یک مثال واقعی

در اين بخش يک بدافزار واقعي مورد تحليل قرار مي‌گيرد. اين بدافزار از virussign.com گرفته شده است.

در اينجا فرض مي­‌شود خواننده قبلا نحوه استفاده از قسمت‌هاي مختلف جعبه شن پارسا را مطالعه کرده است.  براي شروع تحيل ترجيحا جعبه­ شن در يک محيط مجازي اجرا شود.

در اين نمونه براي ايجاد محيط تحليل از محيط مجازي VMware  و سيستم عامل 32 بيتي Windows 7 Sp1 استفاده شده است. جهت امکان بازگشت سريع به حالت قبل از اجراي بدافزار، توصيه مي‌شود ابتدا يک Snapshot از وضعيت فعلي سيستم ايجاد ­کنيد تا در صورت آلوده شدن محيط آن را بازسازي نماييد.

 

 

همانند شکل زير جعبه­ شن پارسا را اجرا کرده و وارد تنظيمات فايل سيستم مي‌­شويم.

 

 

همانطور که در شکل بالا نشان داده شده است، براي فعال کردن گزارش‌گيري گزينه "لاگ گيري از اعمال تغييرات روي فايل سيستم" را تيک مي­‌زنيم و همچنين براي گرفتن نسخه پشتيبان از فايل‌هاي Drop شده، گزينه "گرفتن نسخه پشتيبان از فايلهاي Drop شده" را تيک زده و مسيري براي ذخيره اين فايل‌ها انتخاب کنيد. از گزينه "فيلترخروجي" توابعي را براي فيلتر کردن انتخاب مي‌­کنيم. بر حسب نياز مي­‌توان همه يا تنها تعدادي ازاين توابع را فعال کرد. در اين نمونه توابع به شکل زير انتخاب شده­، و ذخيره مي­‌شوند.

 

 

همانند شکل زير از تنظيمات شبکه گزينه "لاگ گيري از ارتباطات شبکه" را تيک زده، و فيلتر خروجي را تنظيم کنيد تا از کليه فعاليت‌هاي شبکه گزارش‌گيري شود.

 

 

در سربرگ تنظيمات رجيستري نيز همانند شکل زيرگزينه "لاگ گيري از اعمال تغييرات روي رجيستري" را تيک زده و از فيلتر خروجي گزينه­­‌هاي نشان داده شده را انتخاب و تنظيمات را ذخيره مي‌­کنيم. مي­‌توانيم همه گزينه­‌ها را فعال کنيم اما فعلا نيازي به همه موارد ديده نشده و تنها مواردي را که باعث تغييرات اساسي بر روي رجيستري مي‌شوند را انتخاب کرده‌ايم تا سربار اضافي به سيستم وارد نشود و در گزارش خروجي تنها موارد اساسي ديده شود.

 

 

در مورد تنظيمات پردازش‌ها طبق شکل زير هر سه گزينه "لاگ گيري از عمليات­‌هاي مرتبط به پردازش و نخ" ، "دفاع از جعبه­ شن در مقابل برنامه تحت تحليل" و "جلوگيري از بارگذاري درايور" را فعال کرده و از فيلتر خروجي گزينه "فعال سازي همه گزينه­‌ها" را تيک زده و تنظيمات را ذخير­ه مي­‌کنيم.

 

 

تنظيمات انجام شده براي تزريق کتابخانه به شکل زير مي‌باشد.