Портабельный комплекс для начального исследования потенциально вредоносных файлов

Портабельный комплекс для начального исследования потенциально вредоносных файлов 1.1

Нет прав для скачивания
gjf, regist, да бог с ним, с этим ярлыком.
WinPcap установил и кажется теперь все работает на портабельной Sandboxie, так же как и на ранее установленной Sandboxie в другой системе.
Процесс на портабельной пошел)))
 

Вложения

  • Снимок4.jpg
    Снимок4.jpg
    104.1 KB · Просмотры: 123
Последнее редактирование:
Buster Sandbox Analyzer написал(а):
Я сделал два небольших изменения в BSA 1.88:

Первое изменение состоит в том, что в проводнике Windows, если вы щелкните правой кнопкой мыши на файле и выберите пункт "Анализ в BSA", то только этот файл будет проанализирован. Если вы хотите проанализировать папку, то выберите папку, щелкните правой кнопкой мыши и выберите пункт "Анализ в BSA".

Второе изменение заключается в том, из командной строки можно проанализировать только один файл, используя модификатор "-i" или "-file". Пример:
CMD/BATCH:
bsa.exe -s 30 -i c:\test\notepad.exe
скачать обновлённую версию можно тут.
 
Released update 4 for version 1.88.
качать тут.
  • Исправлен баг когда BSA не мог получить ответ от Virustotal (связан с изменением работы сервиса - ограничение на проверку файлов. Проявлялся если перед этим проверить файлы на VT).
  • Исправлена информация о версии файла (FileVersion information).
  • Исправлен баг с функцией создания скриншотов.
 
Ну пишут, что полный аналог, разве что добавили ещё версию для х64.
Вроде как работает.
Добавил в комплект, обновил, можете скачать заново и проверить.
 
А это ошибка при запуске BSA с чем связана? Запускаю на XP SP3

ab63a4027d0b6d98a4f06182c328f9dd.png +
Код:
Testing Tools for Sandboxes\notepad-test.7z
это что и какой пароль?
 
BSA Api Log to csv Converter

Запуск:
  • wscript BSA_Api2csv.vbs <logfile>
  • или без аргументов запустить рядом с LOG_API.TXT
Вопрос: зачем оно нужно просьба оставить при себе.
 

Вложения

  • BSA API Log2Csv.zip
    22.8 KB · Просмотры: 16
А это ошибка при запуске BSA с чем связана? Запускаю на XP SP3
Просто повторю ответ, который писал на другом форуме, лень перебивать всё заново :)

[user]regist123[/user] (23:24 08-08-2014)
gjf в свежей портативной версии (видно после обновления плагина BSA) не всегда, скорее даже почти всегда не создаются папки с песочницами. Так что при запуске BSA невозможно указать папку с песочницей которую надо анализировать. Первоначально указал на эту ошибку здесь.

Только что:
1. Запустил в VM Windows XP SP3.
2. Удалил Sandboxie (была ранее установлена.
3. Перезагрузил VM.
4. Распаковал портабельную систему на C:
5. Запустил start.cmd
6. Запустил BSA.
7. Запустил в песочнице BSA Adobe Reader. Логи побежали. Когда закрыл Adobe Reader - всё отлично нашлось и проанализировалось.

Из этого делаю вывод, что Вы что-то делаете не так.

[user]regist123[/user] (15:28 28-08-2014)
откуда взялся диск E:\ ? У меня на виртуалке только С:\ и D:\ это CD привод. Возможно с этим и связана та ошибка на которую я раньше указывал. [?]

Это связано с тем, что сама Sandboxie гадит этими записями. Почистить их должен был кусок кода
Код:
for /f "tokens=3"  %%a in ('reg query "HKLM\SYSTEM\CurrentControlSet\Control\Nls\CodePage" /v ACP') do set "AnsiCP=%%a"
for /f "tokens=2 delims=:" %%a in ('chcp') do set "CurrentCP=%%a"
chcp %AnsiCP% > nul
for /f "tokens=2*" %%a in ('reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Desktop') do set "DesktopPath=%%b"
del /f /q "%DesktopPath%\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\┴ЁрєчхЁ т яхёюўэшЎх.lnk"
del /f /q "%DesktopPath%\Web browser under Sandboxie.lnk"
del /f /q "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\Web browser under Sandboxie.lnk"
chcp %CurrentCP% > nul

Как видно, он не работает, а связано это с тем, что в командных скриптах трудно закодить удаление ярлыка с именем в другой кодовой странице.

