shaded
زيزوومى فضى
غير متصل
كيفكم أعزائي ان شاء الله بخير .. اشتقنا والله للقسم هذا :d:
اليوم جايب هدية حلوة لمحبين الساندبوكسي .. وهي عبارة عن محلل سلوك (( أداة تضاف للساندبوكسي )) عملها تحليل سلوك الملفات التي يتم تشغيلها في البيئة الوهمية ..
عملها بشكل مفصل ==> (( تقوم بمراقبة عمليات النظام + انشاء ملفات جديدة في النظام أو تعديلها او حذفها + مراقبة الرجيستري للنظام من ناحية الاضافة والتعديل والحذف + رصد محاولات الملف للاتصال بالانترنت والبورت المستخدم + رصد عمليات الحقن + عمليات بدء التشغيل .... الخ ))
وبكذا يصبح برنامج الساندبوكسي الموجود في جهازك .. مثل مواقع تحليل الملفات .. مثل (( ThreatExpert ... الخ ))
أولا لكي تعمل الاداة لديك .. لابد من تركيب برنامج الساندبوكسي في جهازك ..
لتحميل الساندبوكسي كامل بالسريال من هنا .. >> من موضوع عزام
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
لتحميل الاداة الرائعة .. واسمها Buster Sandbox Analyzer
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بعد تركيب برنامج الساندبوكسي .. نشغل الساندبوكسي .. ونختار Configure ثم Edit Configuration .. وراح يفتح لنا مستند نصي ..
نقوم بإضافة هذه السطرين في المستند النصي .. >> من دون هذه السطرين لن تعمل الاداة
كود:
InjectDll=C:\bsa\log_api.dll
OpenWinClass=TFormBSA
الان نقوم بإنشاء مجلد جديد في القرص السي .. وليكن اسمه bsa ونقوم بفك الملفات الاداة التي قمنا بتحميلها في هذا المجلد
الان نقوم بتشغيل الملف bsa.exe
يظهر لنا التالي
في مربع Sandbox folder to check .. نضع مسار مجلد برنامج الساندبوكسي ..
ولمعرفة مسار المجلد .. نضغط بالزر الايمن على ايقونة برنامج الساندبوكسي بجوار الساعه
ونختار كالتالي .. (( Defaultbox ==> select Explore Contents ))
راح يفتح لنا مجلد الساندبوكسي .. فقط قم بنسخ المسار وضعه أمام Sandbox folder to check
الان انتهينا من ضبط الاعدادات وكل شي .. واصبح البرنامج جاهز للتجربة ..
طريقة العمل ..
اولا نقوم بتشغيل الاداة bsa.exe ثم نضغط على Start Analysis
راح تظهر لنا رسالة نختار .. Delete Sandbox Folder contents and continue
راح تلاحظ ان زر Stop Analysis تم تفعيله ..
الان شغل الملف الذي تريد ان تجري عليه التجربة في الساندبوكسي ..
بعد تشغيل الملف .. راح تلاحظ في اداة تحليل السلوك انه يوجد كلام كثير تحتAPI Call Log
اول ما تتوقف الاداة عن الكتابة تحت API Call Log نروح للساندبوكسي .. ونعمل Terminate Programs عن طريق File ===> terminate all programs
بعدها نروح للاداة ونضغط على Stop Analysis انتظر قليلا وراح يتفعل زر Malware Analyzer نضغط عليه .. راح تفتح لنا نافذة .. مكونة من جزئين Malicious Actions و Details
في نافذة الـ Malicious Actions ::
يخبرك في حال كان الملف يحمل سلوك الملفات المشبوهه أو لا .. مثل (( الاتصال بالانترنت . ينسخ نفسه في المجلدات . يعدل في ملف الهوست . يشغل عملية . ..... الخ ))
اما في نافذة Details ::
يخبرك باللي صار بالتفصيل .. (( الملفات التي تم إنشائها .. العمليات التي تم تشغيلها .. العمليات التي تم الحقن فيها .. الاتصال بالانترنت والبورت المستخدم .... الخ ))
وهذي تجربة بسيطة على دودة .. (( Win32.Worm.VB.NWJ ))
لتحميل الفيديو من هنا ..
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
وفي الختام لا تنسوني من صالح دعائكم في ظهر الغيب ..
واتمنى انكم تستفيدون من الاداة الرائعة هذه ..
اخوكم : شادي
تم بحمد الله
