BATCH:
bsa.exe -s 30 -i c:\test\notepad.exe
скачать обновлённую версию можно тут.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
Released update 4 for version 1.88.
качать тут.
  • Исправлен баг когда BSA не мог получить ответ от Virustotal (связан с изменением работы сервиса - ограничение на проверку файлов. Проявлялся если перед этим проверить файлы на VT).
  • Исправлена информация о версии файла (FileVersion information).
  • Исправлен баг с функцией создания скриншотов.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
NoDelete кто-нибудь тестировал его?
Стоит ли заменить им плагин Anti delete ?
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
Ну пишут, что полный аналог, разве что добавили ещё версию для х64.
Вроде как работает.
Добавил в комплект, обновил, можете скачать заново и проверить.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
Ну я это даже без объявлений обновляю )
А что, качается старая?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
Просто пока поленился скачать ))).проверил качается свежая.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
А это ошибка при запуске BSA с чем связана? Запускаю на XP SP3

+
Код:
Testing Tools for Sandboxes\notepad-test.7z
это что и какой пароль?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,906
Баллы
648
BSA Api Log to csv Converter

Запуск:
  • wscript BSA_Api2csv.vbs <logfile>
  • или без аргументов запустить рядом с LOG_API.TXT
Вопрос: зачем оно нужно просьба оставить при себе.
 

Вложения

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
А это ошибка при запуске BSA с чем связана? Запускаю на XP SP3
Просто повторю ответ, который писал на другом форуме, лень перебивать всё заново :)

[user]regist123[/user] (23:24 08-08-2014)
gjf в свежей портативной версии (видно после обновления плагина BSA) не всегда, скорее даже почти всегда не создаются папки с песочницами. Так что при запуске BSA невозможно указать папку с песочницей которую надо анализировать. Первоначально указал на эту ошибку здесь.
Только что:
1. Запустил в VM Windows XP SP3.
2. Удалил Sandboxie (была ранее установлена.
3. Перезагрузил VM.
4. Распаковал портабельную систему на C:
5. Запустил start.cmd
6. Запустил BSA.
7. Запустил в песочнице BSA Adobe Reader. Логи побежали. Когда закрыл Adobe Reader - всё отлично нашлось и проанализировалось.

Из этого делаю вывод, что Вы что-то делаете не так.

[user]regist123[/user] (15:28 28-08-2014)
откуда взялся диск E:\ ? У меня на виртуалке только С:\ и D:\ это CD привод. Возможно с этим и связана та ошибка на которую я раньше указывал. [?]
Это связано с тем, что сама Sandboxie гадит этими записями. Почистить их должен был кусок кода
Код:
for /f "tokens=3"  %%a in ('reg query "HKLM\SYSTEM\CurrentControlSet\Control\Nls\CodePage" /v ACP') do set "AnsiCP=%%a"
for /f "tokens=2 delims=:" %%a in ('chcp') do set "CurrentCP=%%a"
chcp %AnsiCP% > nul
for /f "tokens=2*" %%a in ('reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Desktop') do set "DesktopPath=%%b"
del /f /q "%DesktopPath%\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%DesktopPath%\Web browser under Sandboxie.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\Web browser under Sandboxie.lnk"
chcp %CurrentCP% > nul
Как видно, он не работает, а связано это с тем, что в командных скриптах трудно закодить удаление ярлыка с именем в другой кодовой странице.

Как я уже говорил, система несовершенна, её неплохо бы сделать в VBS, с вариантами в 32- и 64-битах, но это уже - "задание потомкам" :) Вон, Dragokas классно кодит такие скрипты - попросите его, я буду только рад.

Testing Tools for Sandboxes\notepad-test.7z
это что и какой пароль?
Написано: notepad-test.7z - значит, пароль "test" :)
Это - обычный Блокнот из Windows. Нужен для проверки заражения файловыми инфекторами. То бишь: запустил инфектор, потом запустил этот Блокнот - проверил, как заразило.
По сути любой файл можно использовать, но иногда svchost, explorer, cmd забиты как "не инфицировать".

Да и там папка с dll-инжекторами устарела, как BSA обновится или сделают добротную 4-ю версию без багов - обновлю и инжекторы.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,906
Баллы
648
Таки дошли руки опробовать сей замечательный инструмент (точней, regist заставил -) и все за меня настроил.

Стоить отметить, что на x64 сборка не работает (Sandboxie не стартует, ошибку не выдает),
но если скачать ее самостоятельно с оффсайта, затем отдельно к ней поставить и настроить x64-битную BSA,
то все прекрасно отрабатывает. API 64-битных процессов отслеживаются.

Неплохо бы добавить в описание, что нужно обязательно установить VC++ 2010 (SP1) redistributable: http://www.microsoft.com/ru-ru/download/details.aspx?id=26999
(а то при запуске программ в песочнице будет сыпать кучу ошибок).
Также, неплохо бы мини-гайд про BSA, что:
- нужно установить Winpcap
- поправить в конфигурации пути к внедряемым библиотекам: Управление SandBoxie -> Настройка -> Редактировать конфигурацию -> InjectDll, далее Настройка -> Перезагрузить конфигурацию.
- затем запустить сам BSA из папки: ..\Sandboxie\Buster Sandbox Analyzer\BSA.EXE
- выбрать в нем папку песочницы (C:\Sandbox\BSA)*
* А чтобы эта папка там создалась, нужно сначала хотя бы раз что-нибудь запустить в этой песочнице.
- нажать в BSA "Запустить анализ".
- уж затем правый клик по анализируемой программе -> запустить в песочнице -> имя песочницы "BSA"
- Для завершения анализа, все запущенные и дочерние процессы должны быть завершены (самостоятельно или принудительно). Затем жмем кнопку "Завершить анализ".

В Win7x32 сборка работает *, если немного поправить скрипт start.cmd,
а именно: дописать во 2-ю строку команду
Код:
cd /d "%~dp0"
и не забыть запускать его ПКМ -> от имени Администратора.
(со скриптом stop.cmd желательно сделать тоже самое)
 
Последнее редактирование:

kmscom

Активный пользователь
Сообщения
269
Реакции
42
Баллы
108
а почему именно песочница? а не виртуальная машина?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
немного поправлю,
BSA одна версия, точней один архив, внутри есть библиотеки для обоих разрядностей (сам исполняемый файл, который надо запускать один). Возможно ты спутал с x64 версией Sandboxie.
Гайд по настройке должен быть в закрытом разделе.
* А чтобы эта папка там создалась, нужно сначала хотя бы раз что-нибудь запустить в этой песочнице.
в этой портативной версии папки песочницы должны создаваться автоматом. На практике они у меня иногда создаются иногда нет, от чего зависит так и не понял.
Из этого делаю вывод, что Вы что-то делаете не так.
трудно сделать что-то не так, учитывая, что просто надо запустить один батник.
а почему именно песочница? а не виртуальная машина?
по крайней мере для хелпера у них немного разные назначения ;).
Sandboxie + BSA это полу-автоматичеческий комплекс для анализа малвари.
А в виртуалке это надо с процесс монитором и прочими инструментами сидеть и отслеживать, правда зато сведений можно получить больше.
+ У Sandboxie намного меньшие системные требования.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
Как бы поздно спохватились.
Проект закрыт, поскольку автор BSA закрыл свой проект.
На последних сэмплах комплекс ничего не показывает, что крайне опасно.
Реакция автора следующая:
Re: BSA
Sent: Mon Feb 09, 2015 9:58 pm
by Buster_BSA

gjf wrote:Actually, above mentioned Subjects are exactly what is absent



Could be like you say.

Anyway I will not take a look because meanwhile BSA is not supported, there is no point to continue working on it.

