1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

Портабельный комплекс Buster Sandbox Analyzer и Sandboxie

  1. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    Итак, по предложению Кости создаю давно назревшую тему.

    Многие обучающиеся здесь знакомы с программами Buster Sandbox Analyzer и Sandboxie. Суть их - запуск подозрительного файла в песочнице с отслеживанием изменений, вносимых в систему (при этом с реальную систему ничего не вносится). Кто совсем ничего не слышал - можете покинуть эту тему, Вам будет неинтересно :) Или сходите сюда и просветитесь: Buster Sandbox Analyzer

    О настройке системы было много сказано и на Хабре, в журнале "Хакер", и на этом форуме. Основная проблема была в начальной настройке - как установить, что изменить, что прописать.

    Поэтому я напрягся немного, попутно напряг ещё нескольких людей - и сделал портабельную версию этого комплекса. Постоянно обновляемая ссылка на него находится здесь: http://tools.safezone.cc/gjf/Sandboxie-portable.zip

    Честно признаться, разбирать как пользоваться Buster Sandbox Analyzer, что и как определять вредоносным в этой ветке я не буду. Обсуждаться будет исключительно портабельная сборка. По ней - всё просто.

    1. Запускать систему надо с помощью файла start.cmd. Запускать от имени Администратора.

    2. Исходно система настроена на русский язык. Если нужно, чтобы выбирался другой язык - пропишите номер кодовой страницы в файле Language.txt, что в папке Templates. Либо вообще удалите этот файл - будет использован язык установленной системы.

    3. По окончании работы запустите stop.cmd. Все настройки сохранятся в соответствующих файлах в папке Templates, а система будет выгружена. Если необходимо вернуть настрйоки по умолчанию - запустите файл Templates.exe в одноимённой папке, он распакует исходные файлы.

    Жду отзывов и багтрека :)

    Добавлено через 18 минут 32 секунды
    Ох, чуть не забыл!

    Несколько слов о BSA.ini.template и sandboxie.ini.template в папке Templates!

    По сути своей это - файлы настроек BSA и Sandboxie, которые подсовываются в систему во время работы, а затем обратно записываются в Templates по окончании.

    Параметры, которые там меняются - это документированные параметры каждой из программ. Но есть три нюанса, о которых я и расскажу.

    BSA.ini.template
    В файле можно прописать в любом месте следующие шаблоны:
    $(Language) - кодовая страница языка
    $(InstallDrive) - диск, с которого запущена портабельная система
    $(InstallPath) - папка, из которой запущена портабельная система

    Sandboxie.ini.template
    $(InstallDrive) - диск, с которого запущена портабельная система
    $(InstallPath) - папка, из которой запущена портабельная система
    Шаблоны работают только для параметров FileRootPath и InjectDll.

    По сути, в ходе выполнения start.cmd шаблоны преобразуются в соответствующие значения, а после выполнения stop.cmd - обратно преобразуются в шаблоны и возвращаются в папку Templates.

    По умолчанию, Sandboxie настроена на четыре песочницы:
    BSA - для анализа с помощью Buster Sandbox Analyzer
    Secure - для безопасного выполнения приложений (браузеров и т.д.)
    Undelete - для выполнения приложений с сохранением всех создаваемых файлов (даже если исполняемый модель будет пытаться их удалить) - ВНИМАНИЕ: ряд инсталляторов в этой песочнице работать не будут
    Unpack - для распаковки инсталляторов (мнимая инсталляция в песочнице)

    Тем не менее Вы вольны создавать сколько угодно новых песочниц, их настройки сохранятся по окончании работы в файлах из Templates.

    Комплекс сделан на основании shareware-лицензии Sandboxie, вполне работоспособен с ограничениями, наложенным автором. Ограничения могут быть сняты пытливыми умами, но в таком случае Вы нарушаете условия лицензионного пользования и действуете противозаконно! (я обязан был Вас предупредить)
    --------------
    Отдельные модули:
    BSA Api Log to csv Converter
    Доп. гайд по подготовке к первому запуску.
     
    Последнее редактирование модератором: 5 янв 2017
    E100, Diver, Dragokas и 17 другим нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.835
    Симпатии:
    5.480
    Залил бы лучше во вложения, хоть как история версий была бы если обновят. Там в название архива у меня указана дата скачивания, когда я его с ресурсов качал - можно использовать вместо версии.
    --- Объединённое сообщение, 1 фев 2017 ---
    Насколько помню там трабла была при каких-то специфичных условиях, толи с удалением толи ещё с чем-то а в остальном более менее нормально работало. Именно с этим нюансом было связано, что последний рекомендуемый 3.76.
    А так работает и на 4.20, даже лучше чем на 3-й - нету ошибки при запуске NSIS инсталяторов. На 5-й не проверял.
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.252
    Симпатии:
    14.490
    50 мб не влезет во вложения.
     
  4. supertony
    Оффлайн

    supertony Новый пользователь

    Сообщения:
    1
    Симпатии:
    0
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.252
    Симпатии:
    14.490
    Пароль на архив: safezone.cc
     

Поделиться этой страницей