Вход Регистрация

Интересное

Практическое руководство по Word

О программе
Разделы
Интерфейс
Скачать
Приобретение

Тест-экзаменатор

О программе
Интерфейс
Скачать
Приобретение

Реклама

Нет содержания для этого блока!

Реклама

Главная  Лучшие    Популярные   Список  

Песочница SandboxIE для анализа вредоносности файла

Песочница SandboxIE для анализа вредоносности файла
Рассматриваемая в данной статье утилита SandboxIE относится к классу так называемых «песочниц». Принцип их работы заключается в том, чтобы ограничить выполнение программы в контролируемой среде с виртуализацией вносимых изменений в систему. Фактически всё, что успеет сделать анализируемая программа во время своей работы, никак не повлияет на нашу систему, так как она будет заключена в виртуальном пространстве памяти. Зато в нашем распоряжении появляются инструменты для анализа вредоносности файла, позволяющие узнать, какие изменения внесёт программа, если она будет работать в обычной среде. В комплексе с SandboxIE мы рассмотрим использование плагина Buster Sandbox Analyzer.


После установки SandboxIE необходимо выполнить несколько настроек. Для этого открываем меню Песочница и выбираем пункт Создать песочницу. Вводим любое название для неё.


Создание песочницы в SandboxIE


После этого правым кликом на созданной песочнице открываем контекстное меню и переходим в настройки.


Открытие настроек песочницы в SandboxIE


Теперь желательно выставить следующие параметры для безопасной работы в песочнице:
Поведение – включить опцию Отображать границу вокруг окна. Самым заметным будет, наверное, красный цвет. Цветная рамка будет отображаться вокруг всех окон приложений, открытых через песочницу.
Восстановление – Немедленное восстановление – снять флажок Включить немедленное восстановление. В ветке Быстрое восстановление проверить, чтобы в списке не было ни одной папки.
Удаление – снять все флажки в этом разделе.
Ограничения – Доступ в Internet – удалить из списка все программы. Нежелательно предоставлять доступ в интернет вредоносным программа, так как это чревато утечкой личных данных.
Ограничения – Доступ на запуск/выполнение – нажать кнопку [Разрешить всем].
Ограничения – Доступ низкого уровня – отключить все опции.
Ограничения – Аппаратные средства – снять все флажки. Эти два пункта важны на тот случай, если файл будет заражён низкоуровневым вирусом, чтобы предотвратить возможность проникновения из песочницы в систему.

Сама по себе утилита SandboxIE позволяет оценить вредоносность файла, однако за счёт плагинов можно расширить функциональность программы. И самым полезным в этом плане окажется Buster Sandbox Analyzer. После загрузки плагина в папке, где установлена SandboxIE создаём директорию Buster Sandbox Analyzer и распаковываем в неё содержимое архива. Возможно, для нормальной работы утилиты понадобится скопировать файлы wpcap.dll и Packet.dll из папки PCAP в Windows/System32.

Ещё желательно переименовать файлы LOG_API.DLL и HideDriver.sys в папке Buster Sandbox Analyzer. Теперь открываем меню Настроить – Редактировать конфигурацию и добавляем в разделе BSA следующие строки:


Код
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\sbiextra.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\antidel.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\LOG_API.dll
OpenWinClass=TFormBSA


Конечно же, нужно проверить пути к файлам, чтобы они соответствовали действительным. Сохраняем файл и закрываем текстовой редактор.

В Buster Sandbox Analyzer включаем ручной режим через меню Options – Analysis mode – Manual и включаем опцию Options – Program Options – Windows Shell Intеgration – Add right-click action «Run BSA».

Теперь можно приступать к анализу файла на предмет его вредоносности. Отключаем антивирус и запускаем сначала SandboxIE, а затем вручную файл BSA.EXE. Здесь необходимо проверить, какой путь указан в поле Sandbox folder to check. Чтобы точно узнать его, в SandboxIE открываем меню Песочница – Просмотреть содержимое и в адресной строке копируем путь. Он состоит из буквы диска, на котором установлена программа, имени пользователя и названия песочницы:
С:\Sandbox\Admin\BSA
Остаётся только нажать в Buster Sandbox Analyzer кнопку [Start Analysis].


Запуск анализа файла в Buster Sandbox Analyzer


В SandboxIE правым кликом на песочнице выбираем Запустить в песочнице – Запустить любую программу и выбираем исполнимый файл исследуемого приложения (Просмотр…), обычно он имеет расширение EXE. Запущенный в песочнице файл, хоть и работает как все другие приложения, фактически не видит нашу систему и не может нанести ей вред. Окно приложения из песочницы обрамлено цветной рамкой.


Окно приложения из печосницы SandboxIE


Дальнейшие действия зависят от поставленной задачи. В нижней части окна Buster Sandbox Analyzer отображается лог API-вызовов, а в SandboxIE. По окончании анализа файла закрываем исследуемое приложение и жмём кнопку [Finish Analysis]. В тот же момент становится доступной кнопка [Malware Analyzer], открывающая список обнаруженных угроз. Пункты, напротив которых стоит статус YES, говорят о возможном вредоносном эффекте, обнаруженном при работе приложения.


Список Malware Analyzer в SandboxIE


Дополнительную информацию можно почерпнуть в окне Buster Sandbox Analyzer в меню Viewer. Помимо уже рассмотренного ранее лога API-вызовов (View Log_API) можно узнать, об изменениях, которые программа могла бы внести в реестр Windows. Для этого выбираем пункт View RegDiff. Полный отчёт открывается через меню View Report. Здесь указана общая информация, изменённые файлы, изменения в реестре (с указанием предыдущих значений ключей), а также активность приложения.


Отчет о работе приложения в Buster Sandbox Analyzer


Просмотреть список файлов, созданных или изменённых во время работы приложения, можно путём открытия контекстного меню песочницы и выбором пункта Просмотреть содержимое. Файлы и отчёты хранятся вплоть до следующего анализа программы в песочнице.

Ещё более расширить функциональность SandboxIE позволят такие плагины, как Block Process Access для скрытия наличия других процессов вне песочницы от анализируемого процесса и Antidel для предотвращения удаления файлов в ходе работы.



Характеристики:
Язык интерфейса: русский, английский и др.
ОС: Windows XP, Vista, 7
Размер файла: 1,9 Мб
Лицензия: бесплатная, есть возможность оплаты
Рубрика: Полезный софт

Смотрите также связанные новости

24.10.2011 - MouseFIGHTER для управления курсором с клавиатуры
02.10.2011 - Резервирование данных в KLS Backuр
19.09.2011 - Создание FB2–книг в Fiction Book Designer
04.09.2011 - Виртуальная клавиатура Hot Virtual Keyboard
29.08.2011 - Как наложить водяные знаки на изображение в Batch Watermark Creator
комментарии
Bastler (Гость ПК-гида) Bastler (Гость ПК-гида) Добавлено 25.01.2013 06:25 #1
ну и выкладывал бы ссылки то на софт, а то сейчас ищи теперь
Ваше имя:
Комментарий:
Смайл - 01 Смайл - 02 Смайл - 03 Смайл - 04 Смайл - 05 Смайл - 06 Смайл - 07 Смайл - 08 Смайл - 09 Смайл - 10 Смайл - 11 Смайл - 12 Смайл - 13 Смайл - 14 Смайл - 15 Смайл - 16 Смайл - 17 Смайл - 18
Секретный код:
Секретный код
Повторить: