تاپیک اختصاصی کلیه ی مباحث مجازی سازی و پیرامون ← راهنما در پست اول و دوم

[A M ! N]

با سلام.

در این تاپیک بحثهای مربوط به مجازی سازی ( Virtualization ) مثلا { اجرای malware ها در فضای Sandbox ، اجرای مرورگر وب در فضای Sandbox و... } را خواهیم داشت.


هدف این تاپیک بحث پیرامون انواع نرم افزارهای مجازی سازی و اجرای و مشکلات مرتبط میباشد، مانند :

...... , SandboxIE ، Buster Sandbox Analyzer ، Shadow Defender ، BufferZone Pro ، GeSWall ، SafeSpace ، Process Guard ، AppGuard ، DefenseWall ، VMware ، VirtualBox

همچنین محیطهای مجازی که شرکتهای امنیتی مثلا Comodo ، Avast ، Kaspersky 2012 ، Bitdefender safapay و غیره ، مشمول این تاپیک میباشد.



تاریخچه ی کلمه ی Sandbox

Sandbox یا محوطه ی شنی ، فضاییست که کف آن متشکل از شنهای نرم هست و کودکان را برای بازی درون آن قرار میدهند.
در این صورت کودک از آسیبهای احتمالی محفوظ است.


این کلمه امروزه در دنیای تکنولوژی فضاییست ( مجازی ) که در آن میتوان به صورت ایمن مخربها یا مرورگر وب را به اجرا در آورد و
به صورت ایمن به وبگردی و ... بپردازیم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[A M ! N]

سلام

شاید برای شما سوال باشه که وقتی یک فایل مشکوک رو توسط سندباکسی اجرا میکنید از کجا بفهمید که چه اتفاقاتی در پشت صحنه داره میفته ، به طور عادی وقتی یک برنامه رو سندباکس میکنید نمیفهمید که چه اتفاقات یا تغییراتی فایل مشکوک گذاشته روی سیستم ، مگر اینکه درکنارش یک محصول دارای HIPS داشته باشین که در حین اجرا در سندباکس تا حدودی به شما گزارش بده.

محصولی که میخوام معرفی کنم اسمش Buster Sandbox Analyzer هستش ، که به نوعی مکمل برای برنامه ی Sandboxie هست. این برنامه پرتابل هستش و نیازی به نصب نداره و از محل خود برنامه اجرا میشه. وقتی برنامه اجرا بشه از شما محل پوشه ی Defaultbox رو میخواد که شما میتونید از طریق برنامه ی Sandboxie به راحتی پیداش کنید.

این برنامه ازونجایی که محیط رو خیلی واقعی تر میکنه ، یعنی روی فضای سندباکس شده ی دیسک فایل میسازه و فایلهای اجرایی که توسط فایل مشکوک فراخوانی میشه رو ازون فایلها فراخوانی میکنه ممکنه درکنار برنامه های امنیتی دیگر دچار مشکل و اختلال بشه.

شما بعدزاینکه یک برنامه رو داخل سندباکسی اجرا کردین ، آپشنهایی برای آنالیز BSA باز میشه..وقتی احساس کردین که کار با سندباکس تموم شده و پروسه ی اجراشدن فایل موردنظر تا پایان پیش رفته برنامه رو Terminate کنید و در پوشه ی BSA پوشه ای به نام Reports میبینید که اونجا از چندین حیث میتونید آنالیز کنید :

FileDiff.TXT

RegDiff.TXT

LOG_API.TXT

Connections.TXT

Sandboxie.TXT

Report.TXT

راه بالا راه دستی بود ، اما راه دیگه هم هست که بعد از اجرا و پایان برنامه گزینه ی
Malware analyzer رو بزنیم و BSA میاد فایلهای گزارش رو بررسی میکنه و به دنبال رفتارهای Malicious میگرده و در آخر یک لیستی از رفتارهای Malwareگونه رو نشون میده و مشخص میکنه که اونا اجرا شدن یا نه. با توجه به اجرا شدن یا نشدن رفتارها ، درصد خطر برنامه در سه سطح low یا medium یا high نشون داده میشه. در آخر هم فایل گزارش در پوشه ی Reports به نام Analysis.TXT ذخیره خواهد شد.