Regards.
Re: BSA
Sent: Mon Feb 09, 2015 8:33 pm
by gjf

Actually, above mentioned Subjects are exactly what is absent


Look:
C:\\Users\\Johnson\\AppData\\Local\\Temp\\feroge.exe <- Subject 3
C:\\Users\\Johnson\\AppData\\Local\\Temp\\pyizymn.exe <- Subject 4

Can you find any similar payload when analysing in other way (BSA, Anubis, Cuckoo)? Me - not.

Page 158:
Name Resolutions
Hostname Results
ppc.cba.pl 95.211.144.65
cargol.cat 217.149.7.213
smartoptionsinc.com 216.70.228.110
www.download.windowsupdate.com 165.254.42.66, 165.254.42.89

Did you find any of such resolution when analysing in other way (except the last one)? Me - not.
Re: BSA
Sent: Mon Feb 09, 2015 8:00 pm
by Buster_BSA

gjf wrote:Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.


I have looked at Subject 3 and 4 and I do not see anything. You will have to be more specific about what I should look. Or even better, copy&paste here the information you consider relevant.

Regards.
Re: BSA
Sent: Mon Feb 09, 2015 4:47 pm
by gjf

Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.
Re: BSA
Sent: Mon Feb 09, 2015 1:43 am
by Buster_BSA

gjf wrote:Hi!

Are you still in business?

Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.

The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".

Any comments?


I am still around but I will not be doing any update in the software until Invincea team supports BSA as Ronen used to do and I doubt very much they do it.

I took a look to LastLine´s report and I was like this:


315 pages of report? Seriously?

The report says the sample injects to other processes. Maybe the malware launches from injected process and as Sandboxie does not allow process injection, the sample fails to run and therefore it can not be analyzed properly.

Regards.
BSA
Sent: Sun Feb 08, 2015 5:45 pm
by gjf

Hi!

Are you still in business?

Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.

The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".

Any comments?
Так что не вижу смысла подтягивать гайки в паровозе, который сошёл с рельс.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
Так что не вижу смысла подтягивать гайки в паровозе, который сошёл с рельс.
Buster, больше не обновляет свою программу, но она рабочая и такого простого и удобного аналога для оффлайн анализа нету. Так что не смотря на то что BSA больше не обновляется им скорее всего ещё долго будут пользоваться.
Проект закрыт, поскольку автор BSA закрыл свой проект.
Но при этом на x64 системах BSA работает портабл сборка нет.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
Короче, ссылка на сабж по ряду причин поломалась.
Но Сеть всё помнит, вроде это последняя версия: Sandboxie-portable 05.07.2014.zip

Есть ряд замечаний
На самом деле я уже давно не возился с этим делом. Помню, что автор заявлял 100% работу с Sandboxie 3.76, но вроде как работала и с бетой 3.81-08. Потом пробовал с четвёртой линейкой, вроде работала с 4.12, с последней 4.20 не проверял, с пятыми версиями - тем более.
Если кто-то возьмётся потестить и определит последнюю на 100% рабочую версию - ОК, обновлю, может приделаю х64 тоже.
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Пользователь akok обновил ресурс Портабельный комплекс для начального исследования потенциально вредоносных файлов новой записью:

Восстановление

Восстановили доступ к файлу, теперь скачивается без проблем.

Внимание, в связи с пылкой любовью АВ вендоров к некоторым файлам на архив установлен пароль: safezone.cc
Узнать больше об этом обновлении...
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,906
Баллы
648
gjf, с x64 точно нормально работала. Как-то делали такую сборку. Главное правильно подобрать последовательность инжектов ну и версионность играет роль, как сандбокса, так и модулей.
Если не против, добавил в твой пост линки на APILog to CSV и доп. гайд по запуску.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
644
Баллы
478
Я знаю, что работала, меня интересует с какой последней версией Sandboxie ещё всё работало? Ну чтобы знать, на основании чего пилить сборку.
 
Сверху Снизу