chinaruto 2007-9-28 20:24
sandboxie查看注册表变化-工具
[size=5][size=3]还是发一下吧,不能自己一个人用呀(可惜喽)。[/size]
[color=Blue]左面填用户名,右面是沙盘名。[/color][/size]
[attach]203931[/attach]
[b]软件会先调用沙盘进程,所以就算“一闪而过”的进程,也会查到的。[/b]
[size=5][b]感谢[color=Blue]Eataix[/color]制作。。[/b][/size]
;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;8楼有源码,14楼有修改版。
;;;;;;;;;;;;;;
[[i] 本帖最后由 chinaruto 于 2007-10-5 20:20 编辑 [/i]]
nhxycfans 2007-9-29 09:41
回复 楼主 的帖子
感谢,正在找这个东东。
谢谢诺亚方舟的作品
freesoft00 2007-9-29 10:39
sandboxie查看注册表变化-工具
这个是做什么用的,是分析病毒或软件对注册表的修改的吗
chinaruto 2007-9-29 14:53
回复 板凳 的帖子
是sandboxie的辅助工具,就是查看“虚拟机”的注册表,呵呵。对分析病毒也有点用吧。。
lawrener 2007-9-29 15:06
真是高手啊~~多谢啊,最喜欢沙盘的一抹而净了,
学习啊学习 2007-10-1 10:41
: 123427 高人啊
前段时间找死我了 谢谢楼主啊
chinaruto 2007-10-1 16:37
这个是“诺亚方舟”写的。(估计他自己也忘了。。。: 123429 )
另外,这里有个sandboxie详细的设置教程,英文不好的要看看:
[url]http://www.skycn.com/article/7662.html[/url]
诺亚方舟 2007-10-1 18:55
最近很忙 很久没有修正过了
现在把源代码传上来 有兴趣的可以自己修改一下
用AutoIt写的
chinaruto 2007-10-2 21:52
简单改了一下。默认的不是“Administrator”了,直接是“当前的用户名”,这样方便些吧。。
[[i] 本帖最后由 chinaruto 于 2007-10-3 09:46 编辑 [/i]]
诺亚方舟 2007-10-3 14:10
在include下方加入以下代码
[code]$var = IniReadSectionNames(@WindowsDir & "\Sandboxie.ini")
If @error Then
MsgBox(4096, "", "发生错误,请检查sandboxie的配置文件.")
Else
If $var[0] >=3 Then
For $i = 1 To $var[0]
If $var[$i]="GlobalSettings" Then ContinueLoop
If $var[$i]="DefaultBox" Then ContinueLoop
$box=$var[$i]
Next
Else
$box="DefaultBox"
EndIf
EndIf[/code]
并将原来的
[code]$BoxNameinput =GUICtrlCreateInput("DefaultBox",272, 32, 145, 31)[/code]
修改为
[code]$BoxNameinput =GUICtrlCreateInput($box,272, 32, 145, 31)[/code]
将boxname设置为在Sandboxie.ini最后出现的那个sandbox
具体的内容请用文本编辑器打开Sandboxie.ini
chinaruto 2007-10-4 09:58
回复 10楼 的帖子
好象不行,如果有个testbox,就算“调到”的是DefaultBox,但显示的还是testbox。。
诺亚方舟 2007-10-4 17:29
获取当前的沙盘名有难度 我只能从Sandboxie.ini处下手
chinaruto 2007-10-5 09:36
见14楼,修改成功。。。
[attach]205359[/attach]
[[i] 本帖最后由 chinaruto 于 2007-10-5 14:18 编辑 [/i]]
chinaruto 2007-10-5 14:13
这个:
ShellExecute ( $temp , "notepad" , "" ,"open" , @SW_MINIMIZE)
改成了这个:
$BoxName1=GUICtrlRead ($BoxNameinput)
ShellExecute ( $temp,' /box:'&$BoxName1&" run_dialog", "" ,"open" , @SW_MINIMIZE)
WinWaitActive ( "[#] Run Sandboxed -")
ControlSend( "[#] Run Sandboxed -", "Type the name of a program or folder and Sandboxie will open it for you.", ("[class:Edit;INSTANCE:1]") , "notepad {enter}" )
好象可以了。谁再试试。。。。附件里有源码。。。
chinaruto 2007-10-6 11:21
呼叫 诺亚方舟,
本想试试一个激活卡巴的工具改了哪些注册表(但结果没变化),却发现了这个器的一个大BUG。
就是:无法找出“删除的键”。(注意,是“键”)。
因为这个只对比了“改变的值或项”。
所以要解决,就得加上:
如果,
1,沙盘中的注册表“键”里没有任何“项”
2,而,实机中的注册表里相应的“键”里有。
就可判定“此键”为删除的。
不过O十分不熟悉字符串操作: JM8 ,还是请你有空改一下吧。。。。
atlex 2007-10-6 11:56
avg查杀显示有木马病毒trojan horse Generic8.GST
chinaruto 2007-10-6 14:27
回复 16楼 的帖子
不会吧,你用的哪个?
电影结束了 2007-10-6 14:38
谢谢你们咯....
我下载了
SB跑病毒不错.....
诺亚方舟 2007-10-6 18:53
[quote]原帖由 [i]chinaruto[/i] 于 2007-10-6 11:21 发表 [url=http://bbs.janmeng.com/redirect.php?goto=findpost&pid=10428811&ptid=643556][img]http://bbs.janmeng.com/images/common/back.gif[/img][/url]
呼叫 诺亚方舟,
本想试试一个激活卡巴的工具改了哪些注册表(但结果没变化),却发现了这个器的一个大BUG。
就是:无法找出“删除的键”。(注意,是“键”)。
因为这个只对比了“改变的值或项”。
所以要 ... [/quote]
我没有出现这个问题
1.在sandboxie中运行regedit删除两个启动项
2.在sandbxoie外运行这个软件 能够看到 且旧址为删除前 当前值为空
so sandboxie对删除的键值还是有记录的
大不了在对比的时候进行一下判断 将新加的(原值为空) 和删除的(当前值为空)单独提出来
诺亚方舟 2007-10-6 19:06
[url]http://virscan.org/report.php?id=7e4b626c6f08841022be282cf2d5fc16&lang=en[/url]
virscan 上的扫描结果
源码已经公开 我没有必要动手脚
最近真的很多事情 请chinaruto帮忙发一个邮件给[email]virus@grisoft.com[/email] 反映一下这个事情吧
