n1ma
02-19-2012, 09:57 PM
درود
در این تاپیک سعی کردم تا روش انالیز یک فایل مخرب توسط نرم افزار Buster Sandbox Analyzer را توضیح دهم. این نرم افزار این کار را به کمک نرم افزار دیگری به نام Sandboxie انجام می دهد. در مورد Sandboxie هم یک توضیح کوچیک بدم که این نرم افزار ، فایل های داده شده را در محیطی بسته و کنترل شده در هارددیسک اجرا می کند و به ان اجازه تغییر در دیگر فایل های موجود در هارد دیسک را نمی دهد. به همین علت ویروس را در سندباکسی اجرا کرده و با کمک (BSA ( Buster Sandbox Analyzer تمام تغییرات صورت گرفته در ویندوز را انالیز و ثبت می کنیم و یک ریپورت از تغییرات داده شده خواهیم داشت.( به همین علت دقت کنید که در موقع انالیز، هیچ کار دیگری انجام ندهید تا اطلاعات نادرستی ثبت نشوند)
http://forum.soft98.ir/images/smilies/yahoo/1.gif
برنامه های مورد نیاز
برای انجام این کار شما به دو نرم افزار زیر نیاز دارید ان ها را دانلود کنید.
1) Sandboxie
Sandboxie 3.62 Final x86 - Sharebees (http://www.sharebees.com/ld9imqg7v1kf.html)
Sandboxie 3.62 Final x64 - Sharebees (http://www.sharebees.com/y758f8reqd70.html)
(http://soft98.ir/security/672-sandboxie.html)
2) Buster Sandbox Analyzer
Buster Sandbox Analyzer MODIFIED (http://www.mediafire.com/?19p652010a03r33)
تنظیمات اولیه
1) اول از همه Sandboxie را نصب کنید. ان را اجرا کنید.
2) برنامه BSA فشرده شده است. ان را در مسیر زیر اکسترکت کنید. ( از این پس به Buster Sandbox Analyzer ، BSA می گویم )
\:C
نکته : دقت کنید که ممکن است انتی ویروس ها فایل های این برنامه را ویروس تلقی کنند در حالی که چنین نیست. انتی وروس شما تمام مدت باید غیرفعال باشد اگر فایل های این برنامه را به عنوان ویروس شناسایی کرده باشد)
3) حال در سندباکسی ، در منو بالا از قسمت Configure ان را باز کرده و Edit Configuration را انتخاب کنید.
4) نوت پد باز خواهد شد. می بینید که متن داخل ان به چند بخش به نام های Global Sttings , DefaultBox …. تقسیم شده است. در اخر قسمت DefaultBox متن زیر را اضافه کنید. (هر خط را در یک خط در نوت پد وارد کنید)
InjectDll=C:\BSA\log_api.dll
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
http://up98.org/upload/server1/01/z/kp8kp2t20avux9jjkr7u.jpg
5) نوت پد را بسته و ان را ذخیره کنید.
6) حال در پوشه C:\BSA فایل اجرایی را BSA.exe را اجرا کنید.
7) محیط کاربریش تعریفی نداره ولی همچین بدک هم نیست! از اینجا یکم کار سخت میشه. یک نرم افزار را در سندباکس اجرا کنید. برای اینکار روی برنامه اجرایی مورد نظر راست کلیک کرده و برروی Run Sandboxed کلیک کنید. حال از تسکبار ویندوز ، برنامه ی سندباکسی را پیدا کرده و روی ان راست کلیک کنید. سپس موس را روی Default Box نگه داشته باشید. پنجره جدیدی کنار باز شده و بر روی Explore Contents کلیک کنید. وارد صفحه جدیدی خواهید شد. اینجا مقر سندباکسی است. ادرس این صفحه را در ادرس بالا کپی کرده و در BSA در قسمت Sandbox Folder To Check قرار دهید. برای مثال برای من به این شکل بود.
C:\Sandbox\Alpha\DefaultBox
انالیز یک فایل
1) در اینجا انالیز به دو شکل انجام می شود. انالیز به طور اتوماتیک و دستی . در انالیز اتوماتیک شما نرم افزار را برای مدت زمانی تنظیم می کند تا در این زمان هرچه در سندباکس رد و بدل می شود را انالیز کند. ولی در قسمت دستی شما هر وقت مایل باشید می توانید انالیز را کنسل کنید. طریقه انالیز را می توانید از منو بالا نرم افزار به این شکل تنظیم کنید.
Options => Analysis Mode
2) حال در نرم افزار سندباکسی ، تمام نرم افزار های اجرا شده در ان را ببندید. برای این کار باید به این جا بروید.
File => Terminate All Programs
3) حال همچنان که هم سندباکسی و هم BSA در حال اجرا هستند ، در BSA بر روی Start Analysis کلیک کنید. از شما سوالی می پرسد که ایا فایل های داخل پوشه سند باکس را پاک کند یا نه. هر کدوم رو که خواستید انتخاب کنیدhttp://forum.soft98.ir/images/smilies/yahoo/4.gif
http://up98.org/upload/server1/01/z/brr5u9bomhzp5grpe3i.jpg
4) سپس فایلی مخربی را که می خواهید ان را انالیز کنید را برروی ان راست کلیک کرده و روی Run Sandboxed کلیک کنید.
5) دقت کنید که یک فایل را در ان واحد اجرا کنید و زمان انالیز حداقل 1 دقیقه باشد. در مدت اگر تغییراتی انجام شود می توانید ان را به صورت لحظه ای در تکست باکس پایین ان مشاهده کنید.
6) این قسمت رو دقت کنید. برای قطع انالیز ، اول برنامه را در سندباکسی ببندید و سپس در BSA بر روی Finish Analysis کلیک کنید. نرم افزار ممکن است برای مدتی رجیستری و ویندوز را اسکن کند تا تغییرات را ثبت کند. پس از اسکن کلی، گزینه ی Malware Analysis فعال خواهد شد که اطلاعاتی کلی از فایل مخرب را به شما می دهد. با بستن ان فایل Analysis.TXT ایجاد می شود. حال اگر به پوشه C:\BSA\Reports بروید، نتیجه ی انالیز را مشاهده خواهید کرد که Analysis.TXT و Report.TXT برای ما مهم هستند.
7) برای انالیز یک فایل دیگر ، از منوی Options بر روی Restart کلیک کنید. دقت کنید که با هربار انالیز، فایل های Report , Analysis جدیدی ایجاد شده و جایگزین فایل های قبلی می شوند.
در این تاپیک سعی کردم تا روش انالیز یک فایل مخرب توسط نرم افزار Buster Sandbox Analyzer را توضیح دهم. این نرم افزار این کار را به کمک نرم افزار دیگری به نام Sandboxie انجام می دهد. در مورد Sandboxie هم یک توضیح کوچیک بدم که این نرم افزار ، فایل های داده شده را در محیطی بسته و کنترل شده در هارددیسک اجرا می کند و به ان اجازه تغییر در دیگر فایل های موجود در هارد دیسک را نمی دهد. به همین علت ویروس را در سندباکسی اجرا کرده و با کمک (BSA ( Buster Sandbox Analyzer تمام تغییرات صورت گرفته در ویندوز را انالیز و ثبت می کنیم و یک ریپورت از تغییرات داده شده خواهیم داشت.( به همین علت دقت کنید که در موقع انالیز، هیچ کار دیگری انجام ندهید تا اطلاعات نادرستی ثبت نشوند)
http://forum.soft98.ir/images/smilies/yahoo/1.gif
برنامه های مورد نیاز
برای انجام این کار شما به دو نرم افزار زیر نیاز دارید ان ها را دانلود کنید.
1) Sandboxie
Sandboxie 3.62 Final x86 - Sharebees (http://www.sharebees.com/ld9imqg7v1kf.html)
Sandboxie 3.62 Final x64 - Sharebees (http://www.sharebees.com/y758f8reqd70.html)
(http://soft98.ir/security/672-sandboxie.html)
2) Buster Sandbox Analyzer
Buster Sandbox Analyzer MODIFIED (http://www.mediafire.com/?19p652010a03r33)
تنظیمات اولیه
1) اول از همه Sandboxie را نصب کنید. ان را اجرا کنید.
2) برنامه BSA فشرده شده است. ان را در مسیر زیر اکسترکت کنید. ( از این پس به Buster Sandbox Analyzer ، BSA می گویم )
\:C
نکته : دقت کنید که ممکن است انتی ویروس ها فایل های این برنامه را ویروس تلقی کنند در حالی که چنین نیست. انتی وروس شما تمام مدت باید غیرفعال باشد اگر فایل های این برنامه را به عنوان ویروس شناسایی کرده باشد)
3) حال در سندباکسی ، در منو بالا از قسمت Configure ان را باز کرده و Edit Configuration را انتخاب کنید.
4) نوت پد باز خواهد شد. می بینید که متن داخل ان به چند بخش به نام های Global Sttings , DefaultBox …. تقسیم شده است. در اخر قسمت DefaultBox متن زیر را اضافه کنید. (هر خط را در یک خط در نوت پد وارد کنید)
InjectDll=C:\BSA\log_api.dll
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
http://up98.org/upload/server1/01/z/kp8kp2t20avux9jjkr7u.jpg
5) نوت پد را بسته و ان را ذخیره کنید.
6) حال در پوشه C:\BSA فایل اجرایی را BSA.exe را اجرا کنید.
7) محیط کاربریش تعریفی نداره ولی همچین بدک هم نیست! از اینجا یکم کار سخت میشه. یک نرم افزار را در سندباکس اجرا کنید. برای اینکار روی برنامه اجرایی مورد نظر راست کلیک کرده و برروی Run Sandboxed کلیک کنید. حال از تسکبار ویندوز ، برنامه ی سندباکسی را پیدا کرده و روی ان راست کلیک کنید. سپس موس را روی Default Box نگه داشته باشید. پنجره جدیدی کنار باز شده و بر روی Explore Contents کلیک کنید. وارد صفحه جدیدی خواهید شد. اینجا مقر سندباکسی است. ادرس این صفحه را در ادرس بالا کپی کرده و در BSA در قسمت Sandbox Folder To Check قرار دهید. برای مثال برای من به این شکل بود.
C:\Sandbox\Alpha\DefaultBox
انالیز یک فایل
1) در اینجا انالیز به دو شکل انجام می شود. انالیز به طور اتوماتیک و دستی . در انالیز اتوماتیک شما نرم افزار را برای مدت زمانی تنظیم می کند تا در این زمان هرچه در سندباکس رد و بدل می شود را انالیز کند. ولی در قسمت دستی شما هر وقت مایل باشید می توانید انالیز را کنسل کنید. طریقه انالیز را می توانید از منو بالا نرم افزار به این شکل تنظیم کنید.
Options => Analysis Mode
2) حال در نرم افزار سندباکسی ، تمام نرم افزار های اجرا شده در ان را ببندید. برای این کار باید به این جا بروید.
File => Terminate All Programs
3) حال همچنان که هم سندباکسی و هم BSA در حال اجرا هستند ، در BSA بر روی Start Analysis کلیک کنید. از شما سوالی می پرسد که ایا فایل های داخل پوشه سند باکس را پاک کند یا نه. هر کدوم رو که خواستید انتخاب کنیدhttp://forum.soft98.ir/images/smilies/yahoo/4.gif
http://up98.org/upload/server1/01/z/brr5u9bomhzp5grpe3i.jpg
4) سپس فایلی مخربی را که می خواهید ان را انالیز کنید را برروی ان راست کلیک کرده و روی Run Sandboxed کلیک کنید.
5) دقت کنید که یک فایل را در ان واحد اجرا کنید و زمان انالیز حداقل 1 دقیقه باشد. در مدت اگر تغییراتی انجام شود می توانید ان را به صورت لحظه ای در تکست باکس پایین ان مشاهده کنید.
6) این قسمت رو دقت کنید. برای قطع انالیز ، اول برنامه را در سندباکسی ببندید و سپس در BSA بر روی Finish Analysis کلیک کنید. نرم افزار ممکن است برای مدتی رجیستری و ویندوز را اسکن کند تا تغییرات را ثبت کند. پس از اسکن کلی، گزینه ی Malware Analysis فعال خواهد شد که اطلاعاتی کلی از فایل مخرب را به شما می دهد. با بستن ان فایل Analysis.TXT ایجاد می شود. حال اگر به پوشه C:\BSA\Reports بروید، نتیجه ی انالیز را مشاهده خواهید کرد که Analysis.TXT و Report.TXT برای ما مهم هستند.
7) برای انالیز یک فایل دیگر ، از منوی Options بر روی Restart کلیک کنید. دقت کنید که با هربار انالیز، فایل های Report , Analysis جدیدی ایجاد شده و جایگزین فایل های قبلی می شوند.