تحلیل فایل سیستم

با استفاده از بخش "تنظيمات فايل سيستم" که در پنجره اصلي جعبه شن پارسا موجود است، مي‌توانيد بر فرآيند لاگ‌گيري از فايل سيستم کنترل کاملي داشته باشيد. تنظيمات موجود در اين بخش در شکل زير نشان داده شده است.

 

 

جهت فعال سازي لاگ‌گيري از فايل سيستم، بايد بر روي گزينه "لاگ‌گيري از اعمال تغييرات روي فايل سيستم" استفاده کنيد.

با کليک بر روي گزينه فيلتر خروجي، پنجره‌اي همانند شکل زير نمايش داده خواهد شد.

 

 

با استفاده از اين پنجره مي‌توانيد مشخص کنيد که چه توابعي از فايل سيستم را مي‌خواهيد لاگ‌گيري نماييد. توصيه مي‌شود اگر نيازي به لاگ‌گيري از برخي توابع نداريد، تيک آن را برداريد، تا عمل تحليل بدافزار با سرعت بيشتري انجام گيرد، و حجم خروجي شما نيز تا حد ممکن کاهش يابد. همچنين براي تابع WriteFile مي‌توانيد تعيين کنيد که چند بايت از داده‌اي که در فايل نوشته شده است، مورد نياز شما مي‌باشد، و بايد در خروجي نمايش داده شود. شما مي‌توانيد يکي از گزينه‌هاي 10 بايت، 50 بايت، 100 بايت، 500 بايت، 1000 بايت، يا همه بايت‌ها را انتخاب نماييد. دقت داشته باشيد که انتخاب گزينه همه بايت‌ها باعث افزايش مصرف حافظه اصلي خواهد شد.

افرادي که با زبان C++ Win32 کار کرده‌اند، با اين توابع آشنايي کاملي دارند، ولي ما براي کساني که با اين توابع آشنايي ندارند، فرمت خروجي و کاربرد هر کدام از آن‌ها در زيربخش خروجي فايل سيستم ارائه داده‌ايم.

يکي ديگر از قابليت‌هاي که در بخش تحليل فايل‌سيستم گنجانده شده است، قابليت تعريف ليست سياه مي‌باشد. با کليک بر روي گزينه "تعريف ليست سياه" در پنجره اصلي نرم‌افزار، پنجره‌اي همانند شکل زير نمايش داده خواهد شد.

 

 

در اين پنجره با کليک بر روي گزينه "انتخاب يک پوشه"، يا "انتخاب يک فايل" مي‌توانيد پوشه يا فايل مورد نظر خود را به ليست سياه اضافه نماييد. بعد از تعريف ليست سياه خود، مي‌توانيد با کليک بر روي ذخيره تنظيمات، فايل‌ها و پوشه‌هاي موجود در ليست را از دسترس برنامه تحت تحليل خارج نماييد.

همانطور که مي‌دانيد برخي بدافزارها اقدام به کپي کردن خودشان به درون پوشه‌هاي ويندوز مي‌کنند. يا اينکه يک فايل اجرايي از درون خودشان استخراج کرده، و در مسيرهايي که کاربر معمولي کمتر با آن‌ها سروکار دارد، کپي مي‌کنند. اصولا به اين کار Drop کردن يک فايل گويند. جعبه‌شن پارسا اين قابليت را دارد که از فايل‌هايي که برنامه تحت تحليل بر روي سيستم قرار داده است، يک نسخه پشتيبان تهيه نمايد، و آن‌ها را نيز مورد تحليل ايستا قرار دارد. براي فعال‌سازي اين قابليت تيک گزينه "گرفتن نسخه پشتيبان از فايل‌هاي Drop شده" را انتخاب نماييد. همچنين بايد مسير ذخيره فايل Drop شده را نيز تعيين نماييد. توجه داشته باشيد که اين مسير بايد يک پوشه خالي باشد، يعني نبايد شامل هيچ زيرپوشه، يا فايل خاصي باشد. اگر اين قابليت فعال باشد، در هنگام تحليل، تمامي فايل‌هاي Drop شده توسط برنامه به مسير مورد نظر شما منتقل خواهد شد. به عنوان مثال اگر برنامه تحت تحليل فايلي در مسير C:\Windows\System32\dropped.exe کپي کرده باشد، آنگاه آن يک کپي از آن فايل در درون پوشه انتخابي شما، و با نام C__Windows_System32_dropped.exe قرار خواهد گرفت.

نمی‌توانید پاسخی پیدا کنید؟ آیا به دنبال مقاله خاصی هستید که در سؤالات عمومی قرار دارد؟ فقط پوشه ها و دسته بندی های مختلف مربوطه را مرور کنید و سپس مقاله مورد نظر خود را پیدا خواهید کرد.
صفحه اصلی سایبرنو
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا می‌باشد.