Как да стартирате програма в пясъчна кутия. Инструменти за стартиране на приложения във виртуална среда. Как да стартирате програма в пясъчна кутия

Sandboxie ви позволява бързо да наблюдавате работата на приложенията, инсталирани на вашия компютър, и също така е инструмент за проактивна защита. За да премахнете напълно Sandboxie от всяко устройство, трябва да използвате някой от наличните методи за деинсталиране.

Относно програмата

Разработчикът е Ronen Tzur, приложението принадлежи към категорията Shareware. Към януари 2019 г. има две версии на софтуерното решение:

• 26 Стабилен;
• 27.3 Бета.

Sandboxy има прост и интуитивен интерфейс както на английски, така и на руски език. Инсталирането е възможно на компютри с операционна система Windows, като се започне от версия 7 и по-нова. Подходящ както за 32-битова, така и за 64-битова ОС. Помощната програма разполага с така наречената "Sandbox" - инструмент, който ви позволява значително да повишите нивото на защита на компютъра срещу външни заплахи: похитители на браузъри, троянски коне, фишинг софтуер и други програми от категорията "Badware".

Работете в Sandboxy

За да инсталирате, трябва да следвате прости стъпки:

Сега можете да започнете да работите в помощната програма, например да изтеглите всеки софтуер от интернет и да проверите инсталирането на изтегления пакет за вируси и софтуер на трети страни. За да сканирате всеки "exe", ще трябва да изпълните следните стъпки:

Освен да проверявате софтуера за вируси, можете да стартирате всяко приложение на вашия компютър, както и браузъри като Google Chrome, Opera, Mozilla Firefox, Internet Explorer и Yandex.Browser. За да направите това, просто следвайте прости стъпки:

По този начин, с помощта на този софтуер, можете да стартирате всякакви програми на компютър в изолирана виртуална среда и да контролирате работещите процеси. В същото време Sandbox няма да може да записва данни в системния регистър, да осъществява достъп до системни данни, да влияе на производителността на компютъра и т.н.

Деинсталиране

Преди да продължите с деинсталирането на Sandbox, ще трябва да почистите остатъчните файлове, които се появяват по време на работата на софтуера и да запушите компютъра. Впоследствие, когато деинсталира софтуера, потребителят няма да трябва да ги премахва ръчно. За да почистите "боклука", трябва:

Стандартно деинсталиране

Премахнете напълно Sandboxie от вашия компютър с помощта на инсталационната програма "SandboxieInstall.exe":

1. Проверете дали програмата е затворена: отидете на "Диспечер на устройства", като натиснете комбинацията Ctrl + Alt + Delete или като докоснете комбинацията Win + R и въведете командата "taskmgr" в прозореца "Изпълни".
2. В "Диспечер на задачите" намерете в раздела "Процеси" изпълним exe файл с името на помощната програма, която трябва да бъде премахната, щракнете с левия бутон върху нея, извикайте опцията "Край на задачата" в долната част на екрана.
   
3. Отидете в прозореца "Стартиране" и проверете дали деинсталираният софтуер има статус "Деактивиран" и съответно не е в списъка за автоматично стартиране. За да направите това, щракнете с десния бутон върху обекта и кликнете върху "Деактивиране". Ако се появи опцията на контекстното меню „Активиране“, значи всичко е наред, можете да продължите към следващата стъпка.
4. Задръжте натиснат комбинацията Win + R и въведете кода "msconfig", след което кликнете върху "OK".
5. В "Конфигурация на системата" отидете в менюто "Зареждане" и поставете отметка в квадратчето срещу опцията "Безопасен режим". Не забравяйте да кликнете върху „Приложи“, за да влязат в сила промените, „OK“.
   
6. Потребителите на Windows 7 също ще трябва да отидат в раздела "Стартиране" и да изключат софтуера от списъка за автоматично стартиране: щракнете с десния бутон върху името на файла в списъка с приложения за автоматично стартиране и изберете функцията "Деактивиране".
7. Рестартирайте компютъра: влизането ще се извърши в защитен режим.
8. Стартирайте инсталационния файл "SandboxieInstall.exe" - "Напред". В списъка с опции изберете „Деинсталиране на приложението“ (името на функцията може да се различава в зависимост от версията на инсталатора).
9. Ще започне автоматичният процес на премахване на програмни компоненти от компютъра, след което се препоръчва допълнително почистване на компютъра от остатъчни файлове.
   
10. На първо място, трябва да отидете в "C:\ProgramFiles\", да намерите директорията "Sanboxie" - щракнете върху намерената папка с левия бутон на мишката и задръжте Shift + Delete, за да деинсталирате обекта, без да го премествате в " Кошче".
11. Сега трябва да задържите комбинацията Win + E и от прозореца „Explorer“ отидете на „Този ​​компютър“ - „Local Disk C“, изберете директорията „Потребители“, отидете в папката на текущия потребител, който е инсталирал помощната програма на вашия компютър, изберете скритата папка „ appdata“.
12. Ако посочената директория не се показва, тогава трябва да щракнете върху инструмента "Преглед", разположен в горната част на "Explorer" и да изберете "Опции".
13. Прозорецът „Опции на папката“ ще се отвори, отидете на втория раздел, наречен „Изглед“, превъртете до най-долната част на екрана до секцията „Скрити файлове и папки“ и поставете отметка в квадратчето „Показване на скрити файлове ...“. Кликнете върху „Прилагане“ и затворете „Опции на папката“.
    
