▐BSA▌ : لمنع تخطي الساندبوكسي و تحويله الى محلل سلوك

المصدر: ▐BSA▌ : لمنع تخطي الساندبوكسي و تحويله الى محلل سلوك
في منتدى : منتدى نقاشات واختبارات برامج الحماية

الكثير منا يستخدم الساندبوكسي على جهازه لتشغيل الملفات المشبوهه في بيئه آمنه ... لعدم استخدام الجهاز الوهمي او لتجنب اعادة تشغيل الجهاز في حالة برامج التجميد ..
و اليوم سنتطرق الى شرح اضافه اذا استخدمناها مع الساندبوكسي ستحوله الى محلل سلوك قوي



:: مميزات الاداه ::

1- محموله لا ترتبط بالساندبوكسي و لا تؤثر عليه ( للاستخدام عند الطلب )
2- منع تخطي الساندبوكسي في حال وجود هذه الخاصيه في المالوير .. فبعض ملفات المالوير ما ان نقوم بتشغيلها بداخل الساندبوكسي حتى توقف نفسها عن العمل لكي لا تنكشف طبيعة عملها




:: المتطلبات ::

1- تثبيت برنامج Sandboxie .. شرح البرنامج هنا
2- تثبيت هذه الاداه الصغيره WinPcap
3- و اخيرا تحميل اداة BSA




:: شرح استخدام الاداه ::

الاعدادات ستبدو كأنها طويله او معقده لكننا سنقوم بها لمره واحده فقط عند الاستخدام الاول للأداه
و يجب القيام بالخطوات الآتيه بدقه لضمان عمل الاداه ..

اولا نفتح نافذة الساندبوكسي .. دبل كليك على ايقونته جوار الساعته


ثم من قائمة configure نختار edit



سيفتح لنا ملف تكست ... نضع مؤشر الماوس في نهاية السطر مكان السهم .. ثم نضغط انتر لاضافة سطر جديد



ثم اذا كان النظام 32 بت ننسخ هذه الاسطر الخمسه بلا اي زياده او نقصان و نلصقها بالضبط في السطر الجديد :

كود:

InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
ProcessLimit1=20
ProcessLimit2=30

اما اذا كان النظام 64 بت يجب اضافة سطر اضافي و يكون عدد الاسطر سته .. لتعمل الاداه بصوره صحيحه :

كود:

InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
InjectDll64=C:\BSA\LOG_API\LOG_API64.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
ProcessLimit1=20
ProcessLimit2=30

بعدها في نهاية التكست بالضبط نضيف هذا السطر بنفس الطريقه :

كود:

SbieCtrl_HideMessage=*

ثم نضغط حفظ



ثم من قائمة configure نضغط على reload



موافق على رسالة التنبيه


انتهينا هكذا من اعداد الساندبوكسي , و حان دور الاداه ...





نفك الضغط عن ملف الاداه الى مجلد و سيكون باسم bsa




و لابد على حسب الاعدادات السابق ذكرها من نقل المجلد الناتج الى بارتيشن النظام تحديدا >>( C )




لتسهيل فتح الاداه سنفتح المجلد و ننشئ اختصار على سطح المكتب لملف تشغيل الاداه
او بامكاننا تشغيلها من مكانها طبعا اذا لم نرغب في عمل الاختصار ..



الآن سنقوم بتشغيل الاداه ... و هنا في مكان السهم يجب اضافة مسار مجلد الساندبوكسي الذي ستعتمده الاداه ..
هذه الخطوه سنقوم بها مره واحده فقط و بعدها ستتذكر الاداه هذا المسار



لنعرف المسار المطلوب .. سنقوم اولا بفتح اي ملف بواسطة الساندبوكسي .. اي ملف عندنا لا فرق
و هذا لنصل الى مسار المجلد في الخطوه التاليه



بعد فتح الملف نعمل كليك يمين على ايقونة الساندبوكسي ثم نضغط على explore contents




نضغط موافق



فتح لنا المجلد .. و نعمل كليك على المسار و ننسخه ..



نرجع للاداه و نلصق المسار ... و بهذا تكون الاداه قد اصبحت جاهزه تماما ..



انتهينا ..... و كل الخطوات السابق ذكرها سنحتاج للقيام بها في المره الاولى فقط





الآن حان وقت استخدام الاداه في التحليل ..

نضغط على start




اذا كان بمجلد الساندبوكسي اي محتويات سابقه ستنبهنا الاداه بهذا التنبيه و سنضغط على delete لتفريغ المجلد



الاداه بانتظار تشغيل المالوير ..



نشغل المالوير الذي نريد تحليله بداخل الساندبوكسي بالطريقه العاديه



ستبدأ الاداه مباشرة في رصد تحركات الملف



ننتظر فتره زمنيه معقوله و لا نستعجل لنمكن الملف من اداء عمله كاملا ... و يمكننا ملاحظة توقف ظهور اسطر جديده كمؤشر على اكتمال تشغيل الملف




بعد تأكدنا ان الملف اشتغل كما ينبغي ..
الآن يجب ان نقوم بقتل جميع العمليات التي تعمل بداخل الساندبوكسي لتتمكن الاداه من التحليل

نعمل كليك يمين و نضغط terminate



نضغط موافق


تم انهاء جميع العمليات ..

و عندها سنضغط finish



ننتظر لحظات حتى تنتهي من عملية التحليل و ظهور كلمة ready مكان السهم



اكتمل التحليل , و لنفتح التقرير ..
من قائمة viewer نضغط view



سيفتح تقرير التحليل على هيئة ملف تكست كما هو موضح في الصوره


و سنجد تفاصيل عديده سنأخذ منها الاهم هنا :
1- العمليه التي تم انشاؤها
2- مكان الاوتوستارت ... او العمل مع بدء تشغيل الجهاز
3- رصد سلوك الكيلوغر
4- و اخيرا جلب لنا الـنو آي بي

ملاحظه اخيره : لا تستطيع جميع الملفات العمل بشكل صحيح بداخل الساندبوكسي بسبب طريقة عمل البرنامج ... و في هذه الحاله سنجد التحليل ناقصا او لن نتمكن من التحليل .. لكن الطريقه سهله و مفيده مع اغلب الملفات ..



ارجو ان اكون قد وفقت في توضيح هذه الاداه و ان يكون في الموضوع فائده و لو بسيطه
و آخر دعوانا ان الحمد لله رب العالمين .

 

بارك الله فيك اخي ياسر ..
ودي اجرب الطريقه بس ماراح اخلص الا اليوم الثاني !

 

هههههه
الخطوات ليست بتلك الصعوبه و كما ذكرت يتم تطبيقها لمره واحده فحسب ,, بعدها لا نحتاج سوى تشغيل الاداه و الملف المراد تحليله و يتم التحليل مباشرة ..

 

بارك الله فيك وبمجهودك ياطيب

وراح يتم التجربه إن شاء الله بسيرفر يتخطى الـ Sandboxie

ويتخطى بمعنى يبقى الباتش في حالة سكون لكي لايتم كشفه حتى يتم إغلاق البرنامج بالكامل وبعدها يثبت نفسه آليا ويخترق الجهاز !
​

ProcessWaitClose("Sandboxie.exe")​

​

winwaitclose ("Sandboxie.exe")


if stringinstr($ss,"Sandboxie.exe") then
winwaitclose($var[$i][0]); ;​

 

بانتظار تجربتك ..
و المعذره .. اذا كنت ستقوم بالتجربه على نظام 64 بت ,,, توجد خطوه مهمه نسيت ذكرها لانني قمت بالشرح على ويندوز 32 و لا لن تعمل الاداه
تم اضافتها للموضوع حاليا

 

بارك الله فيك اخي الكريم على الطرح القيم والشرح الوافي
جزاكم الله خيرا واحسن اليكم​

 

تم التنبه لذلك والنظام 64 بت

أترككم مع التجربه


# تم رصد الـ HOST + الـ IP + مسار النزول + أسم العمليه + الـ Port








​

 

مبدع استاذ ياسر

طريقة رائعة

بارك الله فيك و زادك من علمه

تحياتي

 

الله يعطيك العافية أخي ياسر على هذا الشرح المتميز ..

 

بارك الله فيك
موضوع ولا في الاحلام
جاري التجريب
زادك الله علما

 

بارك الله فيك دكتور ياسر منذ زمن كنت اريد شرح هذة الاداة لكن تكاسل ,واعتقد الشرح الرسمي عن طريق فيديو اسلامي على ما تذكر

للعلم الاداة يوجد لها مثيل في ساندبوكس كمودو ,ايضا في برنامج outpost لكن في برنامج outpost تحلل الرجستري والملفات وليس لاتصالات وليس داخب ساندبوكس ومن يريد ادة رائعة وممتازة في رصد كل التحركات لكل تحركات النظام
قائمة البرامج لكن لا تحتوي على ساند مثل الموجود في الشرح
Process monitor
ProcessActivityView
SpyMeTools
Top Process Monitor
Fileinspect Sidebar Gadget
Moo0 System Monitor

الاولى هي الافضل وهناك ادوات اخرى مشابهه

==========================
ايضا يمكنك استخدام ادوات على الوهمي طبعا تكشف كل التغييرات في النظام عن طريق الفرق بين سناب شوت قبل وبعد

RegShot
TrackWinstall
SpyMeTools
RegFromApp
Windows System State Analyzer
WhatChanged
InstallSpy
SystemSherlock
RegMerge
DiffView

 

بارك الله يك اخى ياسر
ويعطيك الف عافية

 

يثبت الموضوع لاسبوع نظرا للفائدة المقدمة منه


الله يعطيكم الف عافية .

 

الاداه معروفه في مجال التحليل و لا غبار عليها و الرابط الذي و ضعته بالموضوع هو الرابط الاصلي
بامكانك عمل استثناء اذا احببت ..

 

بارك الله فيك اخي

 

شرح ولا أروع مشرفنا العزيز ياسر

بصراحة كنت أبحث عن شرح وافي وكافي لهذة الاداة BSA

كان هناك موضوع قديم للاخ شادي الغائب عن المنتدى من فترة طويلة

إضافة رائعة لمحبين SandBoxie (( محلل سلوك ))

لكن بكل صراحة موضوعك أخي ياسر أكثر تنظيم والاوفى شرحاً

:: تحياتي ::
​

 

شكرا لك يا غالي

 

سؤال استاذ ياسر
في حالة صدور تحذيث جديد للساندبوكسي هل يجب اعادة كتابة تلك الاسطر في اعدادات البرنامج ام انها لن تتغير و بالتالي لا حاجة لذلك

 

لا .. المفترض يتم التحديث عادي