Что такое sandboxie

Sandboxie Plus — форк Sandboxie с открытым исходным кодом и современным интерфейсом

Дэвид Ксанатос (David Xanatos), создатель приложения TaskExplorer, поддерживает форк официальной программы под названием Sandboxie Plus. Программа также имеет открытый исходный код и современный пользовательский интерфейс

Инструмент безопасности Sandboxie популярен среди многих пользователей. Программа была приобретена компанией Sophos, после чего ее исходный код был открыт.

Чем отличаются Sandboxie и Sandboxie Plus?

Самым заметным отличием является пользовательский интерфейс, который разработчик называет Sandman UI (сокращение от Sandboxie Manager). Интерфейс является современным и дружественным по сравнению с устаревшим интерфейсом Sanboxie.

Чтобы включить русский интерфейс, после установки программы перейдите в меню Options > Global Settings и вместо International English выберите русский. Перезапустите программу, чтобы применить изменения.

Пользовательский интерфейс SandMan основан на Qt и заменяет старый интерфейс на основе MFC (Microsoft Foundation Class Library), используемый для SbieCtrl.exe. имейте в виду, что классическая версия Sandboxie все еще поддерживается и доступна на официальной странице GitHub.

Если вы не знаете, как использовать Sandboxie, воспользуйтесь этой инструкцией, несмотря на изменение пользовательского интерфейса, основной функционал новой версии остался прежним.

Рассмотрим новый интерфейс программы. Sandboxie Plus имеет две панели. Верхняя панель содержит предустановленную песочницу DefaultBox. Кликните правой кнопкой мыши по этой области, чтобы создать новую изолированную среду, это очень просто.

Кликните правой кнопкой мыши по значку в области уведомлений, чтобы отобразить или скрыть программу, завершить работу всех программ или отключить отдельные приложения, которые были принудительно запущены в изолированном режиме.

Вернемся к основному интерфейсу. Выберите песочницу и щелкните ее правой кнопкой мыши, чтобы открыть контекстное меню. Первая опция Запустить содержит нужные вам ярлыки для запуска программ. Данный подход может вызывать трудности, если вы привыкли к старой версии. Другие параметры в меню позволяют завершить работу любых запущенных программ, изучить содержимое окна. Вы можете сохранить свою песочницу, сделав снимки.

Переключитесь на Простой вид (Simple View) из меню Вид (View), чтобы избавиться от нижней панели инструментов. Перетащите исполняемый файл в интерфейс Sandboxie Plus, чтобы запустить его в изолированном режиме. В контекстное меню Проводника добавляется привычный пункт «Run Sandboxed», который можно использовать для безопасного запуска программ.

На панели инструментов доступно 6 кнопок:

• открыть настройки (Global Settings)
• сохранить закрытые программы в памяти песочницы (Keep Terminated)
• удаление процессов и журналов для трех нижних панелей (Cleanup)
• редактирование файла INI (Edit ini file). Изменения сохраняются автоматически, перезапуск программы не требуется
• журнал ресурсов (Resource Logging)
• журнал вызов API (API Call Logging)

На вкладке Sbie Messages на нижней панели хранится журнал действий, выполненных в песочнице. Монитор ресурсов (Resource Monitor) отображает идентификатор процесса запущенных программ. Журнал вызовов API необходимо настраивать вручную, обычному пользователю это не нужно делать.

Чтобы установить пользовательское местоположение для вашей песочницы, перейдите в меню Опции > Глобальные настройки > Расширенные настройки > Песочница по умолчанию и выберите папку по вашему выбору. В программе предусмотрено много других настроек, включая параметры совместимости программного обеспечения.

Чтобы изменить параметры песочницы, вам нужно щелкнуть ее правой кнопкой мыши на главном экране и выбрать Опции песочницы. Измените цвет границы окна песочницы и определите, должен ли символ # отображаться в строке заголовка программ.

На вкладке Группы программ доступен список предустановленных приложений, а также две группы браузеров, которые Sandboxie Plus изолирует от остальной части вашего компьютера. Вы можете добавлять новые группы или новые программы в существующую группу, используя кнопки в правой части вкладки.

Хотите запускать определенные программы в песочнице по умолчанию? Именно для этого и предназначена вкладка Принудительные программы. Просто добавьте имя исполняемого файла, например Maxthon.exe, и он будет добавлен в список программ для принудительного запуска. Аналогичным образом можно работать с группами.

Данных основ должно быть достаточно, чтобы начать работу с программой, но вы можете изменять и другие параметры по мере необходимости. Сообщество поддержки Sandboxie Plus можно найти на форумах Wilder’s Security. Если вы когда-нибудь хотели использовать Sandboxie, но вас пугал интерфейс программы, попробуйте Sandboxie Plus.

Sandboxie — бесплатная песочница для запуска сомнительных программ в Windows

Sandboxie — наверное, самая популярная «песочница», позволяющая изолировать запускаемые в Windows 10, 8.1 и Windows 7 программы таким образом, чтобы они не могли повлиять на работоспособность системы. Ещё недавно утилита Sandboxie не была в полной мере бесплатной, но через короткое время после того, как в Windows 10 появилась встроенная песочница, стала таковой.

В этом кратком обзоре — об использовании Sandboxie для запуска программ в изолированной среде, что позволит обезопасить вашу систему от потенциально нежелательных изменений, основных настройках и функциях песочницы. И предваряя текст, сразу сообщаю, что рекомендую рассматриваемый продукт к использованию.

Использование Sandboxie

После установки Sandboxie на компьютер или ноутбук вы сразу сможете запускать программы в песочнице с параметрами по умолчанию одним из следующих способов:

1. Нажать правой кнопкой мыши по ярлыку или исполняемому файлу программы, выбрать пункт «Запустить в песочнице» и указать конкретную песочницу (DefaultBox — песочница с параметрами по умолчанию, можно создать несколько наборов параметров и выбирать в зависимости от того, что именно необходимо).
2. Запустить программу в песочнице, нажав по значку Sandboxie в области уведомлений Windows правой кнопкой мыши, выбрав имя песочницы, а затем — пункт «Запустить любую программу».
3. Открыв главное окно «Управление Sandboxie» и выбрав в меню «Песочница» — «Имя песочницы (DefaultBox) — «Запустить в песочнице».

Сама суть запуска программ в песочнице будет объяснена сразу после установки при первом запуске программы на нескольких информационных экранах. Эти же экраны можно вызвать через меню «Помощь» — «Начало работы. Руководство».

При запуске каких-либо программ в песочнице, в главном окне Sandboxie вы будете видеть, что еще они используют для своей работы, а в меню «Файл» — «Монитор доступа к ресурсам» сможете подробно ознакомиться, с какими данными работает запущенная программа: к каким файлам, устройствам и разделам реестра получает доступ.

В целом, для целей простого тестирования каких-то программ, которые у вас вызывают сомнения, параметров по умолчанию может быть достаточно: запускаем что-то в песочнице, после закрытия программы все её данные удаляются. Изменить что-то в системе запущенная таким образом программа не сможет. Однако, в некоторых случаях может иметь смысл изучить и изменить настройки Sandboxie, либо создать новые профили песочницы для каких-либо задач.

Настройка песочницы Sandboxie

Если в главном меню Sandboxie выбрать пункт «Песочница» — «DefaultBox» — «Настройки песочницы» (или в том же меню создать новую песочницу), вы сможете тонко настроить поведение песочницы.

Среди основных и наиболее часто требуемых параметров можно выделить:

• Восстановление — в этом разделе содержится информация о папках, для которых будет доступно восстановление файлов. Что имеется в виду? Суть в том, что, если вы запустили программу в песочнице, создали или скачали с её помощью какой-то файл, а затем закрыли программу, файлы будут удалены и в системе их не останется. Если же сохранить файлы в одну из указанных папок (их список вы можете менять) и не отключать немедленное восстановление, вам автоматически будет предложено «Восстановить файл» (восстановление можно запустить и вручную), что означает — не удалять его после закрытия программы, а оставить в системе.
• Форсированные папки и программы в разделе «Запуск программы». Программы из указанных папок или просто указанные исполняемые файлы программ всегда будут запускаться в песочнице.
• Ограничения — в этом разделе можно предоставить программам, запускаемым в песочнице доступ в Интернет, сетевым папкам и файлам и настроить другие ограничения, например, строго ограничить набор программ, которые могут запускаться в песочнице.
• Доступ к ресурсам — здесь можно задать программы, которым будет предоставлен тот или иной доступ к папкам и файлам или реестру Windows даже несмотря на их запуск в песочнице.
• Раздел «Приложения» — здесь вы можете настроить некоторые специфичные параметры для отдельных приложений: к примеру, включить доступ за пределы песочницы для браузеров (может пригодиться для сохранения куки, доступа к паролям и т.д).

Все доступные настройки Sandboxie в достаточной мере понятны и подробно пояснены на русском языке. Если какой-то параметр остается не ясным, можно провести эксперимент, настроив его и протестировав на какой-то гарантированно безопасной программе (например, на любой встроенной стандартной программе Windows наподобие блокнота).

Скачать Sandboxie можно бесплатно с официального сайта https://sandboxie-plus.com/downloads/ — все функции в программе теперь доступны без ввода лицензионного ключа. Однако, при загрузке попросят ввести не только имя и адрес почты, но также должность и организацию (данные никак не проверяются).

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• TakeOwnershipEx — получение полного доступа к папкам и файлам и восстановление прав по умолчанию
• Ошибка 0x8007000d в Windows 11 или 10 — как исправить?
• Chrome открывает поиск вместо сайта — решение
• Недопустимая конфигурация приложения в Steam — варианты решения
• Ошибка при запуске приложения 0xc0000006 — как исправить?

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

Боб 22.10.2019 в 11:05

Sandboxie и trial версии программ

Кто-то давно сам догадался, кто-то, прочтя заголовок сразу же понял мысль, а кто-то до сих пор не знает, как можно без особого труда бесконечно пользоваться ограниченными по длительности использования триал версиями программ.

Sandboxie — программа, предназначенная для изоляции других программ. Прежде всего с целью недопущения заражения компьютера вирусами и проч. Предварительно запустив программу в песочнице и заподозрив что-то неладное можно мгновенно очистить эту песочницу. Кроме того, никаких изменений на компьютере пользователя программа, запущенная в sandboxie сделать не может. Однако, это не мешает использовать уже существующие файлы пользователя, а при изменении этих файлов — просто создаётся дубликат в песочнице, который правым щелчком мыши можно «восстановить» (другими словами вынести из песочницы, чтобы файл стал доступен программам не только запущенным в Sandboxie). Т.е. как раз то что нужно для использования по 100 раз одних и тех же триал версий программ.

1. Устанавливаем sandboxie
2. Из песочницы запускаем инсталяк нужной ознакомительной версии программы
3. Пользуемся программой весь срок эксплуатации (если нужны файлы, которые создаёт программа — выносим их из песочницы путём «восстановления»)
4. По истечение ознакомительного периода создаём новую песочницу и далее начиная с пункта 2

1. Нужно чтобы до этого на компьютере программа не была установлена, а устанавливалась сразу в песочницу
2. Очищать песочницу не нужно — мало ли забыли какой-нибудь файлик восстановить. Можно просто создать новую (sandboxie поддерживает много изолированных окружений) и в ней уже заново устанавливать программу.

По-поводу законности такого алгоритма я не в курсе. Возможно, в каком-нибудь соглашении на использование какой-то программы и сказано что-то.

Приспосабливаем Sandboxie для анализа подозрительных файлов

Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

WARNING

Неправильное использование описанной методики может нанести вред системе и привести к заражению! Будь внимателен и осторожен.

«Песочница» для анализа

Люди, которые занимаются компьютерной безопасностью, хорошо знакомы с концепцией «песочницы». Если вкратце, «песочница» — эта тестовая среда, в которой выполняется некая программа. При этом работа налажена таким образом, что все действия программы отслеживаются, все изменяемые файлы и настройки сохраняются, но в реальной системе ничего не происходит. В общем, можешь запускать любые файлы в полной уверенности, что на работоспособность системы это никак не повлияет. Такие инструменты можно использовать не только для обеспечения безопасности, но и для анализа тех действий зловреда, которые он выполняет после запуска. Еще бы, ведь если есть слепок системы до начала активных действий и картина того, что произошло в «песочнице», можно легко отследить все изменения.

Конечно, в Сети есть масса готовых онлайн-сервисов, которые предлагают анализ файлов: Anubis, CAMAS, ThreatExpert, ThreatTrack. Подобные сервисы используют разные подходы и имеют свои достоинства и недостатки, но можно выделить и общие основные минусы:

• Необходимо иметь доступ к интернету. • Необходимо ждать очереди в процессе обработки (в бесплатных версиях). • Как правило, файлы, создаваемые или изменяемые в ходе выполнения, не предоставляются. • Невозможно контролировать параметры выполнения (в бесплатных версиях). • Невозможно вмешиваться в процесс запуска (например, нажимать на кнопки появляющихся окон). • Как правило, невозможно предоставлять специфические библиотеки, необходимые для запуска (в бесплатных версиях). • Как правило, анализируются только исполняемые РЕ-файлы.

Такие сервисы чаще всего строятся на основе виртуальных машин с установленным инструментарием, вплоть до отладчиков ядра. Их можно организовать и дома. Однако эти системы достаточно требовательны к ресурсам и занимают большой объем на жестком диске, а анализ логов отладчика уходит много времени. Это значит, что они весьма эффективны при глубоком исследовании определенных образцов, но вряд ли смогут оказаться полезными в рутинной работе, когда нет возможности нагружать ресурсы системы и тратить время на анализ. Использование «песочницы» для анализа позволяет обойтись без огромных затрат ресурсов.

Пара предупреждений

Сегодня мы попробуем сделать свой собственный анализатор на основе «песочницы», а именно утилиты Sandboxie. Эта программа доступна как условно-бесплатная на сайте автора www.sandboxie.com. Для нашего исследования вполне подойдет ограниченная бесплатная версия. Программа запускает приложения в изолированной среде, так что они не производят вредоносных изменений в реальной системе. Но тут есть два нюанса:

1. Sandboxie позволяет отслеживать только программы на уровне user mode. Вся деятельность вредоносного кода в режиме ядра не отслеживается. Поэтому максимум, что удастся узнать при изучении руткитов — это каким образом вредонос внедряется в систему. Проанализировать само поведение на уровне kernel mode, к сожалению, невозможно.
2. В зависимости от настроек Sandboxie может блокировать выход в Сеть, разрешать полный доступ или доступ только для отдельных программ. Понятно, что, если для нормального запуска вредоносу нужен выход в интернет, необходимо его предоставить. С другой стороны, если у тебя на флешке валяется Pinch, который запускается, собирает все пароли в системе и отправляет их на ftp злоумышленнику, то Sandboxie с открытым доступом в интернет не защитит тебя от потери конфиденциальной информации! Это очень важно, и об этом следует помнить.

Другие статьи в выпуске:

Хакер #157. Деньги на багах в Chrome

• Содержание выпуска
• Подписка на «Хакер» -60%

Первичная настройка Sandboxie

Sandboxie — великолепный инструмент с большим количеством настроек. Упомяну лишь те из них, которые необходимы для наших задач.

После установки Sandboxie автоматически создается одна «песочница». Ты можешь добавить еще несколько «песочниц» под разные задачи. Доступ к настройкам «песочницы» осуществляется через контекстное меню. Как правило, все параметры, которые можно изменять, снабжены достаточно подробным описанием на русском языке. Для нас особенно важны параметры, перечисленные в разделах «Восстановление», «Удаление» и «Ограничения». Итак:

1. Необходимо убедиться, что в разделе «Восстановление» ничего не указано.
2. В разделе «Удаление» не должны быть никаких проставлены галки и/или отмечены добавленные папки и программы. Если неправильно выставить параметры в разделах, указанных в пунктах 1 и 2, это может привести к тому, что вредоносный код заразит систему или все данные для анализа будут уничтожены.
3. В разделе «Ограничения» необходимо выбрать настройки, соответствующие твоим задачам. Практически всегда необходимо ограничивать доступ низкого уровня и использование аппаратных средств для всех выполняемых программ, чтобы не допустить заражения системы руткитами. А вот ограничивать доступ на запуск и выполнение, а также забирать права, наоборот, не стоит, иначе подозрительный код будет выполняться в нестандартной среде. Впрочем, всё, в том числе и наличие доступа к интернету, зависит от задачи.
4. Для наглядности и удобства в разделе «Поведение» рекомендуется включить опцию «Отображать границу вокруг окна» и выбрать цвет для выделения программ, выполняемых в ограниченной среде.

Подключаем плагины

В несколько кликов мы получили отличную изолированную среду для безопасного выполнения кода, но не инструмент для анализа его поведения. К счастью, автор Sandboxie предусмотрел возможность использования целого ряда плагинов для своей программы. Концепция довольно интересна. Аддоны представляют собой динамические библиотеки, внедряемые в выполняемый в «песочнице» процесс и определенным образом регистрирующие или модифицирующие его выполнение.

Нам понадобится несколько плагинов, которые перечислены ниже.

1. Buster Sandbox Analyzer.
2. SBIExtra. Этот плагин осуществляет перехват ряда функций для выполняемой в песочнице программы, чтобы блокировать следующие возможности:
   • обзор исполняемых процессов и потоков;
   • доступ к процессам вне пределов «песочницы»;
   • вызов функции BlockInput (ввод с клавиатуры и мыши);
   • считывание заголовков активных окон.
3. Antidel. Аддон перехватывает функции, отвечающие за удаление файлов. Таким образом, все временные файлы, команда на удаление которых поступает от исходного кода, все равно остаются на своих местах.

Как интегрировать их в «песочницу»? Поскольку это не предусмотрено средствами интерфейса Sandboxie, редактировать файл конфигурации придется вручную. Создаем папку Plugins и распаковываем в нее все подготовленные плагины. Теперь внимание: в состав Buster Sandbox Analyzer входит несколько библиотек с общим именем LOG_API*.dll, которые могут инжектироваться в процесс. Есть два типа библиотек: Verbose и Standard. Первый отображает практически полный список вызовов API, выполняемых программой, включая обращения к файлам и реестру, второй — сокращенный список. Сокращение позволяет ускорить работу и уменьшить журнал, который затем придется анализировать. Лично я не боюсь больших логов, зато опасаюсь того, что какая-нибудь нужная инфа будет заботливо «сокращена», поэтому выбираю Verbose. Именно эту библиотеку мы и будем инжектировать. Чтобы зловред не смог заметить инжект библиотеки по ее имени, применим простейшую меру предосторожности: сменим имя LOG_API_VERBOSE.dll на любое другое, например LAPD.dll.

Теперь в главном окне Sandboxie выбираем «Настроить -> Редактировать конфигурацию». Откроется текстовый конфиг со всеми настройками программы. Сразу обращаем внимание на следующие строки:

• Параметр FileRootPath в разделе [GlobalSettings] указывает общий путь к папке изолированной среды, то есть к папке, где будут находиться все файлы «песочницы». У меня этот параметр имеет вид FileRootPath=C:\Sandbox\%SANDBOX%, у тебя он может отличаться.
• Раздел [UserSettings_XXXXXXX] нас не интересует — его пропускаем и листаем дальше.
• Затем идет раздел, имя которого совпадает с названием «песочницы» (пусть это будет BSA). Сюда мы и будем добавлять плагины:[BSA]InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD.dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пути, конечно, могут отличаться. Но порядок инжектируемых библиотек обязательно должен быть именно таким! Это требование связано с тем, что перехват функций должен осуществляться именно в указанном порядке, иначе плагины работать не будут. Чтобы применить изменения, выбираем в главном окне Sandboxie: «Настроить -> Перезагрузить конфигурацию».

Теперь настроим сам плагин Buster Sandbox Analyzer.

1. Запускаем плагин вручную, воспользовавшись файлом bsa.exe из папки Plugins.
2. Выбираем «Options -> Analysis mode –> Manual» и далее «Options -> Program Options -> Windows Shell Integration -> Add right-click action «Run BSA»».

Теперь всё готово для работы: наша «песочница» интегрирована в систему.

Portable-версия «песочницы»

Безусловно, многим не понравится, что надо что-то устанавливать, настраивать и т. д. Так как меня всё это тоже не прельщает, я сделал портабельную версию инструмента, который можно запускать без установки и настройки, прямо с флешки. Скачать такую версию можно здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip. Для запуска «песочницы» достаточно выполнить скрипт start.cmd, а по окончании работы не забыть выполнить скрипт stop.cmd, который полностью выгрузит драйвер и все компоненты из памяти, а также сохранит внесенные в ходе работы изменения в портабеле.

Настроек у самого портабелизатора совсем не много: его работа в основном основана на манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates. По сути, этот файл представляет собой файл настроек Sandboxie, который должным образом обрабатывается и передается программе, а по окончании работы перезаписывается обратно в Templates. Если открыть этот файл «Блокнотом», то ты вряд ли найдешь что-то интересное. Нужно обязательно обратить внимание на шаблон $(InstallDrive), повторяющийся в ряде параметров пути. Особенно нас интересует параметр FileRootPath. Если он имеет следующий вид:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX% 

— то «песочницы» будут создаваться на диске, где находится портабельная Sandboxie. Если же параметр имеет, например, такой вид:

FileRootPath=C:\Sandbox\%SANDBOX% 

— иначе говоря в нем указан определенный системный диск, то «песочницы» будут создаваться на этом диске.

Лично я рекомендую всегда создавать песочницы на локальных дисках. Это ускоряет работу инструмента, а при запуске с флешки — ускоряет на порядки. Если же тебя настолько замучила паранойя, что хочется всё запускать и анализировать на любимом носителе, который ты носишь у сердца, то параметр можно поменять, но тогда хотя бы используй портабельные жесткие диски, чтобы всё безбожно не тормозило.

Практическое применение

Попробуем наш инструмент на реальной угрозе. Чтобы никто не упрекнул меня в подтасовке, я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее, что там появилось на момент написания статьи. Это оказался премилый файл pp.exe с какого-то зараженного сайта. Одно только название внушает большие надежды, кроме того, на этот файл сразу заорал мой антивирус. К слову, все наши манипуляции лучше производить при отключенном антивирусе, иначе мы рискуем заблокировать/удалить что-нибудь из того, что исследуем. Как изучить поведения бинарника? Просто нажимаем правой кнопкой на этот файл и выбираем в выпавшем меню пункт Run BSA. Откроется окно Buster Sandbox Analyzer. Внимательно смотрим в строку Sandbox folder to check. Все параметры должны совпадать с теми, которые мы указали при настройке Sandboxie, то есть если песочница получила название BSA, а в качестве пути к папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то вс,ёе должно быть как на скриншоте. Если же ты знаешь толк в извращениях и назвал песочницу по-другому или настроил параметр FileRootPath на другой диск или папку, его нужно изменить соответствующим образом. В противном случае Buster Sandbox Analyzer не будет знать, где искать новые файлы и изменения в реестре.

BSA включает в себя массу настроек по анализу и изучению процесса выполнения бинарника, вплоть до перехвата сетевых пакетов. Смело нажимай кнопку Start Analysis. Окно перейдет в режим анализа. Если песочница, выбранная для анализа, по каким-то причинам содержит результаты предыдущего исследования, утилита предложит предварительно ее очистить. Все готово к запуску исследуемого файла.

Готов? Тогда нажми на изучаемый файл правой кнопкой мыши и в открывшемся меню выбери «Запустить в песочнице», после чего укажи ту «песочницу», к которой мы прикрутили BSA.

Сразу после этого в окне анализатора побегут API-вызовы, которые будут фиксироваться в лог-файлах. Обрати внимание, что сам Buster Sandbox Analyzer не знает, когда завершится анализ процесса, фактически сигналом к окончанию служит именно твое жмакание на кнопку Finish Analysis. Как же узнать, что время уже наступило? Тут может быть два варианта.

1. В окне Sandboxie не отображается ни один выполняемый процесс. Это означает, что выполнение программы явно завершилось.
2. В списке API-вызовов долгое время не появляется ничего нового или, наоборот, одно и то же выводится в циклической последовательности. При этом в окне Sandboxie что-то еще выполняется. Такое бывает, если программа настроена на резидентное выполнение или попросту зависла. В этом случае ее необходимо вначале завершить вручную, нажав правой кнопкой в окне Sandboxie на соответствующую «песочницу» и выбрав «Завершить программы». Кстати, при анализе моего pp.exe произошла именно такая ситуация.

После этого можно смело выбирать Finish Analysis в окне Buster Sandbox Analyzer.

Анализ поведения

Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:\Documents and Settings\Администратор\Application Data\dplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу http://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user — файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com 

Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg 

Что умеет и не умеет инструмент

Полученный инструмент умеет:

• Отслеживать API-вызовы запущенного приложения.
• Отслеживать новые создаваемые файлы и параметры реестра.
• Перехватывать сетевой трафик при выполнении приложения.
• Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
• Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.

Этот инструмент не может:

• Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
• Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

Таким образом, ты получишь sandbox.reg, в котором указаны строки, внесенные зловредом в ходе выполнения. После выполнения анализа выбери в меню Options пункт Cancel analysis, чтобы вернуть всё как было. Учти, что после этой операции все журналы анализа будут удалены, но содержимое «песочницы» останется на месте. Впрочем, при следующем запуске программа сама предложит все удалить.