Installationen beobachten

In diesem VideoTutorial wird gezeigt, wie Sie mittels eines kostenlosen Tools einzelne Installationen beobachten können. Somit können Sie feststellen welche Dateien die entsprechende Installationsroutine wohin kopiert. Gleiches gilt für Registry-Einträge.

4 comments

  • Kodiac 9 Jahren ago

    Was hat sich denn im Vergleich mit dem alten „Installation belauschen“ Video vom 28.04.2008 mit der Nr.604 (nicht mehr erreichbar) geändert ?
    BTW, ich „belausche“ gerne mit einer Kombination aus Sandboxie http://sandboxie.com/ und BSA (Buster Sandbox Analyzer) http://bsa.qnea.de/
    Wäre bestimmt auch ein Thema für ein Video.

  • sendling70 9 Jahren ago

    ich habe keinen nennenswerten unterschied bemerkt.
    aber dieser sanboxie analyzer würde mich interresieren wie füge ich den in meine vorhandene installation ein? habe es auf die schnelle so nicht hinbekommen! in dem zip paket ist nur eine text datei und eine dll datei oder ich hab was übersehen?

  • Kodiac 9 Jahren ago

    Eigentlich sind dort noch weitere Dateien/Unterverzeichnisse drin. U.a. EXE, SYS und ein PDF-Dokument. Evtl. nicht komplett runtergeladen oder ein veralteter/inkompatibler Entpacker ? Die z.Zt. aktuelle Version 1.18 hat ~1,8MB.
    Das BSA-Archiv incl. Unterverzeichnisse entpacken.
    Vor dem Analysieren muß zuerst noch die Sandboxie-Konfiguration geändert werden. Dazu in Sandboxie auf Configure / Edit Configuration gehen oder direkt die ‚C:\WINDOWS\Sandboxie.ini‘ ändern.
    Folgende beide Zeilen müssen in der Sandbox, die mit BSA untersucht werden soll, ergänzt werden. Das könnte dann z.B. so aussehen:

    [DefaultBox]

    InjectDll=D:\Programme\bsa\LOG_API.DLL
    OpenWinClass=TFormBSA

    Siehe auch PDF-Anleitung S.10

    Jetzt kann BSA gestartet werden.
    Als erstes muß der Sandbox-Ordner definiert werden in dem das zu überwachende Programm gestartet wird.
    z.B D:\Sandbox\User\DefaultBox
    Danach auf ‚Start‘ drücken. Es kommt eine Abfrage ob evtl. vorhandene Dateien gelöscht werden sollen.
    Einen Augenblick warten bis unten ‚Ready for next step!‘ erscheint. Das zu beobachtende Programm kann nun in der Sandbox gestartet werden. In dem ‚Api Call Log‘-Fenster werden nun sämtliche Veränderungen mitprotokolliert. Nachdem das zu untersuchende Programm wieder beendet wurde, auf ‚Check Ports‘ drücken um eventuelle Internetverbindungen des Programmes zu analysieren. Mit ‚Find Differences‘ werden sämtliche sonstige Veränderungen geprüft. Das kann schon einiges an Zeit in Anspruch nehmen.
    Nach Abschluß kann mit ‚Malware Analyzer‘ ein erster grober Eindruck gewonnen werden was das Programm alles gemacht hat.
    Wenn dieses Fenster wieder geschlossen wurde kann im Menü ‚Viewer‘ von BSA detailliert nachgeschaut werden was alles mitprotokolliert wurde.
    Diese Textdateien stehen dann auch in z.B. D:\Programme\bsa\Reports\
    In der Konfiguration von BSA habe ich im Options-menü auch noch das Häkchen von ‚Do Not Resolve URLs‘ entfernt und ‚Check For Updates On Start‘ sowie ‚Save Settings on Exit‘ aktiviert.

  • Kodiac 9 Jahren ago

    Die Homepage von Buster Sandbox Analyzer hat sich geändert. BSA ist jetzt unter der URL http://bsa.sandboxie.info/ erreichbar.

Add your comment