14. Отидете на AppData: в посочената директория има папки с имена "Local", "LocalLow" и "Roaming" - проверете дали в тези папки няма файлове с име "Sandboxie". Ако бъдат намерени такива обекти, изберете ги и ги изтрийте с помощта на командата Shift + Delete.
15. Върнете се към локалния диск "C" и проверете скритата папка "ProgramData" - тя не трябва да съдържа файлове, свързани с отдалечената програма.
16. Сега трябва да отидете в прозореца "Редактор на системния регистър". Можете да направите това с помощта на менюто "PowerShell (администратор)" - щракнете с десния бутон върху бутона "Старт" и отидете на съответната конзола.
17. Запазете текущото състояние на системния регистър, като използвате опцията "Експортиране ...", която се намира в менюто "Файл". Посочете името на запазения рег-файл и папка. Посочете диапазона за експортиране - "Цял регистър". В бъдеще ще бъде възможно възстановяването на системния регистър от посочения файл (в случай на проблеми след ръчно почистване на системния регистър).
    
18. В прозореца на конзолата въведете паролата "regedit" без кавички, "Enter".
19. Ще се отвори инструментът "Редактор на системния регистър" - задръжте натиснат комбинацията Ctrl + F, въведете името на отдалечената "пясъчна кутия" в лентата за търсене и след това щракнете върху "Намиране на следващия".
20. След няколко секунди мониторът ще покаже първия ключ на системния регистър, който е останал след изтритото приложение. Щракнете двукратно върху обекта с левия бутон на мишката и проверете клетката "Стойност" - тя трябва да съдържа препратка към "Пясъчния бокс".
21. За да почистите системния регистър от намерения файл или папка, щракнете с десния бутон върху обекта и инициирайте деинсталирането, като използвате опцията "Изтриване". Потвърдете действието си, като щракнете върху „Да“. Преминете към следващия запис, като натиснете "F3".
    
22. Повторете операцията по търсене и изтриване на ключове, докато на екрана се покаже съобщението „Търсене в системния регистър е завършено“.
23. За рестартиране на компютър.

Можете също да използвате една от наличните помощни програми за деинсталиране, за да премахнете Sandboxie от вашия компютър. Специално за това приложение, CCleaner, RevoUninstaller, както и Reg Organizer, цялостен инструмент за почистване на системния регистър, са най-подходящи.

Помислете за механизма за деинсталиране във всяка от тези програми.

CCleaner

За да деинсталирате с помощта на този безплатен софтуер, трябва да изпълните следните стъпки:

Revo Uninstaller

За да премахнете Sandbox в Revo Uninstaller, ще трябва да извършите следните манипулации:

Организатор на регистрация

След като премахнете програмите, ще трябва да оптимизирате системния регистър. Помощната програма Reg Organizer, която може да бъде изтеглена от официалния уебсайт, се справя най-добре с тази задача. За да оптимизирате регистъра, ще ви трябва:

Има два основни начина за безопасно стартиране на подозрителен изпълним файл: под виртуална машина или в така наречената "пясъчна кутия" (sandbox). Освен това последният може да бъде адаптиран с помощта на елегантен начин за онлайн анализ на файлове, без да се прибягва до специализирани помощни програми и онлайн услуги и без да се използват много ресурси, какъвто е случаят с виртуална машина. Искам да ви разкажа за него.

ВНИМАНИЕ

Неправилното използване на описаната техника може да навреди на системата и да доведе до инфекция! Бъдете внимателни и внимателни.

"Пясъчник" за анализ

Хората, които се занимават с компютърна сигурност, са много запознати с понятието "пясъчник". Накратко, пясъчната среда е тестова среда, в която се изпълнява определена програма. В същото време работата е организирана по такъв начин, че всички действия на програмата се наблюдават, всички променени файлове и настройки се запазват, но нищо не се случва в реалната система. Като цяло можете да стартирате всякакви файлове с пълна увереност, че това няма да повлияе на производителността на системата по никакъв начин. Такива инструменти могат да се използват не само за гарантиране на сигурността, но и за анализиране на действията на зловредния софтуер, който извършва след стартирането му. Все пак, ако има кастинг на системата преди началото на активните операции и снимка на случилото се в "пясъчния прозорец", можете лесно да проследите всички промени.

Разбира се, в мрежата има много готови онлайн услуги, които предлагат анализ на файлове: Anubis, CAMAS, ThreatExpert, ThreatTrack. Такива услуги използват различни подходи и имат своите предимства и недостатъци, но могат да бъдат идентифицирани общите основни недостатъци:

Трябва да имате достъп до интернет. Необходимо е да се изчака опашката в процеса на обработка (в безплатни версии). Обикновено файловете, които се създават или променят по време на изпълнение, не се предоставят. Не може да се контролират опциите за изпълнение (в безплатни версии). Невъзможно е да се намеси в процеса на стартиране (например щракнете върху бутоните на прозорците, които се появяват). По принцип не е възможно да се предоставят специфичните библиотеки, необходими за изпълнение (в безплатните версии). Като правило се анализират само изпълними PE файлове.

Такива услуги най-често се изграждат на базата на виртуални машини с инсталирани инструменти, до дебъггери на ядрото. Те могат да бъдат организирани и у дома. Тези системи обаче са доста взискателни към ресурси и заемат голямо количество място на твърдия диск, а анализът на регистрационните файлове за отстраняване на грешки отнема много време. Това означава, че те са много ефективни за задълбочено изследване на определени проби, но е малко вероятно да бъдат полезни при рутинна работа, когато няма начин да се заредят системните ресурси и да се губи време за анализ. Използването на "пясъчния бокс" за анализ ви позволява да правите без огромни разходи за ресурси.

Няколко предупреждения

Днес ще се опитаме да направим наш собствен анализатор, базиран на пясъчник, а именно помощната програма Sandboxie. Тази програма е достъпна като Shareware на уебсайта на автора www.sandboxie.com. За нашето проучване ограничената безплатна версия е доста подходяща. Програмата изпълнява приложения в изолирана среда, така че да не правят злонамерени промени в реалната система. Но тук има два нюанса:

1. Sandboxie ви позволява само да проследявате програми на ниво потребителски режим. Цялата активност на злонамерен код в режим на ядрото не се проследява. Следователно максимумът, който може да се научи при изучаване на руткити, е как зловредният софтуер се въвежда в системата. За съжаление е невъзможно да се анализира самото поведение на ниво режим на ядрото.
2. В зависимост от настройките, Sandboxie може да блокира достъпа до мрежата, да разреши пълен достъп или достъп само за определени програми. Ясно е, че ако зловредният софтуер има нужда от достъп до интернет за нормално стартиране, той трябва да бъде осигурен. От друга страна, ако на флашката ви лежи Pinch, който се стартира, събира всички пароли в системата и ги изпраща на ftp на нападател, тогава Sandboxie с отворен достъп до Интернет няма да ви предпази от загуба на поверителна информация! Това е много важно и трябва да се помни.

Първоначална настройка на пясъчната среда

Sandboxie е страхотен инструмент с много опции за персонализиране. Ще спомена само онези от тях, които са необходими за нашите задачи.

След инсталиране на Sandboxie автоматично се създава една пясъчна кутия. Можете да добавите още няколко "пясъчни кутии" за различни задачи. Достъпът до настройките на пясъчната среда се осъществява чрез контекстното меню. Като правило всички параметри, които могат да бъдат променени, са снабдени с доста подробно описание на руски език. Опциите, изброени в разделите Възстановяване, Деинсталиране и Ограничения, са особено важни за нас. Така:

1. Трябва да се уверите, че нищо не е посочено в секцията „Възстановяване“.
2. В секцията „Премахване“ не трябва да има маркирани квадратчета за отметка и/или добавени папки и програми. Ако параметрите са зададени неправилно в секциите, посочени в параграфи 1 и 2, това може да доведе до факта, че злонамерен код заразява системата или всички данни за анализ се унищожават.
3. В секцията "Ограничения" трябва да изберете настройките, които отговарят на вашите задачи. Почти винаги е необходимо да се ограничи достъпът на ниско ниво и използването на хардуер до всички работещи програми, за да се предотврати заразяването на системата с руткити. Но напротив, не трябва да ограничавате достъпа до стартиране и изпълнение, както и да отнемате права, в противен случай подозрителният код ще бъде изпълнен в нестандартна среда. Всичко обаче, включително наличието на достъп до интернет, зависи от задачата.
4. За по-голяма яснота и удобство в секцията „Поведение“ се препоръчва да активирате опцията „Показване на рамката около прозореца“ и да изберете цвят за подчертаване на програмите, работещи в ограничена среда.

Свързваме плъгини

С няколко щраквания получихме отлична изолирана среда за безопасно изпълнение на кода, но не и инструмент за анализ на неговото поведение. За щастие, авторът на Sandboxie е предоставил възможността за използване на редица плъгини за своята програма. Концепцията е доста интересна. Добавките са динамични библиотеки, които са вградени в пясъчник процес и регистрират или променят изпълнението му по определен начин.

Ще ни трябват няколко плъгина, които са изброени по-долу.

1. SBIExtra. Този плъгин прихваща редица функции за програма, работеща в пясъчна среда, за да блокира следните функции:
   • преглед на изпълними процеси и нишки;
   • достъп до процеси извън пясъчника;
   • извикване на функцията BlockInput (въвеждане от клавиатура и мишка);
   • четене на заглавията на активните прозорци.
2. Антидел. Добавката прихваща функциите, отговорни за изтриването на файлове. По този начин всички временни файлове, командата за изтриване на която идва от изходния код, все още остават на местата си.

Как да ги интегрирате в пясъчника? Тъй като това не се предоставя от интерфейса на Sandboxie, ще трябва да редактирате конфигурационния файл ръчно. Създайте папка Plugins и разопаковайте всички подготвени плъгини в нея. Сега внимание: Buster Sandbox Analyzer включва няколко библиотеки с общо име LOG_API*.dll, които могат да бъдат инжектирани в процеса. Има два типа библиотеки: многословни и стандартни. Първият показва почти пълен списък с API повиквания, направени от програмата, включително достъп до файлове и регистър, вторият е съкратен списък. Свиването ви позволява да ускорите работата и да намалите дневника, който след това трябва да бъде анализиран. Лично аз не се страхувам от големи логове, но се страхувам, че част от необходимата информация ще бъде внимателно „намалена“, затова избирам Verbose. Именно тази библиотека ще инжектираме. За да предотвратим зловредния софтуер да открие инжектирането на библиотека по нейното име, ще приложим най-простата предпазна мярка: променете името LOG_API_VERBOSE.dll на нещо друго, например LAPD.dll.

Сега в главния прозорец на Sandboxie изберете "Конфигуриране -> Редактиране на конфигурация". Ще се отвори текстова конфигурация с всички настройки на програмата. Обърнете внимание на следните редове:

• Параметърът FileRootPath в секцията посочва общия път към папката на пясъчната среда, която е папката, в която ще се намират всички файлове в пясъчната среда. За мен този параметър изглежда като FileRootPath=C:\Sandbox\%SANDBOX%, може да се различава за вас.
• Разделът не ни интересува - пропускаме го и превъртаме по-нататък.
• След това идва раздел, чието име е същото като името на пясъчника (нека е BSA). Тук ще добавим плъгини: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пътищата, разбира се, могат да се различават. Но редът на инжектираните библиотеки трябва да е точно такъв! Това изискване се дължи на факта, че прихващането на функциите трябва да се извършва в посочения ред, в противен случай плъгините няма да работят. За да приложите промените, изберете в главния прозорец на Sandboxie: "Конфигуриране -> Презареждане на конфигурацията".

Сега нека конфигурираме самия плъгин Buster Sandbox Analyzer.

1. Стартирайте приставката ръчно, като използвате файла bsa.exe от папката Plugins.
2. Изберете "Опции -> Режим на анализ -> Ръчно" и след това "Опции -> Опции на програмата -> Интеграция на Windows Shell -> Добавяне на действие с десния бутон "Изпълни BSA"".

Сега всичко е готово за работа: нашата "пясъчна кутия" е интегрирана в системата.

Преносима версия на пясъчника

Разбира се, мнозина няма да харесат факта, че трябва да инсталирате нещо, да конфигурирате и т.н. Тъй като всичко това също не ме харесва, направих преносима версия на инструмента, която може да се стартира без инсталация и конфигурация, директно от Флашка. Можете да изтеглите тази версия тук: tools.safezone.cc/gjf/Sandboxie-portable.zip. За да стартирате пясъчната кутия, достатъчно е да изпълните скрипта start.cmd и в края на работата не забравяйте да изпълните скрипта stop.cmd, който напълно ще разтовари драйвера и всички компоненти от паметта, а също и ще запази промените, направени по време на работа в портативния.

Няма много настройки за самия portablizer: работата му се основава основно на манипулиране на файла Sandboxie.ini.template, намиращ се в папката Templates. Всъщност този файл е файл с настройки на Sandboxie, който е правилно обработен и прехвърлен в програмата и когато приключи, се презаписва обратно в шаблони. Ако отворите този файл с Notepad, тогава е малко вероятно да намерите нещо интересно. Не забравяйте да обърнете внимание на модела $(InstallDrive), повтарян в редица параметри на пътя. Особено се интересуваме от параметъра FileRootPath. Ако изглежда така:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

След това ще бъдат създадени пясъчници на диска, където се намира преносимият Sandboxie. Ако параметърът изглежда така, например:

FileRootPath=C:\Sandbox\%SANDBOX%

С други думи, той посочва конкретно системно устройство, след което на това устройство ще бъдат създадени пясъчни кутии.

Лично аз препоръчвам винаги да създавате пясъчни кутии на локални дискове. Това ускорява работата на инструмента и при стартиране от USB флаш устройство се ускорява с порядък. Ако сте толкова параноични, че искате да бягате и анализирате всичко на любимите си медии, които носите на сърцето си, тогава можете да промените параметъра, но след това поне да използвате преносими твърди дискове, така че всичко да не спира безбожно.

Практическа употреба

Нека изпробваме нашия инструмент върху реална заплаха. За да не ме упрекне никой за фалшифициране, направих просто нещо: отидох на www.malwaredomainlist.com и изтеглих най-новото, което се появи там по време на писането. Оказа се хубав pp.exe файл от някакъв заразен сайт. Самото име вдъхва големи надежди, освен това моята антивирусна програма веднага изкрещя на този файл. Между другото, всички наши манипулации се извършват най-добре при изключена антивирусна програма, в противен случай рискуваме да блокираме/изтрием нещо от това, което изследваме. Как да изучаваме поведението на двоичен файл? Просто щракнете с десния бутон върху този файл и изберете Run BSA от падащото меню. Отваря се прозорецът Buster Sandbox Analyzer. Внимателно разглеждаме реда папка Sandbox, за да проверим. Всички параметри трябва да съвпадат с тези, които сме посочили при настройката на Sandboxie, тоест ако пясъчната кутия е с име BSA и параметърът FileRootPath=C:\Sandbox\%SANDBOX% е зададен като път към папката, тогава всичко трябва да бъде както на екранна снимка. Ако знаете много за извращенията и сте кръстили пясъчната кутия по различен начин или зададете параметъра FileRootPath на друго устройство или папка, трябва да го промените съответно. В противен случай Buster Sandbox Analyzer няма да знае къде да търси нови файлове и промени в системния регистър.

BSA включва много настройки за анализиране и изучаване на процеса на бинарно изпълнение, до прихващане на мрежови пакети. Чувствайте се свободни да натиснете бутона Старт на анализа. Прозорецът ще премине в режим на анализ. Ако пясъчната кутия, избрана за анализ по някаква причина, съдържа резултатите от предишно проучване, помощната програма ще предложи първо да я изчисти. Всичко е готово за стартиране на разследвания файл.

Готов? След това щракнете с десния бутон върху изследвания файл и изберете "Изпълнение в пясъчна среда" в менюто, което се отваря, след което посочете "пясъчния прозорец", към който сме прикрепили BSA.

Веднага след това в прозореца на анализатора ще се изпълняват API повиквания, които ще бъдат записани в регистрационни файлове. Моля, имайте предвид, че самият Buster Sandbox Analyzer не знае кога анализът на процеса ще бъде завършен, всъщност щракването ви върху бутона Finish Analysis служи като сигнал за края. Как да разберете кога е дошло времето? Възможно е да има две опции.

1. В прозореца на Sandboxie не се показва работещ процес. Това означава, че изпълнението на програмата е изрично прекратено.
2. Нищо ново не се появява в списъка с извиквания на API за дълго време или, обратно, едно и също нещо се показва в циклична последователност. В същото време в прозореца на Sandboxie работи нещо друго. Това се случва, ако програмата е конфигурирана за резидентно изпълнение или просто увисне. В този случай първо трябва да бъде прекратен ръчно, като щракнете с десния бутон върху съответната пясъчна кутия в прозореца на Sandboxie и изберете Крайни програми. Между другото, когато анализирах моя pp.exe, се случи точно тази ситуация.

След това можете безопасно да изберете Finish Analysis в прозореца на Buster Sandbox Analyzer.

Анализ на поведението

Като щракнете върху бутона Malware Analyzer, веднага ще получим някаква обобщена информация за резултатите от изследването. В моя случай злонамереността на файла беше доста очевидна: по време на изпълнението беше създаден и стартиран файлът C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, който беше добавен към автоматично зареждане (между другото, той беше ли той, който не искаше да се прекрати), беше направена връзка с 190.9.35.199 и файлът hosts беше променен. Между другото, в същото време само пет антивирусни двигателя откриха файла на VirusTotal, както се вижда от логовете, както и от уебсайта на VirusTotal.

Цялата информация за резултатите от анализа може да бъде достъпна директно от менюто Viewer в прозореца на Buster Sandbox Analyzer. Регистърът на повикванията на API също е сгушен тук, което със сигурност ще бъде полезно при подробно проучване. Всички резултати се съхраняват като текстови файлове в подпапката Reports на папката Buster Sandbox Analyzer. Особен интерес представлява отчетът Report.txt (наричан чрез View Report), който предоставя разширена информация за всички файлове. От там научаваме, че временните файлове всъщност са били изпълними, връзката е отишла до http://190.9.35.199/view.php?rnd=787714, злонамереният софтуер е създал специфичен мютекс G4FGEXWkb1VANr и т.н. Не можете само да видите отчети, но и извличане на всички файлове, създадени по време на изпълнение. За да направите това, в прозореца на Sandboxie щракнете с десния бутон върху "пясочницата" и изберете "Преглед на съдържанието". Ще се отвори прозорец на Explorer с цялото съдържание на нашата пясъчна среда: папката на устройството съдържа файлове, създадени на физическите дискове на пясъчната среда, а потребителската папка съдържа файлове, създадени в активния потребителски профил (% потребителски профил%). Тук намерих dplaysvr.exe с библиотека dplayx.dll, временни tmp файлове и модифициран файл с хостове. Между другото, се оказа, че към него са добавени следните редове:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Имайте предвид, че заразените файлове лежат наоколо в пясъчника. Ако случайно ги стартирате с двойно щракване, нищо няма да се случи (ще се стартират в пясъчника), но ако ги копирате някъде и след това ги изпълните ... хм, добре, схванахте идеята. Тук, в папката, можете да намерите дъмп на системния регистър, който е променен по време на работа, под формата на RegHive файл. Този файл може лесно да бъде преведен в по-четлив .reg файл с помощта на следния команден скрипт:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Какво може и какво не може да направи инструментът

Полученият инструмент може:

• Проследяване на API повиквания на работещо приложение.
• Наблюдавайте новосъздадените файлове и настройките на системния регистър.
• Улавяйте мрежовия трафик, когато приложението работи.
• Извършване на основен анализ на файловете и тяхното поведение (вграден поведенчески анализатор, анализ на VirusTotal по хешове, анализ с помощта на PEiD, ExeInfo и ssdeep и др.).
• Получете допълнителна информация, като стартирате помощни програми (например Process Monitor) в "пясъчния прозорец" заедно с анализираната.

Този инструмент не може:

• Анализирайте зловреден софтуер, работещ в режим на ядрото (изисква инсталиране на драйвер). Възможно е обаче да се идентифицира механизмът за инсталиране на драйвера (преди действително да бъде внедрен в системата).
• Анализирайте зловреден софтуер, който следи изпълнението в Sandboxie. Въпреки това, Buster Sandbox Analyzer включва редица механизми за предотвратяване на такова проследяване.

Така ще получите sandbox.reg, който съдържа редовете, въведени от зловредния софтуер по време на неговото изпълнение. След като извършите анализа, изберете елемента Отмяна на анализа от менюто Опции, за да върнете всичко както беше. Моля, имайте предвид, че след тази операция всички регистрационни файлове за анализ ще бъдат изтрити, но съдържанието на пясъчната кутия ще остане на мястото си. Въпреки това, следващия път, когато стартирате самата програма ще предложи да изтриете всичко.

Интернет е пълен с вируси. Те могат да бъдат маскирани като полезни програми или дори да бъдат вградени в желана работеща програма. (Доста често се среща в хакнати програми, така че хакнатите програми трябва да се третират с недоверие, особено ако изтегляте от подозрителни сайтове). Така че сте инсталирали програма и нещо друго беше поставено в компютъра ви като бонус (в най-добрия случай програми за скрито сърфиране или миньори), а в най-лошия - воини, бекдори, крадци и други мръсни трикове.

Има 2 опции, ако не вярвате на файла.
- Стартиране на вирус в пясъчна кутия
- Използване на виртуални машини

В тази статия ще разгледаме първия вариант - пясъчник за прозорци.

Пясъчният прозорец за Windows е чудесна възможност за работа със подозрителни файлове, ще разгледаме как да започнете да използвате пясъчника.
Ако използвате антивирусни програми, пясъчните кутии често вече са вградени в тях. Но аз не харесвам тези неща и мисля, че е най-добре да изтеглите пясъчника от www.sandboxie.com.

Програмата ви позволява да стартирате файл в специално определена зона, отвъд която вирусите не могат да избягат и да навредят на вашия компютър.

Можете да изтеглите програмата безплатно. Но след 2 седмици употреба ще се появи знак за офертата за закупуване на абонамент, когато го включите и програмата може да бъде стартирана след няколко секунди. Но програмата все още остава доста функционална. Инсталацията няма да предизвика затруднения. А самият интерфейс е доста прост.

