Buster Sandbox Analyzer是一种工具,旨在分析进程的行为和对系统所做的更改,然后评估它们是否可疑。对系统所做的更改可以有几种类型:文件系统更改,注册表更改和端口更改。创建,删除或修改文件时,文件系统会发生更改。根据已创建文件的类型(可执行文件,库,javascript,批处理等)以及创建文件的位置(文件夹),我们将能够获取有价值的信息。注册表更改是对Windows注册表所做的更改。在这种情况下,我们将能够从修改后的值键以及新创建或删除的注册表键中获取有价值的信息。当在外部与其他计算机建立连接或在本地打开端口并且此端口开始侦听传入的连接时,将产生端口更改。从所有这些更改中,我们将获得必要的信息,以评估沙盒应用程序所采取的某些操作的“风险”。