▐BSA▌ : لمنع تخطي الساندبوكسي و تحويله الى محلل سلوك

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة qysr, بتاريخ ‏ديسمبر 15, 2014.

حالة الموضوع:
مغلق
  1. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات المتلقاة:
    14,156
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    [​IMG]
    [​IMG]


    الكثير منا يستخدم الساندبوكسي على جهازه لتشغيل الملفات المشبوهه في بيئه آمنه ... لعدم استخدام الجهاز الوهمي او لتجنب اعادة تشغيل الجهاز في حالة برامج التجميد ..
    و اليوم سنتطرق الى شرح اضافه اذا استخدمناها مع الساندبوكسي ستحوله الى محلل سلوك قوي

    [​IMG]

    :: مميزات الاداه ::

    1- محموله لا ترتبط بالساندبوكسي و لا تؤثر عليه ( للاستخدام عند الطلب )
    2- منع تخطي الساندبوكسي في حال وجود هذه الخاصيه في المالوير .. فبعض ملفات المالوير ما ان نقوم بتشغيلها بداخل الساندبوكسي حتى توقف نفسها عن العمل لكي لا تنكشف طبيعة عملها


    [​IMG]

    :: المتطلبات ::

    1- تثبيت برنامج Sandboxie .. شرح البرنامج هنا
    2- تثبيت هذه الاداه الصغيره WinPcap
    3- و اخيرا تحميل اداة BSA


    [​IMG]

    :: شرح استخدام الاداه ::

    الاعدادات ستبدو كأنها طويله او معقده لكننا سنقوم بها لمره واحده فقط عند الاستخدام الاول للأداه
    و يجب القيام بالخطوات الآتيه بدقه لضمان عمل الاداه ..

    اولا نفتح نافذة الساندبوكسي .. دبل كليك على ايقونته جوار الساعته
    [​IMG]

    ثم من قائمة configure نختار edit
    [​IMG]


    سيفتح لنا ملف تكست ... نضع مؤشر الماوس في نهاية السطر مكان السهم .. ثم نضغط انتر لاضافة سطر جديد
    [​IMG]


    ثم اذا كان النظام 32 بت ننسخ هذه الاسطر الخمسه بلا اي زياده او نقصان و نلصقها بالضبط في السطر الجديد :

    كود:
    InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
    OpenWinClass=TFormBSA
    NotifyDirectDiskAccess=y
    ProcessLimit1=20
    ProcessLimit2=30
    اما اذا كان النظام 64 بت يجب اضافة سطر اضافي و يكون عدد الاسطر سته .. لتعمل الاداه بصوره صحيحه :

    كود:
    InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
    InjectDll64=C:\BSA\LOG_API\LOG_API64.DLL
    OpenWinClass=TFormBSA
    NotifyDirectDiskAccess=y
    ProcessLimit1=20
    ProcessLimit2=30
    [​IMG]


    بعدها في نهاية التكست بالضبط نضيف هذا السطر بنفس الطريقه :

    كود:
    SbieCtrl_HideMessage=*
    [​IMG]


    ثم نضغط حفظ
    [​IMG]


    ثم من قائمة configure نضغط على reload
    [​IMG]


    موافق على رسالة التنبيه
    [​IMG]

    انتهينا هكذا من اعداد الساندبوكسي , و حان دور الاداه ... :wink:


    [​IMG]


    نفك الضغط عن ملف الاداه الى مجلد و سيكون باسم bsa

    [​IMG]


    و لابد على حسب الاعدادات السابق ذكرها من نقل المجلد الناتج الى بارتيشن النظام تحديدا >>( C )

    [​IMG]


    لتسهيل فتح الاداه سنفتح المجلد و ننشئ اختصار على سطح المكتب لملف تشغيل الاداه
    او بامكاننا تشغيلها من مكانها طبعا اذا لم نرغب في عمل الاختصار ..
    [​IMG]


    الآن سنقوم بتشغيل الاداه ... و هنا في مكان السهم يجب اضافة مسار مجلد الساندبوكسي الذي ستعتمده الاداه ..
    هذه الخطوه سنقوم بها مره واحده فقط و بعدها ستتذكر الاداه هذا المسار
    [​IMG]


    لنعرف المسار المطلوب .. سنقوم اولا بفتح اي ملف بواسطة الساندبوكسي .. اي ملف عندنا لا فرق
    و هذا لنصل الى مسار المجلد في الخطوه التاليه
    [​IMG]


