niedziela, 7 lipca 2013

Konfiguracja Sandboxie i Buster Sandbox Analyzer do wspólnego działania



Po zainstalowaniu Sandboxie (ostatnia oficjalna preferowana wersja to 3.70 dostępna TUTAJ ) i ściągnięciu paczki z Buster Sandbox Analyzer musimy przygotować te dwa programy do wspólnego działania. Konfiguracja jest prosta i obejmuje kilka kroków.

 Krok 1 - konfiguracja Sandboxie

Tworzymy nową piaskownicę która będzie nam służyła do przeprowadzania testów z użyciem BSA:

Pokaż okno -> Piaskownica-> Utwórz nową piaskownicę.

Nowa piaskownica, nazwa robocza BSA.
Edytujemy konfigurację piaskownicy:

Pokaż okno-> Konfiguracja-> Edytuj konfigurację.

Szukamy wiersza z nazwą naszej pisakownicy utworzonej na potrzeby działań z BSA:

Edytujemy konfigurację piaskownicy BSA.
Do konfiguracji dodajemy następujące wiersze:

InjectDll=C:\BSA\LOG_API\LOG_API32.DLL

OpenWinClass=TFormBSA

NotifyDirectDiskAccess=y

Dodane wiersze.
 W kolejnym kroku dodajemy następne wiersze do konfiguracji piaskownicy:

ProcessLimit1=20
ProcessLimit2=30

Kolejny wiersze przygotowujące piaskownicę do działania z BSA.
 Ostatnim wierszem jaki musimy dodać jest:

SbieCtrl_HideMessage=*

Dodajemy go jednak w sekcji UserSettings:

Edycja sekcji UserSettings.
   Po tych czynnościach zapisujemy konfigurację (Plik->Zapisz) i potwierdzamy komunikaty:

Komunikat o zmianie konfiguracji.

Komunikat informujący o potrzebie przeładowania ustawień.

 Następnie przeładowujemy konfigurację:

Konfiguracja-> Przeładuj konfigurację.


W dalszej części zmieniamy opcję piaskownicy BSA:

Piaskownica-> BSA-> Ustawienia piaskownicy.

1. Wygląd - odznaczamy wyświetlaj ramkę wokół okna.
2. Przywróć-> Szybkie przywracanie -  z listy usuwamy wszystkie foldery.
2a. Przywróć -> Natychmiastowe przywracanie - wyłączamy natychmiastowe przywracanie.
4. Migracja plików - nie kopiuj plików większych niż- ustawiamy na 100MB (102400kilobajtów). 
4a. Zaznaczamy opcję - nie generuj wiadomości gdy plik jest zbyt duży do skopiowania.

 Klikamy OK i zatwierdzamy komunikat. 
Krok 2 - Instalowanie WinPCap.

Pobieramy i instalujemy bibliotekę WinPCap pozwalającą na działanie analizatora sieci, poprzez sterownik do przechwytywania i transmitowania pakietów, który jest zawarty w pakiecie.


Krok 3 - Konfiguracja Buster Sandbox Analyzer.

Pobraną paczkę z programem wypakowujemy do następującej lokalizacji:

C:\BSA 

Uruchamiamy program klikając na plik BSA.exe.

Konfigurujemy program:
1. Options-> Program options-> Save settings on exit.
2. Ustawiamy folder piaskownicy który będzie monitorował BSA, tym celu:
-uruchamiamy notatnik w piaskownicy BSA:

Uruchamianie notatnika w piaskownicy BSA.
 Po uruchomieniu  klikamy na ikonkę w zasobniku systemowym-> BSA-> Eksploruj zawartość.
Potwierdzamy komunikat i z otworzonego eksploratora kopiujemy ścieżkę do folderu, a następnie wklejamy ją do BSA:

Ścieżka potrzebna do konfiguracji BSA.
Skopiowaną ścieżkę wklejamy do okienka folder do sprawdzania, w BSA.

3. Ukrywamy procesy Sandboxie, opcja przydatna przy analizowaniu złośliwego oprogramowania które może wykryć że działa pod kontrolą analizatora.

Options-> Program Options-> Hide Sandboxie.

Gotowe! 

Teraz możemy przystąpić do analizowania danego programu:

1. Uruchamiamy BSA i klikamy Start Analysys.
2. Analizowany program uruchamiamy w piaskownicy BSA.
3. Po skończonej analizie (np. program się zainstalował) kończymy wszystkie programy w piaskownicy (nie usuwamy zawartości!) - BSA-> Zakończ programy.
4. W BSA klikamy na Finish Analysys i viewer-> view raport.
5. Mamy gotowy raport z wszystkich czynności jakie wykonała aplikacja podczas analizy. 

Brak komentarzy:

Prześlij komentarz