Одлука да ли је нека датотека заражена или сигурна од резултата скенирања на ВирусТотал може бити фрустрирајућа када половина антивируса покаже да је заражена, док друга половина показује да је чиста.
Можете покушати да анализирате половину откривене датотеке користећи интернетску песковну услугу као што је ТхреатЕкперт, али извештај приказује понашање програма само када се покрене и не говори вам шта ради када је опција омогућена или када се кликне дугме на програму .
Ово је случај када се софтвер за песак, као што је Сандбокие, почиње играти тако што вам омогућава да покренете било који програм на рачунару без обзира да ли су безбедни или заражени, али све промене и даље неће утицати на ваш рачунар.
Иако се Сандбокие углавном користи за заштиту вашег рачунара покретањем програма у изолованом простору, такође се може користити за анализу понашања програма. Ево два начина за истраживање промена у вашем рачунарском систему помоћу програма који се покрећу у Сандбокие-у.
Аутоматска анализа помоћу Бустер Сандбок анализатора
Бустер Сандбок Анализер (БСА) је бесплатан алат који се може користити за гледање радњи било којег процеса који се изводи унутар Сандбокие-а. Иако је БСА преносиви софтвер, он не ради одмах ван кутије и захтева једнократну ручну конфигурацију за учитавање БСА ДЛЛ датотеке додавањем 3 линије у Сандбокие-ову ИНИ конфигурациону датотеку.
Имајте на уму да ако ћете следити тачна упутства за инсталацију са званичне веб локације, морате да извучете фасциклу Бустер Сандбок Анализер у корен вашег Ц: \ погона. Када то учините, покрените извршну датотеку БСА.ЕКСЕ из директоријума Ц: \ бса и мораћете да унесете путању мапе са песком да бисте проверили која је локација Сандбокие-ове директоријуме у песковнику. Да бисте добили локацију, отворите Сандбокие Цонтрол двоструким кликом на икону жутог лежишта кита из области обавештења, превуците било који програм и испустите га у Сандбок ДефаултБок. Сада десним кликом кликните на Сандбок ДефаултБок у Цонтрол прозору и одаберите "Екплоре Цонтентс".
Отвориће се прозор истраживача са путањом до песковника коју можете копирати и залепити у „Сандбок фолдер то цхецк“. Кликните на дугме Старт Аналисис на Бустер Сандбок Анализеру и сада можете да покренете програм који желите да анализирате у Сандбокие. Када се програм покреће под Сандбокие, видећете да се прозор дневника АПИ позива у БСА испуњава информацијама.
Након што завршите тестирање програма и желите да анализирате његово понашање, прво морате да прекинете поступак са Сандбокие Цонтрол десним кликом и одаберете „Терминате Програмс“. Вратите се на Бустер Сандбок Анализер и кликните на дугме Заврши анализу. Кликните на Виевер на траци менија и изаберите Виев Аналисис. Отвориће се текстуална датотека анализе која ће вам показати детаљан извештај о радњама из програма који сте извршили у Сандбокие-ју.
Снимак екрана је пример радњи које је креирао ДаркЦомет РАТ. Провјерава постојање грешака, присуство софтвера за управљање задацима, стварање аутоматског покретања у регистру, евидентирање притиска типки, подизање привилегија, онемогућавање регедита и управитеља задатака и повезује се с удаљеним домаћинима с бројем порта.
Додатне напомене : Неки злонамерни софтвер има функцију анти-исправљања погрешака тамо где се аутоматски прекида када се покреће у алатима за уклањање погрешака или виртуелним машинама како би се спречила анализа или да би се преварили мање искусни корисници да мисле да је датотека сигурна. Бустер Сандбок Анализер је сигурно испред игре, јер се ажурира најмање једном месечно како би спречио малваре да га препозна као исправљач.
Преузмите Бустер Сандбок Анализер
Ручна анализа
Ручна анализа понашања програма из Сандбокие-ја је могућа без употребе алата треће стране, али нећете добити детаљну анализу у поређењу са Бустер Сандбок анализатором. Лако можете сазнати да ли је програм са песком програмиран тако да испушта било које додатне датотеке на тврди диск и додате све вредности аутоматског покретања у регистар што је довољан доказ да се програм сматра злонамерним.
Да бисте погледали промене датотеке, кликните десним тастером миша на ДефаултБок из прозора Сандбокие Цонтрол и изаберите „Екплоре Цонтентс“ или алтернативно директно идите на Ц: \ Сандбок \ [Усернаме] \ ДефаултБок \. Ако видите било коју фасциклу као што је „драјв“ или „корисник“, то значи да је апликација са песком креирала неке датотеке на чврстом диску. Наставите да приступате мапама док не видите неке датотеке. Испод је пример сумњивог понашања где апликација са песковним системом покренута са радне површине ствара другу копију себе у фасцикли са подацима о тренутном корисничком апликацији.
Што се тиче анализе промена у регистру, морат ћете прво да прекинете програм из Сандбокие Цонтрол. Притисните ВИН + Р да бисте отворили прозор Рун, откуцајте регедит и кликните на ОК. Проширите директоријум регистра ХКЕИ_УСЕРС двоструким кликом на њу, кликните на Филе из менија и изаберите Лоад Хиве . Дођите до Ц: \ Сандбок \ [УсерНаме] \ ДефаултБок \ и отворите РегХиве без икаквог додатка датотеке. За лаку идентификацију унесите било шта као што је сандбокие за Кеи Наме и кликните на ОК.
На крају ХКЕИ_УСЕРС ће се додати друга фасцикла са именом које сте претходно поставили за Кеи Наме. Сада можете проширити директоријум регистра да бисте анализирали вредности које се додају или мењају.
Као што видите са горњег узорка, апликација са песком у Сандбокие такође је додала вредност аутоматског покретања тренутном кориснику у регистру како би покренуо датотеку која је пала у мапу Апплицатион Дата када се корисник пријави. Корисник рачунара са искуством а знање би могло да процени да је понашање апликације са пескантом највероватније злонамерно и да потврду својих резултата можете добити слањем датотеке антивирусном аналитичару помоћу Кс-Раиа.