در اين بخش يک بدافزار واقعي مورد تحليل قرار ميگيرد. اين بدافزار از virussign.com گرفته شده است.
در اينجا فرض ميشود خواننده قبلا نحوه استفاده از قسمتهاي مختلف جعبه شن پارسا را مطالعه کرده است. براي شروع تحيل ترجيحا جعبه شن در يک محيط مجازي اجرا شود.
در اين نمونه براي ايجاد محيط تحليل از محيط مجازي VMware و سيستم عامل 32 بيتي Windows 7 Sp1 استفاده شده است. جهت امکان بازگشت سريع به حالت قبل از اجراي بدافزار، توصيه ميشود ابتدا يک Snapshot از وضعيت فعلي سيستم ايجاد کنيد تا در صورت آلوده شدن محيط آن را بازسازي نماييد.
همانند شکل زير جعبه شن پارسا را اجرا کرده و وارد تنظيمات فايل سيستم ميشويم.
همانطور که در شکل بالا نشان داده شده است، براي فعال کردن گزارشگيري گزينه "لاگ گيري از اعمال تغييرات روي فايل سيستم" را تيک ميزنيم و همچنين براي گرفتن نسخه پشتيبان از فايلهاي Drop شده، گزينه "گرفتن نسخه پشتيبان از فايلهاي Drop شده" را تيک زده و مسيري براي ذخيره اين فايلها انتخاب کنيد. از گزينه "فيلترخروجي" توابعي را براي فيلتر کردن انتخاب ميکنيم. بر حسب نياز ميتوان همه يا تنها تعدادي ازاين توابع را فعال کرد. در اين نمونه توابع به شکل زير انتخاب شده، و ذخيره ميشوند.
همانند شکل زير از تنظيمات شبکه گزينه "لاگ گيري از ارتباطات شبکه" را تيک زده، و فيلتر خروجي را تنظيم کنيد تا از کليه فعاليتهاي شبکه گزارشگيري شود.
در سربرگ تنظيمات رجيستري نيز همانند شکل زيرگزينه "لاگ گيري از اعمال تغييرات روي رجيستري" را تيک زده و از فيلتر خروجي گزينههاي نشان داده شده را انتخاب و تنظيمات را ذخيره ميکنيم. ميتوانيم همه گزينهها را فعال کنيم اما فعلا نيازي به همه موارد ديده نشده و تنها مواردي را که باعث تغييرات اساسي بر روي رجيستري ميشوند را انتخاب کردهايم تا سربار اضافي به سيستم وارد نشود و در گزارش خروجي تنها موارد اساسي ديده شود.
در مورد تنظيمات پردازشها طبق شکل زير هر سه گزينه "لاگ گيري از عملياتهاي مرتبط به پردازش و نخ" ، "دفاع از جعبه شن در مقابل برنامه تحت تحليل" و "جلوگيري از بارگذاري درايور" را فعال کرده و از فيلتر خروجي گزينه "فعال سازي همه گزينهها" را تيک زده و تنظيمات را ذخيره ميکنيم.
تنظيمات انجام شده براي تزريق کتابخانه به شکل زير ميباشد.