▐BSA▌ : لمنع تخطي الساندبوكسي و تحويله الى محلل سلوك

الحالة
مغلق و غير مفتوح للمزيد من الردود.
qysr

qysr

زيزوومي VIP
إنضم
26 نوفمبر 2008
المشاركات
3,415
مستوى التفاعل
14,177
النقاط
1,220
غير متصل
QdIFApr.gif

SV41q5h.png



الكثير منا يستخدم الساندبوكسي على جهازه لتشغيل الملفات المشبوهه في بيئه آمنه ... لعدم استخدام الجهاز الوهمي او لتجنب اعادة تشغيل الجهاز في حالة برامج التجميد ..
و اليوم سنتطرق الى شرح اضافه اذا استخدمناها مع الساندبوكسي ستحوله الى محلل سلوك قوي

gjhGUTo.png


:: مميزات الاداه ::

1- محموله لا ترتبط بالساندبوكسي و لا تؤثر عليه ( للاستخدام عند الطلب )
2- منع تخطي الساندبوكسي في حال وجود هذه الخاصيه في المالوير .. فبعض ملفات المالوير ما ان نقوم بتشغيلها بداخل الساندبوكسي حتى توقف نفسها عن العمل لكي لا تنكشف طبيعة عملها


gjhGUTo.png


:: المتطلبات ::

1- تثبيت برنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
.. شرح البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

2- تثبيت هذه الاداه الصغيره
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

3- و اخيرا تحميل اداة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



gjhGUTo.png


:: شرح استخدام الاداه ::

الاعدادات ستبدو كأنها طويله او معقده لكننا سنقوم بها لمره واحده فقط عند الاستخدام الاول للأداه
و يجب القيام بالخطوات الآتيه بدقه لضمان عمل الاداه ..

اولا نفتح نافذة الساندبوكسي .. دبل كليك على ايقونته جوار الساعته
ChvSVLy.png


ثم من قائمة configure نختار edit
bhb3R7j.png



سيفتح لنا ملف تكست ... نضع مؤشر الماوس في نهاية السطر مكان السهم .. ثم نضغط انتر لاضافة سطر جديد
C9vEgva.png



ثم اذا كان النظام 32 بت ننسخ هذه الاسطر الخمسه بلا اي زياده او نقصان و نلصقها بالضبط في السطر الجديد :

كود: 
InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
ProcessLimit1=20
ProcessLimit2=30

اما اذا كان النظام 64 بت يجب اضافة سطر اضافي و يكون عدد الاسطر سته .. لتعمل الاداه بصوره صحيحه :

كود: 
InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
InjectDll64=C:\BSA\LOG_API\LOG_API64.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
ProcessLimit1=20
ProcessLimit2=30
Ooo6lWT.png



بعدها في نهاية التكست بالضبط نضيف هذا السطر بنفس الطريقه :

كود: 
SbieCtrl_HideMessage=*
4mLtZwf.png



ثم نضغط حفظ
oM3xgQU.png



ثم من قائمة configure نضغط على reload
xcnwkQx.png



موافق على رسالة التنبيه
cW6aM6j.png


انتهينا هكذا من اعداد الساندبوكسي , و حان دور الاداه ... ;)


gjhGUTo.png



نفك الضغط عن ملف الاداه الى مجلد و سيكون باسم bsa

t3ZAQJd.png



و لابد على حسب الاعدادات السابق ذكرها من نقل المجلد الناتج الى بارتيشن النظام تحديدا >>( C )

ygOJy3F.png



لتسهيل فتح الاداه سنفتح المجلد و ننشئ اختصار على سطح المكتب لملف تشغيل الاداه
او بامكاننا تشغيلها من مكانها طبعا اذا لم نرغب في عمل الاختصار ..
RhjcN8N.png



الآن سنقوم بتشغيل الاداه ... و هنا في مكان السهم يجب اضافة مسار مجلد الساندبوكسي الذي ستعتمده الاداه ..
هذه الخطوه سنقوم بها مره واحده فقط و بعدها ستتذكر الاداه هذا المسار
6qkPVaq.png



لنعرف المسار المطلوب .. سنقوم اولا بفتح اي ملف بواسطة الساندبوكسي .. اي ملف عندنا لا فرق
و هذا لنصل الى مسار المجلد في الخطوه التاليه
HLEbd4W.png



بعد فتح الملف نعمل كليك يمين على ايقونة الساندبوكسي ثم نضغط على explore contents
wwOVK61.png




نضغط موافق
5Nu5qiD.png



فتح لنا المجلد .. و نعمل كليك على المسار و ننسخه ..
am2TNQJ.png



نرجع للاداه و نلصق المسار ... و بهذا تكون الاداه قد اصبحت جاهزه تماما ..
YXpItQX.png



انتهينا ..... و كل الخطوات السابق ذكرها سنحتاج للقيام بها في المره الاولى فقط ;)


gjhGUTo.png



الآن حان وقت استخدام الاداه في التحليل ..

نضغط على start
fyjLGML.png




اذا كان بمجلد الساندبوكسي اي محتويات سابقه ستنبهنا الاداه بهذا التنبيه و سنضغط على delete لتفريغ المجلد
8SVEAFc.png



الاداه بانتظار تشغيل المالوير .. :sneaky:
yfPbqHN.png



نشغل المالوير الذي نريد تحليله بداخل الساندبوكسي بالطريقه العاديه
iP1sGV1.png



ستبدأ الاداه مباشرة في رصد تحركات الملف
6tFqqNN.png



ننتظر فتره زمنيه معقوله و لا نستعجل لنمكن الملف من اداء عمله كاملا ... و يمكننا ملاحظة توقف ظهور اسطر جديده كمؤشر على اكتمال تشغيل الملف
jFa93bf.png




بعد تأكدنا ان الملف اشتغل كما ينبغي ..
الآن يجب ان نقوم بقتل جميع العمليات التي تعمل بداخل الساندبوكسي لتتمكن الاداه من التحليل

نعمل كليك يمين و نضغط terminate
uKqJxzr.png



نضغط موافق
F2ObMd6.png


تم انهاء جميع العمليات ..

و عندها سنضغط finish
2o0fLOr.png



ننتظر لحظات حتى تنتهي من عملية التحليل و ظهور كلمة ready مكان السهم
5FSjXOp.png



اكتمل التحليل , و لنفتح التقرير ..
من قائمة viewer نضغط view
tfX5g01.png



سيفتح تقرير التحليل على هيئة ملف تكست كما هو موضح في الصوره
sWmCBwg.png


و سنجد تفاصيل عديده سنأخذ منها الاهم هنا :
1- العمليه التي تم انشاؤها
2- مكان الاوتوستارت ... او العمل مع بدء تشغيل الجهاز
3- رصد سلوك الكيلوغر
4- و اخيرا جلب لنا الـنو آي بي :D

ملاحظه اخيره : لا تستطيع جميع الملفات العمل بشكل صحيح بداخل الساندبوكسي بسبب طريقة عمل البرنامج ... و في هذه الحاله سنجد التحليل ناقصا او لن نتمكن من التحليل .. لكن الطريقه سهله و مفيده مع اغلب الملفات ..

gjhGUTo.png


ارجو ان اكون قد وفقت في توضيح هذه الاداه و ان يكون في الموضوع فائده و لو بسيطه
و آخر دعوانا ان الحمد لله رب العالمين .

EJtAKuy.png
 

التعديل الأخير بواسطة المشرف:
بارك الله فيك اخي ياسر ..
ودي اجرب الطريقه بس ماراح اخلص الا اليوم الثاني :D !
 
توقيع : Mr.AzOz
Mr.AzOz قال:
بارك الله فيك اخي ياسر ..
ودي اجرب الطريقه بس ماراح اخلص الا اليوم الثاني :D !
أنقر للتوسيع...
هههههه :D:D
الخطوات ليست بتلك الصعوبه و كما ذكرت يتم تطبيقها لمره واحده فحسب ,, بعدها لا نحتاج سوى تشغيل الاداه و الملف المراد تحليله و يتم التحليل مباشرة ..
 

بارك الله فيك وبمجهودك ياطيب
cupidarrow.gif


وراح يتم التجربه إن شاء الله بسيرفر يتخطى الـ Sandboxie

ويتخطى بمعنى يبقى الباتش في حالة سكون لكي لايتم كشفه حتى يتم إغلاق البرنامج بالكامل وبعدها يثبت نفسه آليا ويخترق الجهاز !

ProcessWaitClose("Sandboxie.exe")​

winwaitclose ("Sandboxie.exe")


if stringinstr($ss,"Sandboxie.exe") then
winwaitclose($var[$i][0]); ;​
 
توقيع : VVIP
VVIP قال:
بارك الله فيك وبمجهودك ياطيب
cupidarrow.gif


وراح يتم التجربه إن شاء الله بسيرفر يتخطى الـ Sandboxie

ويتخطى بمعنى يبقى الباتش في حالة سكون لكي لايتم كشفه حتى يتم إغلاق البرنامج بالكامل وبعدها يثبت نفسه آليا ويخترق الجهاز !