Как я уже говорил, система несовершенна, её неплохо бы сделать в VBS, с вариантами в 32- и 64-битах, но это уже - "задание потомкам" :) Вон, Dragokas классно кодит такие скрипты - попросите его, я буду только рад.

Testing Tools for Sandboxes\notepad-test.7z
это что и какой пароль?
Написано: notepad-test.7z - значит, пароль "test" :)
Это - обычный Блокнот из Windows. Нужен для проверки заражения файловыми инфекторами. То бишь: запустил инфектор, потом запустил этот Блокнот - проверил, как заразило.
По сути любой файл можно использовать, но иногда svchost, explorer, cmd забиты как "не инфицировать".

Да и там папка с dll-инжекторами устарела, как BSA обновится или сделают добротную 4-ю версию без багов - обновлю и инжекторы.
 
Последнее редактирование:
Таки дошли руки опробовать сей замечательный инструмент (точней, regist заставил -) и все за меня настроил.

Стоить отметить, что на x64 сборка не работает (Sandboxie не стартует, ошибку не выдает),
но если скачать ее самостоятельно с оффсайта, затем отдельно к ней поставить и настроить x64-битную BSA,
то все прекрасно отрабатывает. API 64-битных процессов отслеживаются.

Неплохо бы добавить в описание, что нужно обязательно установить VC++ 2010 (SP1) redistributable: http://www.microsoft.com/ru-ru/download/details.aspx?id=26999
(а то при запуске программ в песочнице будет сыпать кучу ошибок).
Также, неплохо бы мини-гайд про BSA, что:
- нужно установить Winpcap
- поправить в конфигурации пути к внедряемым библиотекам: Управление SandBoxie -> Настройка -> Редактировать конфигурацию -> InjectDll, далее Настройка -> Перезагрузить конфигурацию.
- затем запустить сам BSA из папки: ..\Sandboxie\Buster Sandbox Analyzer\BSA.EXE
- выбрать в нем папку песочницы (C:\Sandbox\BSA)*
* А чтобы эта папка там создалась, нужно сначала хотя бы раз что-нибудь запустить в этой песочнице.
- нажать в BSA "Запустить анализ".
- уж затем правый клик по анализируемой программе -> запустить в песочнице -> имя песочницы "BSA"
- Для завершения анализа, все запущенные и дочерние процессы должны быть завершены (самостоятельно или принудительно). Затем жмем кнопку "Завершить анализ".

В Win7x32 сборка работает *, если немного поправить скрипт start.cmd,
а именно: дописать во 2-ю строку команду
Код:
cd /d "%~dp0"
и не забыть запускать его ПКМ -> от имени Администратора.
(со скриптом stop.cmd желательно сделать тоже самое)
 
Последнее редактирование:
немного поправлю,
BSA одна версия, точней один архив, внутри есть библиотеки для обоих разрядностей (сам исполняемый файл, который надо запускать один). Возможно ты спутал с x64 версией Sandboxie.
Гайд по настройке должен быть в закрытом разделе.
* А чтобы эта папка там создалась, нужно сначала хотя бы раз что-нибудь запустить в этой песочнице.
в этой портативной версии папки песочницы должны создаваться автоматом. На практике они у меня иногда создаются иногда нет, от чего зависит так и не понял.
Из этого делаю вывод, что Вы что-то делаете не так.
трудно сделать что-то не так, учитывая, что просто надо запустить один батник.
а почему именно песочница? а не виртуальная машина?
по крайней мере для хелпера у них немного разные назначения ;).
Sandboxie + BSA это полу-автоматичеческий комплекс для анализа малвари.
А в виртуалке это надо с процесс монитором и прочими инструментами сидеть и отслеживать, правда зато сведений можно получить больше.
+ У Sandboxie намного меньшие системные требования.
 
Как бы поздно спохватились.
Проект закрыт, поскольку автор BSA закрыл свой проект.
На последних сэмплах комплекс ничего не показывает, что крайне опасно.
Реакция автора следующая:
Re: BSA
Sent: Mon Feb 09, 2015 9:58 pm
by Buster_BSA

gjf wrote:Actually, above mentioned Subjects are exactly what is absent
icon_e_smile.gif



Could be like you say.

Anyway I will not take a look because meanwhile BSA is not supported, there is no point to continue working on it.

Regards.
Re: BSA
Sent: Mon Feb 09, 2015 8:33 pm
by gjf

Actually, above mentioned Subjects are exactly what is absent
icon_e_smile.gif


Look:
C:\\Users\\Johnson\\AppData\\Local\\Temp\\feroge.exe <- Subject 3
C:\\Users\\Johnson\\AppData\\Local\\Temp\\pyizymn.exe <- Subject 4

Can you find any similar payload when analysing in other way (BSA, Anubis, Cuckoo)? Me - not.

Page 158:
Name Resolutions
Hostname Results
ppc.cba.pl 95.211.144.65
cargol.cat 217.149.7.213
smartoptionsinc.com 216.70.228.110
www.download.windowsupdate.com 165.254.42.66, 165.254.42.89

Did you find any of such resolution when analysing in other way (except the last one)? Me - not.
Re: BSA
Sent: Mon Feb 09, 2015 8:00 pm
by Buster_BSA

gjf wrote:Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.


I have looked at Subject 3 and 4 and I do not see anything. You will have to be more specific about what I should look. Or even better, copy&paste here the information you consider relevant.

Regards.
Re: BSA
Sent: Mon Feb 09, 2015 4:47 pm
by gjf

Nope. It's clear antiVM technique. That's why Anubis and Cuckoo failed also, but Lastline did it's job. Look at Subject 3 and Subject 4 in Lastline report.
Re: BSA
Sent: Mon Feb 09, 2015 1:43 am
by Buster_BSA

gjf wrote:Hi!

Are you still in business?

Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.

The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".

Any comments?


I am still around but I will not be doing any update in the software until Invincea team supports BSA as Ronen used to do and I doubt very much they do it.

I took a look to LastLine´s report and I was like this:
icon_e_surprised.gif


315 pages of report? Seriously?

The report says the sample injects to other processes. Maybe the malware launches from injected process and as Sandboxie does not allow process injection, the sample fails to run and therefore it can not be analyzed properly.

Regards.
BSA
Sent: Sun Feb 08, 2015 5:45 pm
by gjf

Hi!

Are you still in business?

Just found a sample. Looks like BSA, Anubis, Cuckoo sails on it and only Lastline do the job.

The sample and report are here: http://www.solidfiles.com/d/f1f0909745/Desktop.7z
The password is "infected".

Any comments?

Так что не вижу смысла подтягивать гайки в паровозе, который сошёл с рельс.
 
Так что не вижу смысла подтягивать гайки в паровозе, который сошёл с рельс.
Buster, больше не обновляет свою программу, но она рабочая и такого простого и удобного аналога для оффлайн анализа нету. Так что не смотря на то что BSA больше не обновляется им скорее всего ещё долго будут пользоваться.
Проект закрыт, поскольку автор BSA закрыл свой проект.
Но при этом на x64 системах BSA работает портабл сборка нет.
 
Короче, ссылка на сабж по ряду причин поломалась.
Но Сеть всё помнит, вроде это последняя версия: Sandboxie-portable 05.07.2014.zip

Есть ряд замечаний
На самом деле я уже давно не возился с этим делом. Помню, что автор заявлял 100% работу с Sandboxie 3.76, но вроде как работала и с бетой 3.81-08. Потом пробовал с четвёртой линейкой, вроде работала с 4.12, с последней 4.20 не проверял, с пятыми версиями - тем более.
Если кто-то возьмётся потестить и определит последнюю на 100% рабочую версию - ОК, обновлю, может приделаю х64 тоже.
 
Пользователь akok обновил ресурс Портабельный комплекс для начального исследования потенциально вредоносных файлов новой записью:

Восстановление

Восстановили доступ к файлу, теперь скачивается без проблем.

Внимание, в связи с пылкой любовью АВ вендоров к некоторым файлам на архив установлен пароль: safezone.cc

Узнать больше об этом обновлении...
 
gjf, с x64 точно нормально работала. Как-то делали такую сборку. Главное правильно подобрать последовательность инжектов ну и версионность играет роль, как сандбокса, так и модулей.
Если не против, добавил в твой пост линки на APILog to CSV и доп. гайд по запуску.
 
Я знаю, что работала, меня интересует с какой последней версией Sandboxie ещё всё работало? Ну чтобы знать, на основании чего пилить сборку.
 
Назад
Сверху Снизу