مثلا برای تغییرات رجیستری ممکنه به شما نشون بده به عنوان مثال :

software\microsoft\windows\whatever<->Disables Windows firewall

که این یعنی این برنامه میخواد فایروال رو غیر فعال کنه ..که رفتار فایل مالوار هستش.

این برنامه میتونه از طریق خط فرمان هم اجرا بشه..


**نکته ای که باید بگم برای استفاده ازین برنامه تنظیم پست قبل که برای
Automatically delete contents of sb بود رو نباید انجام بدین و این باید غیر فعال باشه.

این برنامه نیاز داره که Sandboxie روی سیستم شما از پیش نصب باشه.

مرجع برنامه:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]



موفق باشید.

[A M ! N]

خب حالا باید این دو برنامه رو با هم تنظیم و هماهنگ کنیم :


ابتدا آخرین ورژن Sandboxie

دانلود :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


برنامه ی سندباکسی باید رجیستر بشه از پتچهایی که ضمیمه کردم انتها استفاده کنید..

بعد آخرین ورژن BSA رو میگیرین :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

و اکسترکت میکنین به \:C

یعنی به این شکل :

C:\bsa

این برنامه رو نصب کنید :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بعد از نصب سیستم رو ریستارت کنید.

حالا سندباکسی رو باز کنید و به منوی Configure برین و اونجا Edit Configuration رو انتخاب کنید

در این پنجره و دربخشی که نشون دادم کد پایین رو وارد کنید در بخش [DefaultBox]

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مث پایین باید بشه :





از منوی فایل Save رو بزنید و بیرون برین.



حالا روی آیکون کنار ساعت سندباکسی برین و روش راست کلیک کنید در بخش Defaultbox به گزینه ی

Explore Contents برین و کلیک کنید ، یک پنجره باز میشه ، که فولدر سندباکسی هستش ، از داخل آدرس بار آدرس رو کپی کنید مثلا آدرس شد این :

C:\Sandbox\Amin\DefaultBox

حالا به پوشه ی bsa برین و فایل BSA.exe رو باز کنید

در این بخش آدرسی رو که کپی کردین رو Paste کنید :





دکمه ی Start Analysis رو بزنین و یک کادر ظاهر میشه شما حالت پایین رو انتخاب کنید :

Delete Sandbox Folder contents and continue

حالا یک برنامه داخل Sandboxie اجرا کنید. بعد ازین که داخل BSA اسکرول بار به پایان رسید و متوقف شد به سندباکسی برین و از منوی اول Terminate all بزنین تا بسته بشن فایلهایی که دارن سندباکس میشن.

حالا از داخل BSA دکمه ی Finish Analysis رو بزنین..

دوباره دکمه ی Malware Analyzer رو بزنین لیست آنالیز اولیه رو میبینید ، باقی لوگ هارو هم میتونید از منوی Viewer بررسی کنید.


موفق باشید.

[mehdicvl]

سلام

شاید برای شما سوال باشه که وقتی یک فایل مشکوک رو توسط سندباکسی اجرا میکنید از کجا بفهمید که چه اتفاقاتی در پشت صحنه داره میفته ، به طور عادی وقتی یک برنامه رو سندباکس میکنید نمیفهمید که چه اتفاقات یا تغییراتی فایل مشکوک گذاشته روی سیستم ، مگر اینکه درکنارش یک محصول دارای HIPS داشته باشین که در حین اجرا در سندباکس تا حدودی به شما گزارش بده.

محصولی که میخوام معرفی کنم اسمش Buster Sandbox Analyzer هستش ، که به نوعی مکمل برای برنامه ی Sandboxie هست. این برنامه پرتابل هستش و نیازی به نصب نداره و از محل خود برنامه اجرا میشه. وقتی برنامه اجرا بشه از شما محل پوشه ی Defaultbox رو میخواد که شما میتونید از طریق برنامه ی Sandboxie به راحتی پیداش کنید.

این برنامه ازونجایی که محیط رو خیلی واقعی تر میکنه ، یعنی روی فضای سندباکس شده ی دیسک فایل میسازه و فایلهای اجرایی که توسط فایل مشکوک فراخوانی میشه رو ازون فایلها فراخوانی میکنه ممکنه درکنار برنامه های امنیتی دیگر دچار مشکل و اختلال بشه.