По подразбиране програмата ще се стартира автоматично, когато включите компютъра си. Ако програмата работи, ще се появи икона в тавата. Ако не, трябва да стартирате Start-All Programs-Sandboxie-Manage sandboxie.
Най-лесният начин да стартирате програма в пясъчната кутия е да щракнете с десния бутон върху стартиращия файл или върху пряк път на желаната програма и в менюто ще видите надписа "Изпълни в пясъчната кутия" щракнете и стартирайте. Изберете желания профил, в който да стартирате, и щракнете върху OK. Всичко, необходимата програма работи в безопасна среда и вирусите няма да излязат от пясъчника.

Внимание: някои заразени програми не позволяват работа в пясъчни кутии и виртуални машини, което ги принуждава да работят директно. Ако срещнете такава реакция, най-доброто нещо, което трябва да направите, е да изтриете файла, в противен случай стартирайте на свой собствен риск и риск

.

Ако стартирането в пясъчната кутия не се появи в контекстното меню (чрез щракване с десен бутон), отидете в прозореца на програмата, изберете Конфигуриране - Интегриране в Windows Explorer - и поставете отметка в двете квадратчета под "Действия - стартирайте в пясъчната кутия.

Можете да създадете различни пясъчници. За да направите това, щракнете върху Sandbox - създайте пясъчна кутия и напишете името на новата. Можете също да изтриете стари в секцията пясъчна кутия (препоръчително).

Няма какво повече да се има предвид в програмата. В крайна сметка искам да кажа - Погрижете се за вашите данни и вашия компютър!Докато се срещнем отново

Подобни публикации:

Изтриване на несменяеми файлове на компютъра Виртуална машина на Windows. Преглед на програмата и настройка Windows 10 деактивира проследяването

Затова решихме да засегнем накратко тази тема.

По същество "пясъчният бокс" е изолирана софтуерна среда със строго ограничени ресурси за изпълнение на програмен код (просто казано, изпълнение на програми) в тази среда. По някакъв начин „пясъчният бокс“ е толкова съкратен, предназначен да изолира съмнителни процеси за целите на сигурността.

Някои от добрите антивирусни програми и защитни стени (въпреки че по правило в тяхната платена версия) използват този метод без ваше знание, някои ви позволяват да управлявате тази функционалност (защото все пак създава прекомерна консумация на ресурси), но има и програми, които позволяват реализира подобна функционалност.

За един от тях ще говорим днес.

За съжаление, това е shareware, но същият безплатен период ще ви помогне да опознаете по-добре този тип инструменти, което може би ще ви подтикне към по-подробно проучване в бъдеще, което в по-голямата си част съществува безплатно и предоставя повече функции..

Можете да изтеглите Sandboxie от или, да речем, . Инсталацията е почти елементарна, с изключение на момента, в който трябва да инсталирате драйвера (вижте екранната снимка по-долу).

На този етап е по-добре да деактивирате всички защитни елементи (т.е. същите антивирусни програми и защитни стени), в противен случай, ако тази стъпка не успее и компютърът замръзне, рестартира се или влезе в режим, може да се наложи да стартирате в безопасен режим и да премахнете програма без възможност за по-нататъшно използване.

След инсталацията всъщност програмата трябва да бъде стартирана. Възможно е да срещнете известието, показано по-горе. Няма нищо лошо в това, просто щракнете върху "OK".

След това ще ви бъде предложено да преминете кратък курс за работа с програмата или по-скоро ще ви разкажат малко за това как работи. Преминете през всичките шест етапа, за предпочитане като прочетете внимателно написаното в предоставените ви инструкции.

Накратко, всъщност можете да стартирате всяка програма в изолирана среда. В инструкциите, ако сте го прочели, е дадена доста добре метафора по темата, че всъщност пясъчникът е парче прозрачна хартия, поставена между програмата и компютъра, и изтриването на съдържанието на пясъчника е донякъде подобно до изхвърляне на използван лист хартия и съдържанието му с, което е логично, последваща замяна с нов.

Как да настроите и използвате пясъчната програма

Сега нека се опитаме да разберем как да работим с него. Като за начало можете да опитате да стартирате, да речем, браузър в пясъчна кутия. За да направите това, всъщност или използвайте пряк път, който се появи на работния плот, или използвайте елементите от менюто в главния прозорец на програмата: " DefaultBox - Стартиране в пясъчна среда - Стартиране на уеб браузър", или ако искате да стартирате браузър, който не е инсталиран като браузър по подразбиране в системата, тогава използвайте " Пуснете всяка програма" и посочете пътя към браузъра (или програмата).

След това всъщност браузърът ще бъде стартиран в "пясъчния прозорец" и ще видите неговите процеси в прозореца на Sandboxie. От този момент нататък всичко, което се случва, се случва в, както многократно е казано, изолирана среда и, например, вирус, който използва кеша на браузъра като елемент за проникване в системата, всъщност няма да може да правете каквото и да е, защото след приключване на работата с изолираната среда .. Можете да го почистите, като изхвърлите, както се казва в метафората, написания лист и преминете към нов (без да докосвате целостта на компютъра като такъв) .

За да изчистите съдържанието на пясъчната кутия (ако не ви трябва), в главния прозорец на програмата или в тавата (това е мястото, където часовникът и други икони) използвайте елемента " DefaultBox - Премахване на съдържание".

Внимание! Ще бъде изтрита само частта, която е била написана и работила в изолирана среда, тоест, например, самият браузър няма да бъде изтрит от компютъра, а ще бъде прехвърлен към него .. ммм .. относително казано, копие на процеса , създаденият кеш, запазените данни (като изтеглени/създадени файлове) и т.н. ще бъдат изтрити, ако не ги запазите.

