Не нужны виртуальные машины -раз , не нужны отдельные шпионы -два.

Ищу sandbox для изучения работы программы и анализа её действий в ОС(XP,7). Интересует такой вариант, как у KAV. Его песочница или безопасная среда, как у них она названа, мне очень подходит, но меня не устраивает, что нужно ставить антивирус. Хотелось бы иметь такую песочницу, как индивидуальный продукт. Ищу похожую по функциональности и удобству песочницу.

Главное, чтобы ВСЕ изменения вносимые исследуемым объектом сохранялись в спец каталоге и были в удобном для изучения виде (файлы, реестр).

Жду рекомендаций, от тех кто действительно их применяет и может посоветовать продукт, которым он пользуется. Перепечатка из статей меня не интересует. Рекомендуйте, только то, чем действительно пользовались или используете.

| Сообщение посчитали полезным:

Sandboxie
http://www.sandboxie.com/

| Сообщение посчитали полезным:

Спасибо, уже смотрел, жду ещё вариантов.

| Сообщение посчитали полезным:

Анубис.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Sandboxie мне не подходит, в нём не возможно изучать изменения в реестре, с файлами ещё нормально, а с реестром облом. В КАВе там в реестре есть отдельный куст куда идёт запись всех изменённых параметров с сохранением их структуры ветвей.

Anubis это онлайн сервис, а мне нужна программа.

Я исследую легальные программы и мне необходимо знать куда при инсталляции гадит программа, и где сохраняет все свои ошмётки.

Не ужели никто этим не занимается?

| Сообщение посчитали полезным:

tex32 пишет:
мне необходимо знать куда при инсталляции гадит программа, и где сохраняет все свои ошмётки.

А что если просто RegMon и FileMon?

| Сообщение посчитали полезным:

Это слишком сложно, мне проще запустить программу в песочнице, отработать в ней нужные операции и затем просто посмотреть, где какие файлы она изменила и какие позиции реестра были модифицированы.

Тем более одной из задач не дать этой программе нагадить в системе, с мониторами такая штука не проходит. Нужна изоляция программы от ОС.

| Сообщение посчитали полезным:

tex32 пишет:
Это слишком сложно, мне проще запустить программу в песочнице, отработать в ней нужные операции и затем просто посмотреть, где какие файлы она изменила и какие позиции реестра были модифицированы.

Не знаю почему сложно.. но можно написать какой нибудь простой парсер логов выданных RegMon и FileMon, чтобы смотреть только интересующие вещи (или настроить RegMon и FileMon чтобы они смотрели только определенные операции, например запись). При отсутствии инструментов которые тебе хочется это самый оптимальный вариант..

tex32 пишет:
Нужна изоляция программы от ОС.

А для этого можно использовать VMWare и откатывать snapshot'ы чтобы восстановить состояние системы..

| Сообщение посчитали полезным:

Спасибо Enigma за попытку понять моё желание.

Откаты не приемлю. Слишком много операций. Если писать парсер, то опять трудозатраты большие. Я же работал с KAV и их безопасная среда выполняла всё, что мне нужно, но сейчас ищу замену их продукту. Но похоже на рынке кризис.

| Сообщение посчитали полезным:

Вариант VMWare + KAV не рассматриваете? Один лишь sandbox не спасет вас от проги загружающей драйвер или от local root эксплоита.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

http://ru.wikipedia.org/wiki/Песочница_(безопасность)
В смю также там можно выбрать

Deep Freeze

Icore virtual accounts
Windows SteadyState

Насколько я понял, выбор счас в этом невелик, можно чтото выбрать

| Сообщение посчитали полезным:

Интересная тема, пытаюсь сделать подобный велик с квадратными колесами. Типа сендбокс для 1ой инструкции

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

tex32, Sandboxie+BSA и все как на ладони

| Сообщение посчитали полезным:

Dem0n1C BSA это кто?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

tex32 пишет:
Sandboxie мне не подходит, в нём не возможно изучать изменения в реестре

для анализа используйте Buster Sandbox Analyzer

проще и лучше написать что-то своё

Жаль, нет смайла с выпадающей челюстью.

| Сообщение посчитали полезным: VodoleY

VodoleY, на ваш вопрос ответил Gideon Vi
Gideon Vi пишет:
для анализа используйте Buster Sandbox Analyzer - BSA

| Сообщение посчитали полезным:

проще и лучше написать что-то своё и на реальной системе тестить.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: G00ba

Всем спасибо, буду изучать все предложенные варианты.

| Сообщение посчитали полезным:

HiEndsoft пишет:
проще и лучше написать что-то своё и на реальной системе тестить.
человекогод до вменяемого состояния, это видимо просто

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Вы немного не разобрались с Sandboxie, реестр там сохраняется в файл RegHive. Этот файл можно просмотреть или конвертировать в формат regedit4 с помощью программы MiTeC Windows Registry Recovery.

| Сообщение посчитали полезным:

Вариант VirtualBox (полегче VMWare будет) + Total Uninstall или Ashampoo Uninstaller для мониторинга, создаёт лог инсталяции программ, можно делать снимки системы и сравнивать в удобоваримом виде, что было изменено.

| Сообщение посчитали полезным:

ntldr пишет:
Вариант VMWare + KAV не рассматриваете? Один лишь sandbox не спасет вас от проги загружающей драйвер или от local root эксплоита.

Золотые слова. sandboxie и bsa - сам использовал такую связку (кстати, да, она сохраняет в файл куста изменения в реестре, потом файлик просто подключается и отлично просматривается), но потом возникла необходимость дровину потестить. Тут уж без виртуалки ну никак не обойтись, ибо дрова-то на нулевом кольце работают, и на все эти песочницы им, мягко говоря, плевать ;)

Кстати, а где можно подробно про снэпшоты почитать? Вмваря умеет делать и сравнивать их (очень хотелось бы получить ответ)?

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Есть программа, которая сравнивает снэпшоты VMware.
http://zairon.wordpress.com/2007/09/19/tool-compare-vmware-snapshots/

| Сообщение посчитали полезным: Crawler

L0ST
спасибо, но малофункциональная =( если бы можно было не просто так сравнивать побайтово, а получать конкретный список ключей реестра, файлов и так далее... вот это была б тема!

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: ressa

CrawlerТак мб напишешь?

| Сообщение посчитали полезным:

Crawler пишет:
а получать конкретный список ключей реестра, файлов
С реестром нет проблем. Делаешь экспорт в текстовый файл и сравниваешь. Только одна проблема : там много текущего мусора. И еще - защищенные ветки реестра тоже не увидишь. Универсальное средство тут тяжело написать - всегда проще ручками для конкретного случая сделать.

| Сообщение посчитали полезным:

ressa да делать мне больше нечего, когда я еле поспать успеваю) был бы свободный день, так я бы спал, а не кодил)))

tundra37, ну это ясно. Просто ну очень нужна тулза для автоматизации и отчетов. Когда каждый день много таких вещей, то ручками запарно.

Вот в этом адов минус песочниц - они не могут работать с дровами нормально ;(

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: