파일이 감염되었는지 또는 안전한지 결정 VirusTotal 검사 결과 바이러스 백신의 절반은 감염된 것으로 표시되고 나머지 절반은 깨끗한 것으로 표시되면 실망할 수 있습니다.
다음과 같은 온라인 샌드박스 서비스를 사용하여 반 탐지된 파일 분석을 시도할 수 있습니다. 위협 전문가 그러나 보고서는 프로그램이 시작될 때만 프로그램의 동작을 보여주고 옵션이 활성화되거나 프로그램의 버튼을 클릭할 때 무엇을 하는지 알려주지 않습니다.
이것은 다음과 같은 샌드박스 소프트웨어가 샌드박시 프로그램이 안전한지 감염되었는지 여부에 관계없이 컴퓨터에서 모든 프로그램을 실행할 수 있도록 허용함으로써 실행되지만 변경 사항은 여전히 컴퓨터에 영향을 미치지 않습니다.
Sandboxie는 주로 격리된 공간에서 프로그램을 실행하여 컴퓨터를 안전하게 보호하는 데 사용되지만 프로그램의 동작을 분석하는 데에도 사용할 수 있습니다.
다음은 Sandboxie 내부에서 실행되는 프로그램에 의해 컴퓨터 시스템에 적용된 변경 사항을 조사하는 두 가지 방법입니다.Buster Sandbox Analyzer를 이용한 자동 분석
BSA(Buster Sandbox Analyzer)는 Sandboxie 내에서 실행되는 모든 프로세스의 작업을 감시하는 데 사용할 수 있는 무료 도구입니다. BSA는 휴대용 소프트웨어이지만 상자에서 꺼내자마자 바로 작동하지 않으며 설명서가 필요합니다. 일회성 구성 Sandboxie의 INI 구성 파일에 3줄을 추가하여 BSA DLL 파일을 로드합니다.
공식 웹사이트의 정확한 설치 지침을 따르려면 Buster Sandbox Analyzer 폴더를 C:\ 드라이브의 루트에 추출해야 합니다. 완료되면 C:\bsa 폴더에서 BSA.EXE 실행 파일을 실행하고 샌드박스 폴더의 경로를 입력하여 Sandboxie의 샌드박스 폴더 위치를 확인해야 합니다. 위치를 얻으려면 알림 영역에서 노란색 연 트레이 아이콘을 두 번 클릭하여 Sandboxie Control을 열고 프로그램을 끌어서 Sandbox DefaultBox에 놓습니다. 이제 Control 창에서 Sandbox DefaultBox를 마우스 오른쪽 버튼으로 클릭하고 "Explore Contents"를 선택합니다.
탐색기 창이 열리면서 샌드박스 경로를 복사하여 "확인할 샌드박스 폴더"에 붙여넣을 수 있습니다. Buster Sandbox Analyzer에서 분석 시작 버튼을 클릭하면 이제 Sandboxie에서 분석하려는 프로그램을 실행할 수 있습니다. Sandboxie에서 프로그램을 실행하면 BSA의 API 호출 로그 창이 정보로 채워지는 것을 볼 수 있습니다.
프로그램 테스트를 마치고 프로그램의 동작을 분석하려면 먼저 다음이 필요합니다. 마우스 오른쪽 버튼을 클릭하고 "종료"를 선택하여 Sandboxie Control에서 프로세스를 종료하려면 프로그램들". Buster Sandbox Analyzer로 돌아가서 Finish Analysis 버튼을 클릭합니다. 메뉴 모음에서 뷰어를 클릭하고 분석 보기를 선택합니다. Sandboxie에서 실행한 프로그램의 작업에 대한 자세한 보고서를 보여주는 분석 텍스트 파일이 열립니다.
아래 스크린샷은 DarkComet RAT에서 생성한 작업의 예입니다. 디버거, 작업 관리자 소프트웨어 존재 여부, 레지스트리에서 자동 시작 생성, 로깅 키 입력, 권한 상승, regedit 및 작업 관리자 비활성화 포트 번호로 원격 호스트에 연결합니다.
추가 참고 사항: 일부 맬웨어는 안티 디버거 기능을 가지고 있어 실행 중일 때 자동으로 종료됩니다. 디버깅 도구 또는 가상 머신을 사용하여 분석을 방지하거나 경험이 적은 사용자를 속여 파일은 안전합니다. Buster Sandbox Analyzer는 맬웨어가 디버거로 인식하지 못하도록 최소 한 달에 한 번 업데이트되기 때문에 확실히 게임에서 앞서 있습니다.
버스터 샌드박스 분석기 다운로드
수동 분석
타사 도구를 사용하지 않고도 Sandboxie에서 프로그램의 동작을 수동으로 분석할 수 있지만 Buster Sandbox Analyzer를 사용하는 것과 비교할 때 자세한 분석을 얻을 수는 없습니다. 샌드박스 애플리케이션이 추가 파일을 하드 드라이브에 드롭하도록 프로그래밍되었는지 쉽게 확인할 수 있습니다. 프로그램이 실행 중인지 확인하기에 충분한 증거인 자동 시작 값을 레지스트리에 추가했습니다. 악의 있는.
파일 변경 사항을 보려면 Sandboxie Control 창에서 DefaultBox를 마우스 오른쪽 버튼으로 클릭하고 "Explore Contents"를 선택하거나 또는 직접 C:\Sandbox\[사용자 이름]\DefaultBox\로 이동합니다. "드라이브" 또는 "사용자"와 같은 폴더가 표시되면 샌드박스 응용 프로그램이 하드 드라이브에 일부 파일을 생성했음을 의미합니다. 일부 파일이 표시될 때까지 폴더에 계속 액세스합니다. 다음은 데스크톱에서 실행된 샌드박스 애플리케이션이 현재 사용자의 애플리케이션 데이터 폴더에 자신의 또 다른 복사본을 생성하는 의심스러운 동작의 예입니다.
레지스트리 변경 사항을 분석하려면 먼저 Sandboxie Control에서 프로그램을 종료해야 합니다. WIN+R을 눌러 실행 창을 열고 다음을 입력합니다. 등록 확인을 클릭합니다. HKEY_USERS 레지스트리 폴더를 두 번 클릭하여 확장하고 메뉴 표시줄에서 파일을 클릭한 다음 하이브 로드. C:\Sandbox\[사용자 이름]\DefaultBox\로 이동하여 엽니다. RegHive 파일 확장자 없이. 쉽게 식별할 수 있도록 키 이름에 sandboxie와 같은 것을 입력하고 확인을 클릭합니다.
이전에 키 이름으로 설정한 이름을 가진 다른 레지스트리 폴더가 HKEY_USERS 끝에 추가됩니다. 이제 레지스트리 폴더를 확장하여 추가되거나 변경되는 값을 분석할 수 있습니다.
위의 샘플 스크린샷에서 볼 수 있듯이 Sandboxie의 샌드박스 애플리케이션에는 자동 시작 기능도 추가되었습니다. 사용자가 로그인할 때 Application Data 폴더에 드롭된 파일을 실행하기 위해 레지스트리의 현재 사용자에 대한 값 안에. 경험과 지식이 있는 컴퓨터 사용자는 샌드박스 응용 프로그램의 동작이 악의적일 가능성이 가장 높다는 것을 평가할 수 있으며 다음을 통해 결과를 확인할 수 있습니다. X-Ray를 사용하여 바이러스 백신 분석가에게 파일 보내기.
내 개인 정보를 공유하지 마십시오.