Sandboxie+Buster Sandbox Analyzer打造个人沙箱

一、运行环境和需要安装的软件

实验环境:win7_x32或win7_x64

用到的软件:WinPcap_4_1_3.exe、Sandboxie-3-70.exe、Buster Sandbox Analyzer

重点是Sandboxie必须是3.70版本。下载地址:https://github.com/sandboxie-plus/sandboxie-old/blob/main/3.x/Sandboxie-3-70.exe;bsa从官网下载最新免费即可,下载地址:http://bsa.isoftware.nl/;必须安装WinPcap,下载地址:https://www.winpcap.org/,只有安装了WinPcap才可保证bsa运行。

以win7_x64为例,首先安装Sandboxie-3-70.exe,一路确定。然后安装WinPcap_4_1_3.exe,一路确定。最后将bsa压缩包,解压到C盘。见下图。

二、配置Sandboxie和BSA

双击C:\bsa目录下的bsa.exe。需要填写Sandbox folder to check。回到Sandboxie Control界面,沙盘->DefaultBox->在沙盘中运行->运行网页浏览器。然后看桌面右下角Sandboxie Control小标,右键->DefaultBox->浏览保存内容,弹出的目录就是要填入Sandbox folder to check位置处的目录。见下图。

所以bsa配置好,见下图。

然后是配置sandboxie。配置->编辑配置文件,则打开Sandboxie.ini文件。见下图。

bash 复制代码
InjectDll=C:\bsa\LOG_API\logapi32.dll
InjectDll64=C:\bsa\LOG_API\logapi64.dll
OpenPipePath=\Device\NamedPipe\LogAPI

其中红框内为需要自己添加的。主要分2部分:1、InjectDll的指定,文件的位置必须在电脑上存在,而且路径和文件名字不能错。InjectDll是32位logapi,InjectDll64是64位logapi。2、OpenPipePath=\Device\NamedPipe\LogAPI这个固定,就这么写。上述三行代码,在win7_32位和win7_64位,都写这三句。至此bsa和sandboxie均配置好。

三、如何使用bsa记录在沙箱中运行的程序的行为

首先在bsa中点击start analysis->Ignore Sandbox Folder contents and continue。然后就选择要分析的木马程序右键->在沙盘中运行。此时bsa中开始记录运行程序的行为。bsa中的记录不在增加时,关闭木马,然后点Finish analysis。正常是木马关闭则可停止分析,如果此时点Finish analysis后bsa最下面一行提示RegHive is in use. Be sure Sandboxie is not running before clicking "Finish Analisis" 证明此木马程序创建了新的进程在运行,此时回到Sandboxie Control可看到没关闭的进程和对应的pid,再去任务管理器找到对应的pid,找到进程后再右键点打开文件位置,即找到真实的木马,再进行分析。在Sandboxie Control中终止隐藏的进程后再点Finish analysis就停止记录木马行为。BSA中,Viewer->View Report,就看到对样本行为的记录。

相关推荐
TazmiDev3 天前
[极客大挑战 2019]BabySQL 1
服务器·数据库·安全·web安全·网络安全·密码学·安全威胁分析
楠木s4 天前
JNDI基础
java·开发语言·网络攻击模型·哈希算法·安全威胁分析
半个西瓜.8 天前
网络安全:基线检查---自动化脚本检测.
网络·安全·web安全·网络安全·安全威胁分析
半个西瓜.9 天前
基线检查:Windows安全基线.【手动 || 自动】
网络·安全·web安全·网络安全·安全威胁分析
国科安芯9 天前
低成本抗辐照MCU控制板
单片机·嵌入式硬件·fpga开发·安全威胁分析
溯Sec10 天前
渗透测试---burpsuite(8)IP伪造
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
promise52414 天前
-bash: nmap: command not found
linux·运维·服务器·开发语言·bash·安全威胁分析·nmap
.Ayang16 天前
护网蓝队日志分析
计算机网络·安全·web安全·网络安全·系统安全·安全威胁分析·安全架构
溯Sec20 天前
渗透测试---burpsuite(3)decodor comparer logger模块使用
计算机网络·安全·web安全·网络安全·系统安全·安全威胁分析·安全架构
浩浩测试一下24 天前
权限提升漏洞之Netlogon协议详解 以及可能出现得漏洞分析
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构