    بعد فتح الملف نعمل كليك يمين على ايقونة الساندبوكسي ثم نضغط على explore contents
    [​IMG]



    نضغط موافق
    [​IMG]


    فتح لنا المجلد .. و نعمل كليك على المسار و ننسخه ..
    [​IMG]


    نرجع للاداه و نلصق المسار ... و بهذا تكون الاداه قد اصبحت جاهزه تماما ..
    [​IMG]


    انتهينا ..... و كل الخطوات السابق ذكرها سنحتاج للقيام بها في المره الاولى فقط :wink:


    [​IMG]


    الآن حان وقت استخدام الاداه في التحليل ..

    نضغط على start
    [​IMG]



    اذا كان بمجلد الساندبوكسي اي محتويات سابقه ستنبهنا الاداه بهذا التنبيه و سنضغط على delete لتفريغ المجلد
    [​IMG]


    الاداه بانتظار تشغيل المالوير .. :sneaky:
    [​IMG]


    نشغل المالوير الذي نريد تحليله بداخل الساندبوكسي بالطريقه العاديه
    [​IMG]


    ستبدأ الاداه مباشرة في رصد تحركات الملف
    [​IMG]


    ننتظر فتره زمنيه معقوله و لا نستعجل لنمكن الملف من اداء عمله كاملا ... و يمكننا ملاحظة توقف ظهور اسطر جديده كمؤشر على اكتمال تشغيل الملف
    [​IMG]



    بعد تأكدنا ان الملف اشتغل كما ينبغي ..
    الآن يجب ان نقوم بقتل جميع العمليات التي تعمل بداخل الساندبوكسي لتتمكن الاداه من التحليل

    نعمل كليك يمين و نضغط terminate
    [​IMG]


    نضغط موافق
    [​IMG]

    تم انهاء جميع العمليات ..

    و عندها سنضغط finish
    [​IMG]


    ننتظر لحظات حتى تنتهي من عملية التحليل و ظهور كلمة ready مكان السهم
    [​IMG]


    اكتمل التحليل , و لنفتح التقرير ..
    من قائمة viewer نضغط view
    [​IMG]


    سيفتح تقرير التحليل على هيئة ملف تكست كما هو موضح في الصوره
    [​IMG]

    و سنجد تفاصيل عديده سنأخذ منها الاهم هنا :
    1- العمليه التي تم انشاؤها
    2- مكان الاوتوستارت ... او العمل مع بدء تشغيل الجهاز
    3- رصد سلوك الكيلوغر
    4- و اخيرا جلب لنا الـنو آي بي :grin:

    ملاحظه اخيره : لا تستطيع جميع الملفات العمل بشكل صحيح بداخل الساندبوكسي بسبب طريقة عمل البرنامج ... و في هذه الحاله سنجد التحليل ناقصا او لن نتمكن من التحليل .. لكن الطريقه سهله و مفيده مع اغلب الملفات ..

    [​IMG]

    ارجو ان اكون قد وفقت في توضيح هذه الاداه و ان يكون في الموضوع فائده و لو بسيطه
    و آخر دعوانا ان الحمد لله رب العالمين .

    [​IMG]
     
    آخر تعديل بواسطة المشرف: ‏يناير 1, 2015
    qysr,
    السويسى ،MagicianMiDo32 ،Ramy Fayed و 22آخرون معجبون بهذا.
  2. Mr.AzOz

    Mr.AzOz زيزوومي ماسي

    إنضم إلينا في:
    ‏يناير 28, 2010
    المشاركات:
    5,919
    الإعجابات المتلقاة:
    2,154
    نقاط الجائزة:
    1,120
    الإقامة:
    بعيد عنكـ
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    بارك الله فيك اخي ياسر ..
    ودي اجرب الطريقه بس ماراح اخلص الا اليوم الثاني :grin: !
     
  3. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات المتلقاة:
    14,156
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    هههههه :grin::grin:
    الخطوات ليست بتلك الصعوبه و كما ذكرت يتم تطبيقها لمره واحده فحسب ,, بعدها لا نحتاج سوى تشغيل الاداه و الملف المراد تحليله و يتم التحليل مباشرة ..
     
    qysr,
  4. VVIP

    VVIP زيزوومي متألق

    إنضم إلينا في:
    ‏ديسمبر 6, 2008
    المشاركات:
    205
    الإعجابات المتلقاة:
    1,367
    نقاط الجائزة:
    450
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1

    بارك الله فيك وبمجهودك ياطيب [​IMG]

    وراح يتم التجربه إن شاء الله بسيرفر يتخطى الـ Sandboxie

    ويتخطى بمعنى يبقى الباتش في حالة سكون لكي لايتم كشفه حتى يتم إغلاق البرنامج بالكامل وبعدها يثبت نفسه آليا ويخترق الجهاز !