За да разберете по-задълбочено принципа на работа, опитайте да стартирате браузъра и друг софтуер в пясъчната кутия няколко пъти, да изтеглите различни файлове и да изтриете/запишете съдържанието след приключване на работата с тази пясъчна кутия и след това, например, да стартирате същия браузър или програма, които вече са директно на компютъра. Повярвайте ми, на практика ще разберете същността по-добре, отколкото може да се обясни с думи.

Между другото, като щракнете с десния бутон на мишката върху процес в списъка с процеси на прозореца Sandboxie, можете да контролирате достъпа до различни видове компютърни ресурси, заобикаляйки пясъчната кутия, като изберете " Достъп до ресурси".

Грубо казано, ако искате да рискувате и да дадете например на същия Google Chrome директен достъп до всяка папка на вашия компютър, тогава можете да направите това в съответния раздел ( Достъп до файлове - Директен/пълен достъп) с помощта на бутона Добавяне.

Логично е, че пясъчната кутия е предназначена не само и не толкова за работа с браузъра и разглеждане на всякакви съмнителни сайтове, но и за стартиране на приложения, които ви се струват подозрителни (особено например на работа (където често), стартирайте съмнителни файлове от поща или флаш памети) и/или не трябва да имате достъп до основните ресурси на компютъра и/или да оставяте ненужни следи там.

Между другото, последното може да бъде добър елемент за защита, тоест за стартиране на всяко приложение, чиито данни трябва да бъдат напълно изолирани и изтрити след приключване на работата.

Разбира се, не е необходимо да изтривате данните от пясъчната кутия след завършване и да работите с някои програми само в изолирана среда (напредъкът се запомня и има възможност за бързо възстановяване), но от вас зависи да направите това или не.

Когато се опитате да стартирате някои програми, може да срещнете горния проблем. Не се страхувайте от това, достатъчно е за начало просто да щракнете върху „OK“ и в бъдеще отворете настройките на пясъчната кутия с помощта на „ DefaultBox - Настройки на пясъчната кутия" и в раздела " Прехвърляне на файлове" задайте малко по-голям размер за опцията за прехвърляне на файлове.

Сега няма да говорим за други настройки, но ако те представляват интерес за вас, тогава можете лесно да се справите с тях сами, тъй като всичко е на руски, е изключително ясно и достъпно .. Е, ако имате някакви въпроси, вие можете да ги попитате в коментарите към този запис.

На SIM, може би, можете да преминете към послеслова.

Послеслов

О, да, почти забравихме, разбира се, че пясъчната кутия консумира увеличено количество машинни ресурси, защото отхапва (виртуализира) част от капацитета, което, разбира се, създава натоварване, което е различно от директното стартиране. Но логично сигурността и/или поверителността може да си заслужават.

Между другото, използването на sandboxing, chrooting или виртуализация е отчасти свързано с методологията за сигурност без антивируси, която ние .

На SIM, може би всичко. Както винаги, ако имате въпроси, мисли, допълнения и така нататък, добре дошли да коментирате тази публикация.

Можете безкрайно да гледате огъня, водата и активността на програми, изолирани в пясъчника. Благодарение на виртуализацията, с едно щракване можете да изпратите резултатите от тази дейност - често несигурна - в забвение.

Виртуализацията обаче се използва и за изследователски цели: например искате да контролирате въздействието на прясно компилирана програма върху системата или да стартирате две различни версии на приложение едновременно. Или създайте самостоятелно приложение, което няма да остави никакви следи в системата. Има много опции за използване на пясъчника. Не програмата диктува своите условия в системата, а вие й показвате пътя и разпределяте ресурси.

Ако не сте доволни от бавността на процеса, с помощта на инструмента ThinApp Converter можете да поставите виртуализация в поток. Инсталаторите ще бъдат създадени въз основа на зададената от вас конфигурация.

Като цяло разработчиците съветват всички тези препарати да се произвеждат при стерилни условия, на нова операционна система, така че да се вземат предвид всички нюанси на инсталацията. За тези цели можете да използвате виртуална машина, но, разбира се, това ще остави своя отпечатък върху скоростта на работа. VMware ThinApp вече натоварва силно системните ресурси и то не само в режим на сканиране. Въпреки това, както се казва, бавно, но сигурно.

Буферна зона

• уебсайт: www.trustware.com
• Разработчик:надежден софтуер
• Разрешително:безплатен софтуер

BufferZone контролира интернет и софтуерната активност на приложенията, използвайки виртуална зона, близо до защитните стени. С други думи, той използва виртуализация, управлявана от правила. BufferZone работи безпроблемно с браузъри, незабавни месинджъри, имейл и P2P клиенти.

По време на писането на тази статия разработчиците предупредиха за възможни проблеми при работа с Windows 8. Програмата може да убие системата, след което ще трябва да бъде изтрита чрез безопасен режим. Това се дължи на драйверите на BufferZone, които влизат в сериозен конфликт с операционната система.

Това, което попада под радара BufferZone, може да бъде проследено в основния раздел Резюме. Вие сами определяте броя на ограничените приложения: за това е предназначен списъкът с програми за изпълнение в BufferZone. Той вече включва потенциално опасни приложения като браузъри и имейл клиенти. Около прозореца на заснетото приложение се появява червена рамка, която ви дава увереност за безопасно сърфиране. Ако искате да работите извън зоната - няма проблем, контролът може да бъде заобиколен през контекстното меню.

В допълнение към виртуалната зона има такова нещо като частна зона. Можете да добавяте към него сайтове, които изискват най-строга конфиденциалност. Веднага трябва да се отбележи, че функцията работи само в ретро версиите на Internet Explorer. По-модерните браузъри имат вградени инструменти за анонимизиране.

