Sandboxie+Buster Sandbox Analyzer打造个人沙箱

一、运行环境和需要安装的软件

实验环境：win7_x32或win7_x64
用到的软件：WinPcap_4_1_3.exe、Sandboxie-3-70.exe、Buster Sandbox Analyzer
重点是Sandboxie必须是3.70版本。下载地址：https://github.com/sandboxie-plus/sandboxie-old/blob/main/3.x/Sandboxie-3-70.exe；bsa从官网下载最新免费即可，下载地址：http://bsa.isoftware.nl/；必须安装WinPcap，下载地址：https://www.winpcap.org/，只有安装了WinPcap才可保证bsa运行。
以win7_x64为例，首先安装Sandboxie-3-70.exe，一路确定。然后安装WinPcap_4_1_3.exe，一路确定。最后将bsa压缩包，解压到C盘。见下图。

二、配置Sandboxie和BSA

双击C:\bsa目录下的bsa.exe。需要填写Sandbox folder to check。回到Sandboxie Control界面，沙盘->DefaultBox->在沙盘中运行->运行网页浏览器。然后看桌面右下角Sandboxie Control小标，右键->DefaultBox->浏览保存内容，弹出的目录就是要填入Sandbox folder to check位置处的目录。见下图。

所以bsa配置好，见下图。

然后是配置sandboxie。配置->编辑配置文件，则打开Sandboxie.ini文件。见下图。

InjectDll=C:\bsa\LOG_API\logapi32.dll
InjectDll64=C:\bsa\LOG_API\logapi64.dll
OpenPipePath=\Device\NamedPipe\LogAPI

其中红框内为需要自己添加的。主要分2部分：1、InjectDll的指定，文件的位置必须在电脑上存在，而且路径和文件名字不能错。InjectDll是32位logapi，InjectDll64是64位logapi。2、OpenPipePath=\Device\NamedPipe\LogAPI这个固定，就这么写。上述三行代码，在win7_32位和win7_64位，都写这三句。至此bsa和sandboxie均配置好。

三、如何使用bsa记录在沙箱中运行的程序的行为

首先在bsa中点击start analysis->Ignore Sandbox Folder contents and continue。然后就选择要分析的木马程序右键->在沙盘中运行。此时bsa中开始记录运行程序的行为。bsa中的记录不在增加时，关闭木马，然后点Finish analysis。正常是木马关闭则可停止分析，如果此时点Finish analysis后bsa最下面一行提示RegHive is in use. Be sure Sandboxie is not running before clicking "Finish Analisis" 证明此木马程序创建了新的进程在运行，此时回到Sandboxie Control可看到没关闭的进程和对应的pid，再去任务管理器找到对应的pid，找到进程后再右键点打开文件位置，即找到真实的木马，再进行分析。在Sandboxie Control中终止隐藏的进程后再点Finish analysis就停止记录木马行为。BSA中，Viewer->View Report，就看到对样本行为的记录。