Sandboxie+Buster Sandbox Analyzer打造个人沙箱
一、运行环境和需要安装的软件
实验环境:win7_x32或win7_x64
用到的软件:WinPcap_4_1_3.exe、Sandboxie-3-70.exe、Buster Sandbox Analyzer
重点是Sandboxie必须是3.70版本。下载地址:https://github.com/sandboxie-plus/sandboxie-old/blob/main/3.x/Sandboxie-3-70.exe;bsa从官网下载最新免费即可,下载地址:http://bsa.isoftware.nl/;必须安装WinPcap,下载地址:https://www.winpcap.org/,只有安装了WinPcap才可保证bsa运行。
以win7_x64为例,首先安装Sandboxie-3-70.exe,一路确定。然后安装WinPcap_4_1_3.exe,一路确定。最后将bsa压缩包,解压到C盘。见下图。
二、配置Sandboxie和BSA
双击C:\bsa目录下的bsa.exe。需要填写Sandbox folder to check。回到Sandboxie Control界面,沙盘->DefaultBox->在沙盘中运行->运行网页浏览器。然后看桌面右下角Sandboxie Control小标,右键->DefaultBox->浏览保存内容,弹出的目录就是要填入Sandbox folder to check位置处的目录。见下图。
所以bsa配置好,见下图。
然后是配置sandboxie。配置->编辑配置文件,则打开Sandboxie.ini文件。见下图。
InjectDll=C:\bsa\LOG_API\logapi32.dll
InjectDll64=C:\bsa\LOG_API\logapi64.dll
OpenPipePath=\Device\NamedPipe\LogAPI
其中红框内为需要自己添加的。主要分2部分:1、InjectDll的指定,文件的位置必须在电脑上存在,而且路径和文件名字不能错。InjectDll是32位logapi,InjectDll64是64位logapi。2、OpenPipePath=\Device\NamedPipe\LogAPI这个固定,就这么写。上述三行代码,在win7_32位和win7_64位,都写这三句。至此bsa和sandboxie均配置好。
三、如何使用bsa记录在沙箱中运行的程序的行为
首先在bsa中点击start analysis->Ignore Sandbox Folder contents and continue。然后就选择要分析的木马程序右键->在沙盘中运行。此时bsa中开始记录运行程序的行为。bsa中的记录不在增加时,关闭木马,然后点Finish analysis。正常是木马关闭则可停止分析,如果此时点Finish analysis后bsa最下面一行提示RegHive is in use. Be sure Sandboxie is not running before clicking "Finish Analisis" 证明此木马程序创建了新的进程在运行,此时回到Sandboxie Control可看到没关闭的进程和对应的pid,再去任务管理器找到对应的pid,找到进程后再右键点打开文件位置,即找到真实的木马,再进行分析。在Sandboxie Control中终止隐藏的进程后再点Finish analysis就停止记录木马行为。BSA中,Viewer->View Report,就看到对样本行为的记录。
相关文章:
Sandboxie+Buster Sandbox Analyzer打造个人沙箱
一、运行环境和需要安装的软件 实验环境:win7_x32或win7_x64 用到的软件:WinPcap_4_1_3.exe、Sandboxie-3-70.exe、Buster Sandbox Analyzer 重点是Sandboxie必须是3.70版本。下载地址:https://github.com/sandboxie-plus/sandboxie-old/blo…...
源码解析flink的GenericWriteAheadSink为什么做不到精确一次输出
背景 GenericWriteAheadSink是可以用于几乎是精准一次输出的场景,为什么说是几乎精准一次呢?我们从源码的角度分析一下 GenericWriteAheadSink做不到精准一次输出的原因 首先我们看一下flink检查点完成后通知GenericWriteAheadSink开始进行分段的记录…...
)
C#经典十大排序算法(完结)
C#冒泡排序算法 简介 冒泡排序算法是一种基础的排序算法,它的实现原理比较简单。核心思想是通过相邻元素的比较和交换来将最大(或最小)的元素逐步"冒泡"到数列的末尾。 详细文章描述 https://mp.weixin.qq.com/s/z_LPZ6QUFNJcw…...
C/C++文件操作(细节满满,part2)
该文章上一篇:C/C文件操作(细节满满,part1)_仍有未知等待探索的博客-CSDN博客 个人主页:仍有未知等待探索_C语言疑难,数据结构,小项目-CSDN博客 专题分栏:C语言疑难_仍有未知等待探索的博客-CSDN博客 目录 …...
web前端面试-- 手写原生Javascript方法(new、Object.create)
web面试题 本人是一个web前端开发工程师,主要是vue框架,整理了一些面试题,今后也会一直更新,有好题目的同学欢迎评论区分享 ;-) web面试题专栏:点击此处 手动实现Object.create 通过Object.create&#…...
C++前缀和算法的应用:得到连续 K 个 1 的最少相邻交换次数 原理源码测试用例
本文涉及的基础知识点 C算法:前缀和、前缀乘积、前缀异或的原理、源码及测试用例 包括课程视频 滑动窗口 题目 给你一个整数数组 nums 和一个整数 k 。 nums 仅包含 0 和 1 。每一次移动,你可以选择 相邻 两个数字并将它们交换。 请你返回使 nums 中包…...
目标检测YOLO实战应用案例100讲-基于YOLOv5的航拍图像旋转目标检测
目录 前言 国内外研究历史与现状 目标检测技术的研究历史与现状...
H5前端开发——BOM
H5前端开发——BOM BOM(Browser Object Model)是指浏览器对象模型,它提供了一组对象和方法,用于与浏览器窗口进行交互。 通过 BOM 对象,开发人员可以操作浏览器窗口的行为和状态,实现与用户的交互和数据传…...
stable diffusion如何解决gradio外链无法开启的问题
问题确认 为了确认gradio开启不了是gradio库的问题还是stable diffusion的问题,可以先执行这样一段demo代码 import gradio as grdef greet(name):return "Hello " name "!"demo gr.Interface(fngreet, inputs"text", outputs&q…...
SpringMvc-面试用
一、SpringMvc常用注解 1、修饰在类的 RestController RequestMapping("/test")RestController是什么?其实是一个复合注解 Controller //其实就是Component ResponseBody //独立的注解 public interface RestController {}RequestMapping 也可以认…...
并发编程 # 3
文章目录 一、进程和线程的比较二、GIL全局解释器锁1.引入2.Python解释器的种类结论:在CPython解释其中,同一个进程下开启的多线程,同一时刻只能有一个线程执行,无法利用多核优势。得出结论:GIL锁就是保证在同一时刻只…...
ESP32C3 LuatOS TM1650①驱动测试
合宙TM1650驱动资料 TM1650.lua源码 引脚连接 TM1650ESP32C3SCLGPIO5SDAGPIO4 下载TM1650.lua源码,并以文件形式保存在项目文件夹中 驱动测试源码 --注意:因使用了sys.wait()所有api需要在协程中使用 -- 用法实例 PROJECT "ESP32C3_TM1650" VERSION …...
TCP为什么需要三次握手和四次挥手?
一、三次握手 三次握手(Three-way Handshake)其实就是指建立一个TCP连接时,需要客户端和服务器总共发送3个包 主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备 过程如下ÿ…...
【C++】一些C++11特性
C特性 1. 列表初始化1.1 {}初始化1.2 initializer_list 2. 声明2.1 auto2.2 typeid2.3 decltype2.4 nullptr 3. STL3.1 新容器3.2 新接口 4. 右值引用5. 移动构造与移动赋值6. lambda表达式7. 可变参数模板8. 包装器9. bind 1. 列表初始化 1.1 {}初始化 C11支持所有内置类型和…...
leetcode 647. 回文子串、516. 最长回文子序列
647. 回文子串 给你一个字符串 s ,请你统计并返回这个字符串中 回文子串 的数目。 回文字符串 是正着读和倒过来读一样的字符串。 子字符串 是字符串中的由连续字符组成的一个序列。 具有不同开始位置或结束位置的子串,即使是由相同的字符组成&#…...
Vue Router 刷新当前页面
Vue项目, 在实际工作中, 有些时候需要在 加载完某些数据之后对当前页面进行刷新, 以期 onMounted 等生命周期函数, 或者 数据重新加载. 总之是期望页面可以重新加载一次. 目前总结有三种途径可实现以上需求: 一, reload 直接刷新页面 window.location.reload(); $router.go(…...
lstm 回归实战、 分类demo
预备知识 lstm 参数 输入、输出格式 nn.LSTM(input_dim,hidden_dim,num_layers); imput_dim 特征数 input:(样本数、seq, features_num) h0,c0 (num_layers,seq, hidden_num) output: (样本数、seq, hidden_dim) 再加一个全连接层,将 outpu…...
实践DDD模拟电商系统总结
目录 一、事件风暴 二、系统用例 三、领域上下文 四、架构设计 (一)六边形架构 (二)系统分层 五、系统实现 (一)项目结构 (二)提交订单功能实现 (三࿰…...