شما بعدزاینکه یک برنامه رو داخل سندباکسی اجرا کردین ، آپشنهایی برای آنالیز BSA باز میشه..وقتی احساس کردین که کار با سندباکس تموم شده و پروسه ی اجراشدن فایل موردنظر تا پایان پیش رفته برنامه رو Terminate کنید و در پوشه ی BSA پوشه ای به نام Reports میبینید که اونجا از چندین حیث میتونید آنالیز کنید :

FileDiff.TXT

RegDiff.TXT

LOG_API.TXT

Connections.TXT

Sandboxie.TXT

Report.TXT

راه بالا راه دستی بود ، اما راه دیگه هم هست که بعد از اجرا و پایان برنامه گزینه ی
Malware analyzer رو بزنیم و BSA میاد فایلهای گزارش رو بررسی میکنه و به دنبال رفتارهای Malicious میگرده و در آخر یک لیستی از رفتارهای Malwareگونه رو نشون میده و مشخص میکنه که اونا اجرا شدن یا نه. با توجه به اجرا شدن یا نشدن رفتارها ، درصد خطر برنامه در سه سطح low یا medium یا high نشون داده میشه. در آخر هم فایل گزارش در پوشه ی Reports به نام Analysis.TXT ذخیره خواهد شد.

مثلا برای تغییرات رجیستری ممکنه به شما نشون بده به عنوان مثال :

software\microsoft\windows\whatever<->Disables Windows firewall

که این یعنی این برنامه میخواد فایروال رو غیر فعال کنه ..که رفتار فایل مالوار هستش.

این برنامه میتونه از طریق خط فرمان هم اجرا بشه..


**نکته ای که باید بگم برای استفاده ازین برنامه تنظیم پست قبل که برای
Automatically delete contents of sb بود رو نباید انجام بدین و این باید غیر فعال باشه.

این برنامه نیاز داره که Sandboxie روی سیستم شما از پیش نصب باشه.

مرجع برنامه:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]



موفق باشید.

سلام خسته نباشید! ممنون از پست خوبتون!
سوالی برام پیش اومده! اونم اینکه تفاوت عملکرد shadow defender و سندباکسی در چیه؟ و چرا شما (با توجه به امضاتون) از این سه نرم افزار تواما استفاده میکنین؟

[A M ! N]

سلام خسته نباشید! ممنون از پست خوبتون!
سوالی برام پیش اومده! اونم اینکه تفاوت عملکرد shadow defender و سندباکسی در چیه؟ و چرا شما (با توجه به امضاتون) از این سه نرم افزار تواما استفاده میکنین؟

سلام ..مرسی تشکر. ممنون از شما که مطالعه کردین و خوشحالم که مورد توجه تون قرار گرفت.

عرض کنم که برنامه های SandboxIE و Shadow defender به طور کلی دارای یک هدف مشترک هستند و اون هم اینه که تاثیرات ناشی از اجراشدن فایلها ، به سیستم اصلی اعمال نشه ولی در عین حال ما بتونیم تاثیرات و تغییرات ناشی از مالوارها رو ببینیم به طوری که خیال کنیم واقعا داریم روی سیستم واقعی اجرا میکنیم.

خب روش کار SandboxIE به این شکل هستش که قسمتهایی از هارد دیسک رو به خودش اختصاص میده و اون محیط رو ایزوله میکنه.. و برنامه هارو درون اون فضا اجرا میکنه. طبیعتا داخل اون فضا هرچیزی میتونه بدون مشکل اجرا بشه، وقتی برنامه ی مخرب درخواست دسترسی به فایلی میکنه SandboxIE اون فایل یا قسمت موردنظر رو در اختیار مالوار میگذاره تا داخل محیط ایزوله اون رو اجرا کنه.. به این شکل.

اما Shadow defender کارش کمی شباهت به برنامه ی Deep freeze داره ، ولی مث اون غیر استاندارد نیست ( موردهای زیادی دیده شده که دیپ فریز باعث خرابکاری شده ) این برنامه وقتی اجرا میشه یک Snapshot کلی از سیستم میگیره ( منظور ایمیج یا بک آپ نیست ) و طبق اون هر فایل یا برنامه ای که شما اجرا کنید داخل محیط مجازی که Shadow mode نامیده شده ، اجرا میشه. این محیط هیچ فرقی با محیط اصلی ویندوز شما نداره و تنها با فشار دادن یک دکمه وارد Shadow mode میشین. تنها فرفی که این محیط داره اینکه بالای دسکتاپ نوشته شده : Shadow mode
شما وارد Shadow mode که شدین بعد از انجام کارهای مورد نظر باید از Shadow mode بیرون بیاین یا Exit کنید، که در اینجا از شما خواسته میشه که یا اینکه سیستم رو ریستارت کنید یا خاموش کنید ، بعد ازینکه سیستم روشن بشه مث این هست که هیچ اتفاقی اصن نیفتاده بوده..! و درواقع همه ی تغییرات Discard شدن.

حالا چرا من از این دو نرم افزار با هم استفاده میکنم، دلیلش این هست که درحالت shadow defender راحت تر و تمیز میتونید یک ویروس رو اجرا کنید و چیزی مزاحم کارتون نیست.
اما همچنین با اجر SandboxIE هم پوئنی که شما دارین برنامه ی Buster sandbox analzyer هست که فقط با SandboxIE کار میکنه ، که لوگهای تخصصی تر از مالوار به شما میده.. ولی سرکارداشتن با اون همه پنجره و اینکه لذت محیط واقعی تر مث Shadow mode رو به شما نمیده

[A M ! N]

ورژن جدید برنامه ی Buster sandbox analyzer که کلی ارتقا داده شده

Buster Sandbox Analyzer 1.71

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[A M ! N]

ورژن جدید برنامه ی SandboxIE که باید قبل از نصب Buster sandbox analyzer نصب بشه

Sandboxie version 3.72

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[A M ! N]

سلام

دوستانی که از سندباکسی Sandboxie استفاده میکنن این تنظیم رو انجام بدن :

به منوی زیر برین :

Sandbox>Defaultbox<Sandbox settings

داخل پنجره روی Delete>Delete invocation برین و تیک گزینه ی

Automatically delete contents of sandbox folder رو بزنید

دلیل : حجم فولدر سندباکس محدود هستش و اگه پر بشه در حین اجرای برنامه ی بعدی ممکنه دچار اختلال بشه.
از طرف دیگه چون تمام بستهای یک فایل اجرایی در حین اجراشدن باز میشه و در فولدر سندباکس قرار میگیره اینطوری آنتی ویروس ها در صورت تشخیص ویروس مدام به شما آلرت میدن !!

موفق باشید.

[A M ! N]

Buster Sandbox Analyzer 1.72

: Changes

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[K1lou]

با سلام
امین جان تایپیک خوبی است
فقط فکر می کنم اشنا شدن با کار دو برنامه برای کسانی که کار نکردن باهاشون کمی وقت ببره ( اگه توی این گرفتاری و مشغله ات وقت کردی کمی توضیح اجمالی در مورد گزینه های اصلی برنامه سند باکسی بدین )
کرک برنامه رو اینجا گذاشتین به خاطر همون هم اینجا درخواست می دم چون قبلا من یکبار این سند باکسی رو نصب کرده بودم الان برام کرک نمیشه . همه اثار از ریجستری رو هم پاک کردم نشد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حالا یک برنامه داخل Sandboxie اجرا کنید. بعد ازین که داخل BSA اسکرول بار به پایان رسید و متوقف شد به سندباکسی برین و از منوی اول Terminate all بزنین تا بسته بشن فایلهایی که دارن سندباکس میشن.

چرا برای من اصلا اسکرول bsa تغییری نداره و هیچی توش نیست

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اون گزینه های مربوط به خود سندباکسی همراه keygen داخل سند باکس چکار می کنن و جی هستن ؟

من همچین لوگی در قسمت detail دیم این یعنی برنامه بدون مشکل کار کرده

Detailed report of suspicious malware actions:


Hide file from user: C:\Users\k1lou\AppData\Local\Microsoft\Windows\His tory\History.IE5\index.dat
Hide file from user: C:\Users\k1lou\AppData\Local\Microsoft\Windows\Tem porary Internet Files\Content.IE5\index.dat
Hide file from user: C:\Windows\SbiePst.dat
Modified file in defined folder: C:\Program Files\WinRAR\rarreg.key
System Policies change: machine\software\microsoft\windows\currentversion\ policies\system\enablelinkedconnections = 00000001

بعد از نصب سند باکسی همچین پیامی داشتم در این موارد چطور باید عمل کرد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

با تشکر