Loading...

برنامه هاي غير قابل اعتماد را با خيال راحت اجرا كنيد!

 

به هيچ برنامه اي اعتماد نكنيد!

حتما تا به حال با برنامه هاي زيادي برخورديد كه به ويروسي بودنشان شك داشته ايد يا اينكه آنتي‌ويروس آنها را به عنوان ابزار هك ، ويروس ، تروجان يا… تشخيص داده ولي خودتان آن را مضر نميدانيد در اين شرايط اعتماد و اجراي نرم‌افزار ممكن است نتيجه جالبي نداشته باشد ;)

آنچه بعد از اجراي يك ويروس يا برنامه مضر اتفاق مي افتد ايجاد تغييراتي در رجيستري ويندوز ، تغيير يا ساخت فايلهايي در پوشه هاي سيستم و.. است اما اگر برنامه يا ويروس در يك محيط مجازي اجرا شود در سيستم پخش نخواهد شد و همه تغييرات قابل پي‌گيري ميباشد.

 

برنامه اي كه ميتواند اين فضاي مجازي را ايجاد كند Sandboxie است كاري كه اين برنامه انجام ميدهد رو ميتوان اينطور تشبيه كرد:

PaperAnimation

كامپيوتر را مثل يك صفحه كاغذ در نظر بگيريد با اجراي هر برنامه نوشته هايي به كاغذ افزوده ميشود ; با اجراي مرورگر سايتهايي كه بازديد كرده ايد نوشته ميشود و برنامه هاي هم مخرب سعي ميكنند خودش را در اين صفحه ثبت كنند…

برنامه هاي امنيتي مثل آنتي ويروسها با توجه به باتك اطلاعاتي شان سعي ميكنند تغييرات ناخواسته را رديابي و حذف كنند

ولي برنامه Sandboxie مانند يك لايه شفاف بر روي اين صفحه كاغذ عمل ميكند و برنامه ها بر اين لايه شفاف كه درست مانند صفحه واقعي به نظر ميرسد تغييراتشان را ايجاد ميكنند و بعد از بستن Sandboxie تغييرات اين لايه شفاف به سادگي قابل حذف شدن ، پيگيري و… است.

آسان ترين راه براي اجراي برنامه هاي مشكوك در محيط Sandboxie راست كليك روي برنامه و انتخاب گزينه Run Sandboxed است

how-to-sandbox-a-program

بعد از اجراي برنامه مشكوك براي مشاهده تغييرات و فايلهاي ايجاد شده كافيت گزينه Explore Contents را از منوي Function انتخاب كنيد(هيچ گاه امنيت 100% نيست)

 

view-sandboxed-contents

از نرم افزارهايي كه كاري مشابه با Sandboxie انجام ميدهند ميتوان به ZoneAlarm ForceField و بخش sandbox آنتي ويروس كاسپراسكاي 7 + اشاره كرد

در نظر بگيريد تروجان‌ي را در محيط مجازي با استفاده از نرم افزار معرفي شده اجرا كرده ايد كامپيوترتان به صورت موقت آلوده شده و تروجان توانايي استفاده از منابع و حتي ارتباط اينترنتي را دارد اما اگر Sandboxie را ببنديد كليه process هايش و ارتباطات اينترنتي و… تروجان بسته خواهد شد و شهر در امن و امان خواهد بود!

سوالي كه به احتمال زياد پيش خواهد آمد اين است كه آيا برنامه اجرا شده واقعا يك ويروس يا برنامه مضر است؟

براي مثال يك تروجان تقريبا قديمي – كه حالا همه آنتي ويروس ها آن را ميشناسند – را با راست كليك و انتخاب گزينه Run Sandboxed اجرا ميكنيم (در اينجا تروجان Optix كه امكاناتي مثل SubSeven دارد)

 

run-virus-with-sandboxie

با نگاهي به پنجره برنامه Sandboxie متوجه اجرا شدن msiexec16.exe ميشويم در صورتي كه نام فايل تروجان virus.exe بود و اين تغيير نام مشكوك استsandboxie-main-interface

تغييرات و فايلهاي ايجاد شده را با كليك Function -> Contents of Sandbox -> Explore Contents بررسي ميكنيم

 

sandboxie-folder-reghive

پوشه اي با نام drive و دو فايل RegHive و RegHive.LOG وجود دارد از پوشه درايو و فايل msiexec16.exe متوجه ميشويم ويروس خودش را بعد از تغيير نام دادن در پوشه سيستم ويندوز كپي و اجرا كرده است

virus-copies-to-windows-system32

فايل RegHive داراي تغييرات ايجاد شده در رجيستري مجازي است براي ديدن محتواي آن بايد بعد از بستن Sandboxie آن را در Registry Editor ويندوز لود كنيد:

    • از منوي استارت Run را انتخاب و عبارت regedit را بنويسيد و OK
    • HKEY_USERS را انتخاب كنيد و از منوي گزينه Load Hive را كليك و در پنجره باز شده فايل RegHive را انتخاب كنيد در پنجره اي كه باز خواهد شد نامي دلخواه براي كليد رجيستري بنويسد من sandboxie را نوشتم اكنون كليدي با نام sandboxie در زير شاخه HKEY_USERS ظاهر خواهد شد
    • how-to-load-reghive

    • با بررسي رجيستري مجازي كه اكنون در Registry Editor ويندوز لود شده متوجه اضافه شدن فايل msiexec16.exe به استارت آپ ويندوز ميشويم به اين معني كه با هر بار وارد شدن به ويندوز به صورت خودكار اجرا خواهد شد. پ.ن: برنامه sandboxie كاربردهاي زيادي دارد از جمله اجراي مرورگرها به صورت sandbox براي جلوگيري از تغيير هيستوري و افزايش حريم شخصي ، توانايي محافظت از ثبت كننده هاي صفحه كليد (keylogger) ، اضافه كردن يك فولدر براي اجراي همه برنامه ها و فايلهاي آن به صورت مجازي (مفيد براي پوشه دانلودها ، آتوران سي دي و دي وي دي ، نصب همزمان چنديدن نسخه از يك برنامه و…
    • registry-trojan-autorun

دانلود sandboxie + يا + (لينكها نسخه آزمايش برنامه است كرك و شماره سريالش هم از يه جايي پيدا كنيد با اين وضع سرعت كه نميشه چيزي آپلود كرد – البته توفيق اجباري است – )

 




لطفاً برای ارسال نظر ابتدا وارد حساب کاربری خود بشوید
اگر تاکنون ثبت نام نکرده اید ، روی این لینک کلیک کنید

از مجموع 96,939 مطلب نوشته شده توسط 1025 نویسنده در 96 وب سایت و وبلاگ آی تی فارسی زبان، تاکنون 9,012 مقاله دست چین و در نشریه خوارزمی منتشر شده اند. در حال حاضر 5006 مقاله دریافت شده در انتظار نشر قرار دارند. تا امروز بیش از 164,042,000 بار این مقالات خوانده شده اند.

لوازم جانبی موبایل با قیمتهای غیر قابل رقابت

https://drjanebi.com

نشریه خوارزمی آگهی می پذیرد.

http://kharazmi.org

نام کاربری:
کلمه عبور: