5.5.3 实验步骤
1.安装与配置 Sandboxie 和 BSA
1)安装 Sandboxie
按照安装向导提示安装 Sandboxie,安装成功后 Sandboxie 界面显示如图 5.19 所示。
2)安装 BSA
将“bsa.rar”解压缩至 C:\BSA 目录下,并用最新的更新包“bsa_188_update_4.rar”解压后得到的 bsa.exe 覆盖 C:\BSA\bsa.exe。
3)安装 WinPcap
按照 WinPcap 安装向导将其安装到系统中即可。
4)配置 Sandboxie
Sandboxie 和 BSA 安装完毕后,需要对 Sandboxie 进行配置,以便让两者进行联动。依次选择 Sandboxie 的“菜单”→“配置”→“编辑配置文件”选项,打开沙盘的配置文件,如图 5.20 所示。
在 Sandboxie 配置文件中的条目“[DefaultBox]”中添加如下字段:
InjectDll=C:\BSA\LOG_API\LOG_API32.DLL
OpenWinClass=TFormBSA
NotifyDirectDiskAccess=y
在配置文件的菜单中依次选择“保存”→“退出”选项。
2.恶意代码行为监控
接下来监控木马程序“wdshx.exe”在沙盘内运行的行为。
1)启动 BSA 进行监控
运行“bsa.exe”,进入 BSA 启动界面,对 Sandboxie 的监控目录进行配置,如图 5.21所示。
获得 Sandboxie 监控目录需要先在沙盘内运行一个程序,依次选择菜单中“沙盘”→“DefaultBox”→“在沙盘中运行”→“运行网页浏览器”选项,如图 5.22 所示。