`SQL`编写判断是否为工作日函数编写
SQL编写判断是否为工作日函数编写 最近的自己在写一些功能,遇到了对于工作日的判断,我就看了看sql,来吧!~(最近就是好疲惫) 我们一起看看(针对ORACLE) 1.声明: CREATE OR REPLACE PACKAGE GZYW_2109_1214.PKG_FUN_GETDAY_HDAY AS /** * 通过节假日代码获取指定的日期[查找基…...
零信任身份管理平台,构建下一代网络安全体系
随着数字化时代的到来,网络安全已成为企业和组织面临的一项重要挑战。传统的网络安全方法已经无法满足不断演变的威胁和技术环境。近期,中国信息通信研究院(简称“中国信通院”)发布了《零信任发展研究报告( 2023 年&a…...
)
C# 13新特性 × Blazor深度耦合面试题集:Record structs在组件状态管理中的不可变陷阱,模式匹配路由解析实战(VS2026预览版实测)
第一章:C# 13 Blazor 2026现代Web开发趋势概览C# 13 和 Blazor 2026 的协同演进正重新定义全栈 .NET Web 开发的边界。语言层面,C# 13 引入了原生泛型属性(primary constructors 增强)、模式匹配对 ref struct 的完整支持&#x…...
Laratrust项目实战:从零搭建一个完整的权限管理后台
Laratrust项目实战:从零搭建一个完整的权限管理后台 【免费下载链接】laratrust Handle roles and permissions in your Laravel application 项目地址: https://gitcode.com/gh_mirrors/la/laratrust Laratrust是一款专为Laravel应用设计的权限管理工具&…...
AArch64系统指令集解析与性能优化实践
1. AArch64系统指令概述AArch64是ARMv8架构的64位执行状态,其系统指令集为操作系统和底层软件开发提供了丰富的硬件控制能力。作为ARM架构的重大革新,AArch64不仅扩展了寄存器位宽,更在内存管理、虚拟化支持和安全隔离等方面引入了全新机制。…...
华为/小米手机改了分辨率就乱套?一个BaseActivity搞定Android字体缩放适配
Android字体缩放适配终极方案:BaseActivity解决华为/小米分辨率修改乱象 每次测试报告里出现"华为手机改了分辨率后界面崩了"的反馈,我都忍不住想摔键盘。去年我们团队就因为这个看似简单的适配问题,硬生生拖了两周进度。后来发现&…...
别再手动配用户了!用OpenLDAP+phpLDAPadmin在CentOS 7.9上5分钟搞定统一认证服务
企业级统一认证实战:OpenLDAP与phpLDAPadmin高效部署指南 每次新员工入职,IT管理员是否还在重复执行这些操作:登录每台服务器创建账号、配置GitLab权限、设置Jenkins访问、调整Wiki系统身份?当团队规模突破20人时,这种…...
掌握BigImageViewer:自定义图像加载器与工厂模式的完整指南
掌握BigImageViewer:自定义图像加载器与工厂模式的完整指南 【免费下载链接】BigImageViewer Big image viewer supporting pan and zoom, with very little memory usage and full featured image loading choices. Powered by Subsampling Scale Image View, Fres…...
Linux环境搭建及基础指令
Xshell 登录主机打开Xshell后, 输入指令 ssh root[自己云服务器的公网地址]输入登录名(一般就是root)及密码后, 看到以上提示, 就说明登陆成功啦!Xshell下的复制粘贴复制: Ctrll Fn insert粘贴: shift Fn insertLinux下的基本指令在学习具体指令前, 得先创建一个框架, 才能…...
0011.盛水最多的容器
题目链接 11. 盛最多水的容器 - 力扣(LeetCode) 题目描述 给定一个长度为 n 的整数数组 height 。有 n 条垂线,第 i 条线的两个端点是 (i, 0) 和 (i, height[i]) 。找出其中的两条线,使得它们与 x 轴共同构成的容器可以容纳最多…...
告别商业EDA?在Ubuntu 22.04上配置开源EDA工具链:Yosys + GTKWave + iverilog
开源EDA工具链实战:在Ubuntu 22.04上构建YosysGTKWaveiverilog全流程环境 当我在大学实验室第一次接触FPGA开发时,商业EDA软件动辄数十万的授权费用让我震惊。直到发现开源EDA工具链,才意识到原来芯片设计可以如此"平民化"。本文将…...
)
互联网大厂Java求职者面试全流程解析(含技术点详解)
互联网大厂Java求职者面试全流程解析(含技术点详解) 文章标签 Java,Spring Boot,面试,互联网大厂,技术详解,微服务,缓存,消息队列 文章简述 本文模拟了互联网大厂Java岗位的面试过程,采用严肃面试官与搞笑程序员谢飞机的故事方式展开。文章涵…...