    ProcessWaitClose("Sandboxie.exe")​

    winwaitclose ("Sandboxie.exe")


    if stringinstr($ss,"Sandboxie.exe") then
    winwaitclose($var[$i][0]); ;​
     
    VVIP,
  5. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات المتلقاة:
    14,156
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    بانتظار تجربتك ..
    و المعذره .. اذا كنت ستقوم بالتجربه على نظام 64 بت ,,, توجد خطوه مهمه نسيت ذكرها لانني قمت بالشرح على ويندوز 32 و لا لن تعمل الاداه
    تم اضافتها للموضوع حاليا
     
    qysr,
  6. صدى الصمت

    صدى الصمت زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 23, 2013
    المشاركات:
    1,009
    الإعجابات المتلقاة:
    1,651
    نقاط الجائزة:
    895
    الإقامة:
    شمال المملكة المغربية
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    بارك الله فيك اخي الكريم على الطرح القيم والشرح الوافي
    جزاكم الله خيرا واحسن اليكم​
     
  7. VVIP

    VVIP زيزوومي متألق

    إنضم إلينا في:
    ‏ديسمبر 6, 2008
    المشاركات:
    205
    الإعجابات المتلقاة:
    1,367
    نقاط الجائزة:
    450
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1

    تم التنبه لذلك والنظام 64 بت

    أترككم مع التجربه [​IMG]



    # تم رصد الـ HOST + الـ IP + مسار النزول + أسم العمليه + الـ Port


    [​IMG]


    [​IMG]


     
    VVIP,
    Abdulmuhaimen ،elmasry2006 ،MagicianMiDo32 و 6آخرون معجبون بهذا.
  8. Abdelkarim

    Abdelkarim زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 10, 2013
    المشاركات:
    3,723
    الإعجابات المتلقاة:
    17,159
    نقاط الجائزة:
    1,220
    الإقامة:
    المملكة المغربية
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows8.1
    مبدع استاذ ياسر

    طريقة رائعة

    بارك الله فيك و زادك من علمه

    تحياتي
     
  9. أبو رمش

    أبو رمش .: خبير نقاشات الحماية :. نجم المنتدى

    إنضم إلينا في:
    ‏مايو 31, 2008
    المشاركات:
    5,376
    الإعجابات المتلقاة:
    25,250
    نقاط الجائزة:
    1,245
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows XP
    الله يعطيك العافية أخي ياسر على هذا الشرح المتميز ..
     
  10. mha1m

    mha1m زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 21, 2012
    المشاركات:
    3,239
    الإعجابات المتلقاة:
    7,985
    نقاط الجائزة:
    1,275
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    بارك الله فيك
    موضوع ولا في الاحلام
    جاري التجريب(y)
    زادك الله علما
     
  11. أحمد البدارنة

    أحمد البدارنة .: خبير تحليل ملفات :.

    إنضم إلينا في:
    ‏مارس 25, 2013
    المشاركات:
    5,674
    الإعجابات المتلقاة:
    20,788
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    بارك الله فيك دكتور ياسر منذ زمن كنت اريد شرح هذة الاداة لكن تكاسل ,واعتقد الشرح الرسمي عن طريق فيديو اسلامي على ما تذكر

    للعلم الاداة يوجد لها مثيل في ساندبوكس كمودو ,ايضا في برنامج outpost لكن في برنامج outpost تحلل الرجستري والملفات وليس لاتصالات وليس داخب ساندبوكس ومن يريد ادة رائعة وممتازة في رصد كل التحركات لكل تحركات النظام :grin:
    قائمة البرامج لكن لا تحتوي على ساند مثل الموجود في الشرح
    Process monitor
    ProcessActivityView
    SpyMeTools
    Top Process Monitor
    Fileinspect Sidebar Gadget
    Moo0 System Monitor

    الاولى هي الافضل وهناك ادوات اخرى مشابهه

    ==========================
    ايضا يمكنك استخدام ادوات على الوهمي طبعا تكشف كل التغييرات في النظام عن طريق الفرق بين سناب شوت قبل وبعد

    RegShot
    TrackWinstall
    SpyMeTools
    RegFromApp
    Windows System State Analyzer
    WhatChanged
    InstallSpy
    SystemSherlock
    RegMerge
    DiffView
     
  12. abrahim2014

    abrahim2014 مراقب عام طاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    15,130
    الإعجابات المتلقاة:
    38,471
    نقاط الجائزة:
    1,600
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    بارك الله يك اخى ياسر
    ويعطيك الف عافية
     
    Abdelkarim ،qysr ،صدى الصمت و 2آخرون معجبون بهذا.
  13. Mazn_TNT

    Mazn_TNT عضو شرف

    إنضم إلينا في:
    ‏فبراير 10, 2011
    المشاركات:
    6,531
    الإعجابات المتلقاة:
    10,505
    نقاط الجائزة:
    1,220
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 7
    يثبت الموضوع لاسبوع نظرا للفائدة المقدمة منه


    الله يعطيكم الف عافية .
     
    abrahim2014 ،qysr ،صدى الصمت و 3آخرون معجبون بهذا.
  14. أبو عائشه

    أبو عائشه عضو شرف الأعضاء النشطين لهذا الشهر نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 13, 2007
    المشاركات:
    12,967
    الإعجابات المتلقاة:
    13,362
    نقاط الجائزة:
    1,545
    الإقامة:
    حيث يكون أي نظام تشغيل مجاني حر تجدني
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Linux
  15. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات المتلقاة:
    14,156
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    الاداه معروفه في مجال التحليل و لا غبار عليها و الرابط الذي و ضعته بالموضوع هو الرابط الاصلي
    بامكانك عمل استثناء اذا احببت ..
     
    qysr,
    Abdelkarim ،MagicianMiDo32 و صدى الصمت معجبون بهذا.
  16. ahmad123422

    ahmad123422 زيزوومي ماسي

    إنضم إلينا في:
    ‏أكتوبر 19, 2009
    المشاركات:
    8,063
    الإعجابات المتلقاة:
    2,846
    نقاط الجائزة:
    1,170
    الإقامة:
    لا يوجد
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك اخي
     
    أعجب بهذه المشاركة qysr
  17. Abdulmuhaimen

    Abdulmuhaimen زيزوومي محترف فريق الدعم المساعد لقسم الحماية

    إنضم إلينا في:
    ‏يونيو 18, 2008
    المشاركات:
    899
    الإعجابات المتلقاة:
    2,351
    نقاط الجائزة:
    820
    الإقامة:
    Tripoli - Libya
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    شرح ولا أروع مشرفنا العزيز ياسر :grin:

    بصراحة كنت أبحث عن شرح وافي وكافي لهذة الاداة BSA

    كان هناك موضوع قديم للاخ شادي الغائب عن المنتدى من فترة طويلة:cry:

    إضافة رائعة لمحبين SandBoxie (( محلل سلوك ))

    لكن بكل صراحة موضوعك أخي ياسر أكثر تنظيم والاوفى شرحاً (y)(y)(y)

    :: تحياتي ::
     
    elmasry2006 ،MagicianMiDo32 و qysr معجبون بهذا.
  18. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,763
    الإعجابات المتلقاة:
    20,444
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    شكرا لك يا غالي
     
    أعجب بهذه المشاركة qysr
  19. Abdelkarim

    Abdelkarim زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 10, 2013
    المشاركات:
    3,723
    الإعجابات المتلقاة:
    17,159
    نقاط الجائزة:
    1,220
    الإقامة:
    المملكة المغربية
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows8.1
    سؤال استاذ ياسر
    في حالة صدور تحذيث جديد للساندبوكسي هل يجب اعادة كتابة تلك الاسطر في اعدادات البرنامج ام انها لن تتغير و بالتالي لا حاجة لذلك
     
    أعجب بهذه المشاركة qysr
  20. qysr

    qysr زيزوومي VIP

    إنضم إلينا في:
    ‏نوفمبر 26, 2008
    المشاركات:
    3,416
    الإعجابات المتلقاة:
    14,156
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    لا .. المفترض يتم التحديث عادي :wink:
     
    qysr,
    أعجب بهذه المشاركة Abdelkarim
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...