В секцията Политика политиката се конфигурира по отношение на инсталатори и актуализации, както и програми, стартирани от устройства и мрежови източници. Вижте също Разширени опции на политиката в Конфигурации. Има шест нива на контрол, в зависимост от това, което се променя отношението на BufferZone към програмите: без защита (1), автоматично (2) и полуавтоматично (3), известия за стартиране на всички (4) и неподписани програми (5 ), максимална защита (6) .

Както можете да видите, стойността на BufferZone е пълен интернет контрол. Ако имате нужда от по-гъвкави правила, тогава всяка защитна стена ще ви помогне. BufferZone също го има, но повече за показ: той ви позволява да блокирате приложения, мрежови адреси и портове. От практическа гледна точка не е много удобно за активен достъп до настройките.

Evalaze

• уебсайт: www.evalaze.de/en/evalaze-oxid/
• Разработчик: Dogel GmbH
• Разрешително:безплатен/комерсиален (€2142)

Основната характеристика на Evalaze е гъвкавостта на виртуализираните приложения: те могат да се изпълняват от преносим носител или от мрежова среда. Програмата ви позволява да създавате напълно самостоятелни дистрибуции, които работят в емулирана файлова система и среда на системния регистър.

Основната характеристика на Evalaze е лесен за употреба съветник, който е разбираем, без да четете ръководството. Първо, правите изображение на операционната система, преди да инсталирате програмата, след това я инсталирате, правите тестово стартиране и я конфигурирате. След това, следвайки съветника Evalaze, анализирате промените. Той е много подобен на принципа на работа на деинсталаторите (например Soft Organizer).

Виртуализираните приложения могат да работят в два режима: в първия случай операциите по запис се пренасочват към пясъчната кутия, във втория случай програмата ще може да пише и чете файлове в реалната система. Дали програмата ще изтрие следи от своите дейности или не зависи от вас, опцията Delete Old Sandbox Automatic е на ваше разположение.

Много интересни функции са налични само в комерсиалната версия на Evalaze. Сред тях - редактиране на елементи на средата (като файлове и ключове на системния регистър), импортиране на проекти, настройка на режима на четене. Лицензът обаче струва повече от две хиляди евро, което, виждате, е малко по-високо от психологическата ценова бариера. На подобна непосилна цена се предлага използването на онлайн услуга за виртуализация. За утеха в сайта на разработчика има предварително направени виртуални примерни приложения.

камейо

• уебсайт: www.cameyo.com
• Разработчик:камейо
• Разрешително:безплатен софтуер

Беглото разглеждане на Cameyo предполага, че функциите са подобни на Evalaze и можете да „заслепите“ дистрибуторски комплект с виртуализирано приложение с три щраквания. Пакерът прави моментна снимка на системата, сравнява я с промените след инсталиране на софтуера и създава екосистема, която да работи.

Най-важната разлика от Evalaze е, че програмата е напълно безплатна и не блокира никакви опции. Настройките са удобно концентрирани: превключване на метода на виртуализация със записване на диск или памет, избор на режим на изолация: запис на документи в определени директории, забрана на запис или пълен достъп. В допълнение към това можете да персонализирате виртуалната среда, като използвате редактора на файлове и ключовете на системния регистър. Всяка папка също има едно от трите нива на изолация, които могат лесно да бъдат отменени.

Можете да посочите как да почистите пясъчната кутия след излизане от офлайн приложението: премахване на следи, без почистване и записване на промени в регистъра във файл. Налична е и интеграция с Explorer и възможност за обвързване към конкретни типове файлове в системата, което дори не е в платените аналози на Cameyo.

Най-интересното обаче не е локалната част на Cameyo, а онлайн пакетът и публичните виртуални приложения. Достатъчно е да посочите URL адреса или да качите инсталатора на MSI или EXE на сървъра, като посочите битността на системата и на изхода ще получите самостоятелен пакет. Отсега нататък той е достъпен под покрива на вашия облак.

Резюме

Sandboxieще бъде най-добрият избор за експерименти в пясъчника. Програмата е най-информативната сред изброените инструменти, има функция за наблюдение. Широка гама от настройки и добри опции за управление на група приложения.

Той няма уникални функции, но е много прост и безпроблемен. Интересен факт: статията е написана вътре в тази „пясъчна кутия“ и поради злощастна грешка всички промени отидоха в „сянка“ (четете: астрален). Ако не беше Dropbox, на тази страница щеше да бъде публикуван съвсем различен текст - най-вероятно от друг автор.

Evalazeпредлага не сложен подход за виртуализация, а индивидуален: вие контролирате стартирането на конкретно приложение, като създавате условия за изкуствено местообитание за това. Тук има предимства и недостатъци. Въпреки това, като се вземе предвид ограничеността на безплатната версия на Evalaze, достойнството ще избледнее в очите ви.

камейоноси определен „облачен“ привкус: приложението може да бъде изтеглено от сайта, качено на USB флаш устройство или Dropbox - това е удобно в много случаи. Вярно е, че това води до асоциации с бързо хранене: не можете да гарантирате за качеството и съответствието на съдържанието с описанието.

Но ако предпочитате да готвите по рецептата, VMware ThinApp- твоят вариант. Това е решение за експерти, които се грижат за всеки нюанс. Набор от уникални функции се допълва от възможностите на конзолата. Можете да конвертирате приложения от командния ред с помощта на конфигурации, скриптове - поотделно и на пакети.

Буферна зонае пясъчна кутия с функция за защитна стена. Този хибрид е далеч от перфектните и актуални настройки, но можете да използвате BufferZone за контрол на интернет активността и приложенията, защита срещу вируси и други заплахи.