Sandboxie+Buster Sandbox Analyzer打造个人沙箱

一、运行环境和需要安装的软件

实验环境:win7_x32或win7_x64

用到的软件:WinPcap_4_1_3.exe、Sandboxie-3-70.exe、Buster Sandbox Analyzer

重点是Sandboxie必须是3.70版本。下载地址:https://github.com/sandboxie-plus/sandboxie-old/blob/main/3.x/Sandboxie-3-70.exe;bsa从官网下载最新免费即可,下载地址:http://bsa.isoftware.nl/;必须安装WinPcap,下载地址:https://www.winpcap.org/,只有安装了WinPcap才可保证bsa运行。

以win7_x64为例,首先安装Sandboxie-3-70.exe,一路确定。然后安装WinPcap_4_1_3.exe,一路确定。最后将bsa压缩包,解压到C盘。见下图。

二、配置Sandboxie和BSA

双击C:\bsa目录下的bsa.exe。需要填写Sandbox folder to check。回到Sandboxie Control界面,沙盘->DefaultBox->在沙盘中运行->运行网页浏览器。然后看桌面右下角Sandboxie Control小标,右键->DefaultBox->浏览保存内容,弹出的目录就是要填入Sandbox folder to check位置处的目录。见下图。

所以bsa配置好,见下图。

然后是配置sandboxie。配置->编辑配置文件,则打开Sandboxie.ini文件。见下图。

bash 复制代码
InjectDll=C:\bsa\LOG_API\logapi32.dll
InjectDll64=C:\bsa\LOG_API\logapi64.dll
OpenPipePath=\Device\NamedPipe\LogAPI

其中红框内为需要自己添加的。主要分2部分:1、InjectDll的指定,文件的位置必须在电脑上存在,而且路径和文件名字不能错。InjectDll是32位logapi,InjectDll64是64位logapi。2、OpenPipePath=\Device\NamedPipe\LogAPI这个固定,就这么写。上述三行代码,在win7_32位和win7_64位,都写这三句。至此bsa和sandboxie均配置好。

三、如何使用bsa记录在沙箱中运行的程序的行为

首先在bsa中点击start analysis->Ignore Sandbox Folder contents and continue。然后就选择要分析的木马程序右键->在沙盘中运行。此时bsa中开始记录运行程序的行为。bsa中的记录不在增加时,关闭木马,然后点Finish analysis。正常是木马关闭则可停止分析,如果此时点Finish analysis后bsa最下面一行提示RegHive is in use. Be sure Sandboxie is not running before clicking "Finish Analisis" 证明此木马程序创建了新的进程在运行,此时回到Sandboxie Control可看到没关闭的进程和对应的pid,再去任务管理器找到对应的pid,找到进程后再右键点打开文件位置,即找到真实的木马,再进行分析。在Sandboxie Control中终止隐藏的进程后再点Finish analysis就停止记录木马行为。BSA中,Viewer->View Report,就看到对样本行为的记录。

相关推荐
YAy178 小时前
URLDNS链分析
学习·安全·web安全·网络安全·安全威胁分析
网宿安全演武实验室3 天前
漏洞分析 | Spring Framework路径遍历漏洞(CVE-2024-38816)
spring·网络安全·安全威胁分析
半个西瓜.12 天前
Web安全: OWASP_TOP_10 原理|危害|绕过技术|修复建议.
安全·web安全·网络安全·安全威胁分析
肾透侧视攻城狮12 天前
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
学习·计算机网络·web安全·网络安全·网络攻击模型·安全威胁分析·可信计算技术
金灰13 天前
CTF--Misc题型小结
网络·计算机网络·安全·网络安全·安全威胁分析
ACRELKY13 天前
新能源汽车火灾应急处置程序
汽车·安全威胁分析
溜啦啦14 天前
2024年网鼎杯青龙组逆向2题wp
数据结构·python·算法·安全·网络安全·网络攻击模型·安全威胁分析
肾透侧视攻城狮15 天前
网络空间安全之一个WH的超前沿全栈技术深入学习之路(7-2):利用第三方服务对目标进行被动信息收集防止被发现,就怕你学成黑客啦!
web安全·系统安全·网络攻击模型·安全威胁分析·可信计算技术·googlehacking·shodaw
独行soc15 天前
#渗透测试#SRC漏洞挖掘# 信息收集-Shodan进阶之Jenkins组件
安全·jenkins·安全威胁分析·1024程序员节·shodan
群联云防护小杜16 天前
Steam 在线游戏暴露 IP 后如何预防黑客攻击
服务器·网络·网络协议·tcp/ip·游戏·安全威胁分析