Po zainstalowaniu Sandboxie (ostatnia oficjalna preferowana wersja to 3.70 dostępna TUTAJ ) i ściągnięciu paczki z Buster Sandbox Analyzer musimy przygotować te dwa programy do wspólnego działania. Konfiguracja jest prosta i obejmuje kilka kroków.
Krok 1 - konfiguracja Sandboxie
Tworzymy nową piaskownicę która będzie nam służyła do przeprowadzania testów z użyciem BSA:
Pokaż okno -> Piaskownica-> Utwórz nową piaskownicę.
 |
| Nowa piaskownica, nazwa robocza BSA. |
Pokaż okno-> Konfiguracja-> Edytuj konfigurację.
Szukamy wiersza z nazwą naszej pisakownicy utworzonej na potrzeby działań z BSA:
 | |
| Edytujemy konfigurację piaskownicy BSA. |
InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
 | |
| Dodane wiersze. |
W kolejnym kroku dodajemy następne wiersze do konfiguracji piaskownicy:
ProcessLimit1=20
ProcessLimit2=30
 | |
| Kolejny wiersze przygotowujące piaskownicę do działania z BSA. |
Ostatnim wierszem jaki musimy dodać jest:
SbieCtrl_HideMessage=*
Dodajemy go jednak w sekcji UserSettings:
 |
| Edycja sekcji UserSettings. |
Po tych czynnościach zapisujemy konfigurację (Plik->Zapisz) i potwierdzamy komunikaty:
 | ||
| Komunikat o zmianie konfiguracji. |
 |
| Komunikat informujący o potrzebie przeładowania ustawień. |
Następnie przeładowujemy konfigurację:
Konfiguracja-> Przeładuj konfigurację.
W dalszej części zmieniamy opcję piaskownicy BSA:
Piaskownica-> BSA-> Ustawienia piaskownicy.
1. Wygląd - odznaczamy wyświetlaj ramkę wokół okna.
2. Przywróć-> Szybkie przywracanie - z listy usuwamy wszystkie foldery.
2a. Przywróć -> Natychmiastowe przywracanie - wyłączamy natychmiastowe przywracanie.
4. Migracja plików - nie kopiuj plików większych niż- ustawiamy na 100MB (102400kilobajtów).
4a. Zaznaczamy opcję - nie generuj wiadomości gdy plik jest zbyt duży do skopiowania.
Klikamy OK i zatwierdzamy komunikat.
Krok 2 - Instalowanie WinPCap.
Pobieramy i instalujemy bibliotekę WinPCap pozwalającą na działanie analizatora sieci, poprzez sterownik do przechwytywania i transmitowania pakietów, który jest zawarty w pakiecie.
Krok 3 - Konfiguracja Buster Sandbox Analyzer.
Pobraną paczkę z programem wypakowujemy do następującej lokalizacji:
C:\BSA
Uruchamiamy program klikając na plik BSA.exe.
Konfigurujemy program:
1. Options-> Program options-> Save settings on exit.
2. Ustawiamy folder piaskownicy który będzie monitorował BSA, tym celu:
-uruchamiamy notatnik w piaskownicy BSA:
 |
| Uruchamianie notatnika w piaskownicy BSA. |
Po uruchomieniu klikamy na ikonkę w zasobniku systemowym-> BSA-> Eksploruj zawartość.
Potwierdzamy komunikat i z otworzonego eksploratora kopiujemy ścieżkę do folderu, a następnie wklejamy ją do BSA:
 | |
| Ścieżka potrzebna do konfiguracji BSA. |
 | |
| Skopiowaną ścieżkę wklejamy do okienka folder do sprawdzania, w BSA. |
3. Ukrywamy procesy Sandboxie, opcja przydatna przy analizowaniu złośliwego oprogramowania które może wykryć że działa pod kontrolą analizatora.
Options-> Program
Options-> Hide Sandboxie.
Gotowe!
Teraz możemy przystąpić do analizowania danego programu:
1. Uruchamiamy BSA i klikamy Start Analysys.
2. Analizowany program uruchamiamy w piaskownicy BSA.
3. Po skończonej analizie (np. program się zainstalował) kończymy wszystkie programy w piaskownicy (nie usuwamy zawartości!) - BSA-> Zakończ programy.
4. W BSA klikamy na Finish Analysys i viewer-> view raport.
5. Mamy gotowy raport z wszystkich czynności jakie wykonała aplikacja podczas analizy.
Gotowe!
Teraz możemy przystąpić do analizowania danego programu:
1. Uruchamiamy BSA i klikamy Start Analysys.
2. Analizowany program uruchamiamy w piaskownicy BSA.
3. Po skończonej analizie (np. program się zainstalował) kończymy wszystkie programy w piaskownicy (nie usuwamy zawartości!) - BSA-> Zakończ programy.
4. W BSA klikamy na Finish Analysys i viewer-> view raport.
5. Mamy gotowy raport z wszystkich czynności jakie wykonała aplikacja podczas analizy.
Brak komentarzy:
Prześlij komentarz