ProcessWaitClose("Sandboxie.exe")​

winwaitclose ("Sandboxie.exe")


if stringinstr($ss,"Sandboxie.exe") then
winwaitclose($var[$i][0]); ;​
أنقر للتوسيع...
بانتظار تجربتك ..
و المعذره .. اذا كنت ستقوم بالتجربه على نظام 64 بت ,,, توجد خطوه مهمه نسيت ذكرها لانني قمت بالشرح على ويندوز 32 و لا لن تعمل الاداه
تم اضافتها للموضوع حاليا
 
بارك الله فيك اخي الكريم على الطرح القيم والشرح الوافي
جزاكم الله خيرا واحسن اليكم​
 
توقيع : صدى الصمت

تم التنبه لذلك والنظام 64 بت

أترككم مع التجربه
cupidarrow.gif



# تم رصد الـ HOST + الـ IP + مسار النزول + أسم العمليه + الـ Port


tjL4bc.png



JngHQH.png



 
توقيع : VVIP
مبدع استاذ ياسر

طريقة رائعة

بارك الله فيك و زادك من علمه

تحياتي
 
الله يعطيك العافية أخي ياسر على هذا الشرح المتميز ..
 
توقيع : أبو رمش
بارك الله فيك
موضوع ولا في الاحلام
جاري التجريب(y)
زادك الله علما
 
توقيع : mha1m
بارك الله فيك دكتور ياسر منذ زمن كنت اريد شرح هذة الاداة لكن تكاسل ,واعتقد الشرح الرسمي عن طريق فيديو اسلامي على ما تذكر

للعلم الاداة يوجد لها مثيل في ساندبوكس كمودو ,ايضا في برنامج outpost لكن في برنامج outpost تحلل الرجستري والملفات وليس لاتصالات وليس داخب ساندبوكس ومن يريد ادة رائعة وممتازة في رصد كل التحركات لكل تحركات النظام :D
قائمة البرامج لكن لا تحتوي على ساند مثل الموجود في الشرح
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


الاولى هي الافضل وهناك ادوات اخرى مشابهه

==========================
ايضا يمكنك استخدام ادوات على الوهمي طبعا تكشف كل التغييرات في النظام عن طريق الفرق بين سناب شوت قبل وبعد

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
بارك الله يك اخى ياسر
ويعطيك الف عافية
 
توقيع : ALmehob
بارك الله فيكم على الشرح الرائع والهام

اعترض البيتديفايندر على تشغيل الأداة لا أعرف ما هو السبب في ذلك حيث كل مرة أريد تشغيلها تظهر لي رسالة منه
 
توقيع : أبو عائشهأبو عائشه is verified member.
أبو عائشه قال:
بارك الله فيكم على الشرح الرائع والهام

اعترض البيتديفايندر على تشغيل الأداة لا أعرف ما هو السبب في ذلك حيث كل مرة أريد تشغيلها تظهر لي رسالة منه
أنقر للتوسيع...
الاداه معروفه في مجال التحليل و لا غبار عليها و الرابط الذي و ضعته بالموضوع هو الرابط الاصلي
بامكانك عمل استثناء اذا احببت ..
 
بارك الله فيك اخي
 
  • Like
التفاعلات: qysr
شرح ولا أروع مشرفنا العزيز ياسر :D

بصراحة كنت أبحث عن شرح وافي وكافي لهذة الاداة BSA

كان هناك موضوع قديم للاخ شادي الغائب عن المنتدى من فترة طويلة:cry:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


لكن بكل صراحة موضوعك أخي ياسر أكثر تنظيم والاوفى شرحاً (y)(y)(y)

:: تحياتي ::
 
توقيع : Abdulmuhaimen
شكرا لك يا غالي
 
توقيع : اليوناني
  • Like
التفاعلات: qysr
سؤال استاذ ياسر
في حالة صدور تحذيث جديد للساندبوكسي هل يجب اعادة كتابة تلك الاسطر في اعدادات البرنامج ام انها لن تتغير و بالتالي لا حاجة لذلك
 
  • Like
التفاعلات: qysr
Abdelkarim قال:
سؤال استاذ ياسر
في حالة صدور تحذيث جديد للساندبوكسي هل يجب اعادة كتابة تلك الاسطر في اعدادات البرنامج ام انها لن تتغير و بالتالي لا حاجة لذلك
أنقر للتوسيع...
لا .. المفترض يتم التحديث عادي ;)
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى