Decydowanie, czy plik jest zainfekowany lub bezpieczny przed plikiem Wynik skanowania VirusTotal może być frustrujące, gdy połowa programu antywirusowego pokazuje, że jest zainfekowana, a druga połowa pokazuje, że jest czysty.
Możesz spróbować przeanalizować częściowo wykryty plik za pomocą usługi piaskownicy online, takiej jak Ekspert ds. Zagrożeń ale raport pokazuje zachowanie programu tylko wtedy, gdy jest uruchomiony i nie mówi, co robi, gdy opcja jest włączona lub po kliknięciu przycisku w programie.
To wtedy oprogramowanie piaskownicy, takie jak Piaskownica wchodzi do gry, umożliwiając uruchamianie dowolnych programów na komputerze, niezależnie od tego, czy są one bezpieczne, czy zainfekowane, a mimo to wszelkie zmiany nadal nie będą miały wpływu na komputer.
Chociaż Sandboxie jest używany głównie do zapewnienia bezpieczeństwa komputera poprzez uruchamianie programów w odizolowanej przestrzeni, może być również używany do analizowania zachowania programu.
Oto 2 sposoby zbadania zmian wprowadzonych w systemie komputerowym przez programy uruchamiane w Sandboxie.Automatyczna analiza przy użyciu Buster Sandbox Analyzer
Buster Sandbox Analyzer (BSA) to darmowe narzędzie, za pomocą którego można obserwować działania dowolnego procesu uruchamianego w Sandboxie. Chociaż BSA jest oprogramowaniem przenośnym, nie działa od razu po wyjęciu z pudełka i wymaga instrukcji konfiguracja jednorazowa aby załadować plik BSA DLL, dodając 3 wiersze do pliku konfiguracyjnego INI Sandboxie.
Pamiętaj, że jeśli zamierzasz postępować zgodnie z dokładną instrukcją instalacji z oficjalnej strony internetowej, musisz wyodrębnić folder Buster Sandbox Analyzer do katalogu głównego dysku C: \. Gdy to zrobisz, uruchom plik wykonywalny BSA.EXE z folderu C:\bsa i będziesz musiał wprowadzić ścieżkę do folderu piaskownicy, aby sprawdzić, gdzie znajduje się folder piaskownicy Sandboxie. Aby uzyskać lokalizację, otwórz kontrolę Sandboxie, klikając dwukrotnie żółtą ikonę tacy latawców w obszarze powiadomień, przeciągnij dowolny program i upuść go w domyślnym polu piaskownicy. Teraz kliknij prawym przyciskiem myszy domyślne pole piaskownicy w oknie sterowania i wybierz „Eksploruj zawartość”.
Otworzy się okno eksploratora ze ścieżką do piaskownicy, którą możesz skopiować i wkleić do „Folderu piaskownicy do sprawdzenia”. Kliknij przycisk Rozpocznij analizę w Buster Sandbox Analyzer i możesz teraz uruchomić program, który chcesz przeanalizować w Sandboxie. Kiedy program jest uruchamiany w Sandboxie, zobaczysz, że okno API Call Log w BSA jest wypełniane informacjami.
Gdy skończysz testować program i będziesz chciał przeanalizować zachowanie programu, najpierw będziesz potrzebować aby zakończyć proces z Sandboxie Control, klikając prawym przyciskiem myszy i wybierając „Zakończ Programy”. Wróć do Buster Sandbox Analyzer i kliknij przycisk Zakończ analizę. Kliknij Przeglądarka na pasku menu i wybierz Wyświetl analizę. Otworzy się plik tekstowy analizy zawierający szczegółowy raport działań z programu, który uruchomiłeś w Sandboxie.
Poniższy zrzut ekranu jest przykładem działań stworzonych przez DarkComet RAT. Sprawdza debuggery, obecność oprogramowania menedżera zadań, tworzy automatyczne uruchamianie w rejestrze, rejestrowanie naciśnięć klawiszy, podniesienie uprawnień, wyłączenie regedit i menedżera zadań i łączy się ze zdalnymi hostami z numerem portu.
Dodatkowe uwagi: Niektóre złośliwe oprogramowanie ma funkcję anty-debuggera, która automatycznie kończy działanie po uruchomieniu narzędzia do debugowania lub maszyny wirtualne, aby uniemożliwić analizę lub oszukać mniej doświadczonych użytkowników, aby pomyśleli, że plik jest bezpieczny. Buster Sandbox Analyzer z pewnością wyprzedza grę, ponieważ jest aktualizowany co najmniej raz w miesiącu, aby uniemożliwić złośliwemu oprogramowaniu rozpoznanie go jako debuggera.
Pobierz Buster Sandbox Analyzer
Analiza manualna
Ręczna analiza zachowania programu z Sandboxie jest możliwa bez użycia narzędzi innych firm, ale nie uzyskasz szczegółowej analizy w porównaniu z użyciem Buster Sandbox Analyzer. Możesz łatwo sprawdzić, czy aplikacja działająca w trybie piaskownicy jest zaprogramowana do upuszczania dodatkowych plików na dysk twardy i dodał wszelkie wartości autostartu w rejestrze, co jest wystarczającym dowodem, aby ustalić, że program jest złośliwy.
Aby wyświetlić zmiany w pliku, kliknij prawym przyciskiem myszy DefaultBox w oknie Sandboxie Control i wybierz „Eksploruj zawartość” lub alternatywnie przejdź bezpośrednio do C:\Sandbox\[Nazwa użytkownika]\DefaultBox\. Jeśli zobaczysz folder, taki jak „dysk” lub „użytkownik”, oznacza to, że aplikacja w trybie piaskownicy utworzyła pewne pliki na dysku twardym. Kontynuuj dostęp do folderów, dopóki nie zobaczysz niektórych plików. Poniżej znajduje się przykład podejrzanego zachowania, w którym aplikacja w trybie piaskownicy uruchomiona z pulpitu tworzy swoją kopię w folderze danych aplikacji bieżącego użytkownika.
Jeśli chodzi o analizę zmian w rejestrze, będziesz musiał najpierw zakończyć program z Sandboxie Control. Naciśnij WIN + R, aby otworzyć okno Uruchom, wpisz regedit i kliknij OK. Rozwiń folder rejestru HKEY_USERS, klikając go dwukrotnie, kliknij Plik z paska menu i wybierz Załaduj gałąź. Przejdź do C:\Sandbox\[Nazwa użytkownika]\DefaultBox\ i otwórz RegHive bez żadnego rozszerzenia pliku. Wpisz cokolwiek, np. sandboxie, jako nazwę klucza, aby ułatwić identyfikację, i kliknij OK.
Inny folder rejestru o nazwie, którą wcześniej ustawiłeś dla nazwy klucza, zostanie dodany na końcu HKEY_USERS. Możesz teraz rozwinąć folder rejestru, aby przeanalizować dodawane lub zmieniane wartości.
Jak widać na powyższym przykładowym zrzucie ekranu, aplikacja piaskownicy w Sandboxie dodała również automatyczne uruchamianie wartość bieżącemu użytkownikowi w rejestrze, aby uruchomić plik, który został upuszczony do folderu Dane aplikacji podczas logowania użytkownika W. Użytkownik komputera z doświadczeniem i wiedzą byłby w stanie ocenić, że zachowanie aplikacji działającej w trybie piaskownicy jest najprawdopodobniej złośliwe i możesz uzyskać potwierdzenie swoich ustaleń, wysłanie pliku do analityka antywirusowego za pomocą X-Ray.
Nie udostępniaj moich danych osobowych.