Решение о том, заражен ли файл или безопасен для Результат проверки VirusTotal может быть неприятно, когда половина антивируса показывает, что он заражен, а другая половина показывает, что он чист.
Вы можете попробовать проанализировать наполовину обнаруженный файл с помощью онлайн-сервиса песочницы, такого как ThreatExpert но отчет показывает поведение программы только при ее запуске и не говорит вам, что она делает, когда включена опция или когда нажата кнопка в программе.
Это когда программное обеспечение песочницы, такое как Песочница вступает в игру, позволяя вам запускать любые программы на вашем компьютере, независимо от того, безопасны они или заражены, и все же любые изменения не повлияют на ваш компьютер.
Хотя Sandboxie в основном используется для обеспечения безопасности вашего компьютера путем запуска программ в изолированном пространстве, его также можно использовать для анализа поведения программы.
Вот 2 способа исследовать изменения, внесенные в вашу компьютерную систему программами, запущенными внутри Sandboxie.Автоматический анализ с использованием Buster Sandbox Analyzer
Buster Sandbox Analyzer (BSA) — это бесплатный инструмент, который можно использовать для наблюдения за действиями любого процесса, запущенного внутри Sandboxie. Хотя BSA является переносимым программным обеспечением, оно не работает прямо из коробки и требует руководства. одноразовая конфигурация для загрузки DLL-файла BSA, добавив 3 строки в INI-файл конфигурации Sandboxie.
Обратите внимание, что если вы собираетесь следовать точной инструкции по установке с официального сайта, вы должны извлечь папку Buster Sandbox Analyzer в корень вашего диска C: \. Как только это будет сделано, запустите исполняемый файл BSA.EXE из папки C:\bsa, и вам нужно будет ввести путь к папке песочницы, чтобы проверить, где находится папка песочницы Sandboxie. Чтобы получить местоположение, откройте Sandboxie Control, дважды щелкнув значок желтого воздушного змея в области уведомлений, перетащите любую программу и поместите ее в Sandbox DefaultBox. Теперь щелкните правой кнопкой мыши Sandbox DefaultBox в окне управления и выберите «Исследовать содержимое».
Откроется окно проводника с путем к песочнице, который вы можете скопировать и вставить в «Папку песочницы для проверки». Нажмите кнопку «Начать анализ» в Buster Sandbox Analyzer, и теперь вы можете запустить программу, которую хотите проанализировать, в Sandboxie. Когда программа запускается в Sandboxie, вы увидите, что окно журнала вызовов API в BSA заполняется информацией.
Когда вы закончите тестирование программы и захотите проанализировать ее поведение, вам сначала понадобится чтобы завершить процесс из Sandboxie Control, щелкнув правой кнопкой мыши и выбрав «Завершить Программы». Вернитесь в Buster Sandbox Analyzer и нажмите кнопку «Завершить анализ». Нажмите Viewer в строке меню и выберите View Analysis. Откроется текстовый файл анализа, показывающий вам подробный отчет о действиях программы, которую вы запускали в Sandboxie.
На приведенном ниже снимке экрана показан пример действий, созданных DarkComet RAT. Он проверяет наличие отладчиков, наличие программного обеспечения диспетчера задач, создание автозапуска в реестре, регистрация нажатий клавиш, повышение привилегий, отключение regedit и диспетчера задач и подключается к удаленным хостам с номером порта.
Дополнительные замечания: некоторые вредоносные программы имеют функцию защиты от отладки, при которой они автоматически завершают свою работу при запуске. инструменты отладки или виртуальные машины, чтобы предотвратить анализ или обмануть менее опытных пользователей, заставив их думать, что файл в безопасности. Buster Sandbox Analyzer, безусловно, опережает игру, потому что он обновляется не реже одного раза в месяц, чтобы предотвратить распознавание вредоносным ПО в качестве отладчика.
Скачать анализатор песочницы Buster
Ручной анализ
Ручной анализ поведения программы из Sandboxie возможен без использования каких-либо сторонних инструментов, но вы не получите подробного анализа по сравнению с использованием Buster Sandbox Analyzer. Вы можете легко узнать, запрограммировано ли изолированное приложение на удаление каких-либо дополнительных файлов на жесткий диск. и добавил любые значения автозапуска в реестр, что является достаточным доказательством, чтобы определить, что программа злонамеренный.
Чтобы просмотреть изменения в файле, щелкните правой кнопкой мыши DefaultBox в окне управления Sandboxie и выберите «Исследовать содержимое» или, в качестве альтернативы, перейдите напрямую в C:\Sandbox\[Имя пользователя]\DefaultBox\. Если вы видите какую-либо папку, такую как «диск» или «пользователь», это означает, что изолированное приложение создало некоторые файлы на жестком диске. Продолжайте обращаться к папкам, пока не увидите несколько файлов. Ниже приведен пример подозрительного поведения, когда изолированное приложение, запущенное с рабочего стола, создает еще одну свою копию в папке данных приложения текущего пользователя.
Что касается анализа изменений реестра, вам придется сначала завершить программу из Sandboxie Control. Нажмите WIN+R, чтобы открыть окно «Выполнить», введите regedit и нажмите ОК. Разверните папку реестра HKEY_USERS, дважды щелкнув ее, нажмите «Файл» в строке меню и выберите Загрузить улей. Перейдите к C:\Sandbox\[UserName]\DefaultBox\ и откройте RegHive без расширения файла. Введите что-нибудь, например, sandboxie в качестве имени ключа для легкой идентификации, и нажмите OK.
Другая папка реестра с именем, которое вы ранее установили для имени ключа, будет добавлена в конец HKEY_USERS. Теперь вы можете развернуть папку реестра, чтобы проанализировать добавляемые или изменяемые значения.
Как видно из приведенного выше примера снимка экрана, изолированное приложение в Sandboxie также добавило автоматический запуск. значение для текущего пользователя в реестре для запуска файла, который был перенесен в папку Application Data, когда пользователь входит в систему в. Пользователь компьютера с опытом и знаниями сможет оценить, что поведение изолированного приложения, скорее всего, является вредоносным, и вы можете получить подтверждение своих выводов, отправка файла антивирусному аналитику с помощью X-Ray.
Не разглашайте мою личную информацию.