Cómo ejecutar un programa en un sandbox. Herramientas para ejecutar aplicaciones en un entorno virtual. Cómo ejecutar un programa en el sandbox

Sandboxie le permite monitorear rápidamente el funcionamiento de las aplicaciones instaladas en su computadora y también es una herramienta de protección proactiva. Para eliminar completamente Sandboxie de cualquier dispositivo, debe utilizar cualquiera de los métodos de desinstalación disponibles.

Sobre el programa

El desarrollador es Ronen Tzur, la aplicación pertenece a la categoría shareware. A partir de enero de 2019, existen dos versiones de la solución de software:

• 26 Estable;
• 27.3 Beta.

Sandbox tiene una interfaz sencilla e intuitiva tanto en inglés como en ruso. La instalación es posible en ordenadores con sistema operativo Windows a partir de la versión 7 y superior. Adecuado para sistemas operativos de 32 y 64 bits. La utilidad tiene el llamado "Sandbox", una herramienta que puede aumentar significativamente el nivel de seguridad de la PC contra amenazas externas: secuestradores de navegador, troyanos, software de phishing y otros programas de la categoría "Badware".

Trabajando en Sandboxy

Para instalarlo es necesario seguir unos sencillos pasos:

Ahora puede comenzar a trabajar en la utilidad, por ejemplo, descargar cualquier software de Internet y verificar la instalación del paquete descargado en busca de virus y software de terceros. Para escanear cualquier “exe” necesitarás realizar los siguientes pasos:

Además de comprobar el software en busca de virus, puede ejecutar cualquier aplicación en su computadora, así como navegadores como Google Chrome, Opera, Mozilla Firefox, Internet Explorer y Yandex.Browser. Para hacer esto, simplemente siga estos sencillos pasos:

Por lo tanto, con la ayuda de este software puede ejecutar cualquier programa en su computadora en un entorno virtual aislado y controlar los procesos en ejecución. En este caso, Sandbox no podrá escribir datos en el registro, acceder a datos del sistema, afectar el rendimiento de la PC, etc.

Desinstalación

Antes de comenzar a desinstalar Sandbox, deberá limpiar los archivos residuales que aparecen durante el funcionamiento del software y obstruyen su PC. Posteriormente, al desinstalar el software, el usuario no tendrá que eliminarlos manualmente. Para limpiar la “basura” es necesario:

Desinstalación estándar

Elimine Sandboxie de su computadora por completo usando el instalador “SandboxieInstall.exe”:

1. Verifique que el programa esté cerrado: vaya al "Administrador de dispositivos" haciendo clic en la combinación Ctrl + Alt + Eliminar, o tocando la combinación Win + R e ingresando el comando "taskmgr" en la ventana "Ejecutar".
2. En el "Administrador de tareas", busque el archivo ejecutable con el nombre de la utilidad que desea eliminar en la pestaña "Procesos", haga clic izquierdo en él y seleccione la opción "Finalizar tarea" en la parte inferior de la pantalla.
   
3. Vaya a la ventana "Inicio" y verifique que el software que se va a desinstalar tenga el estado "Desactivado" y, en consecuencia, no esté en la lista de inicio automático. Para hacer esto, haga clic derecho en el objeto y haga clic en "Desactivar". Si aparece la opción "Habilitar" del menú contextual, entonces todo está bien, puede continuar con el siguiente paso.
4. Mantenga presionada la combinación Win + R e ingrese el código "msconfig", luego haga clic en "Aceptar".
5. En "Configuración del sistema", vaya al menú "Arranque" y marque la casilla frente a la opción "Modo seguro". Asegúrese de hacer clic en "Aplicar" para que los cambios surtan efecto, "Aceptar".
   
6. Los usuarios de la versión 7 del sistema operativo Windows también deberán ir a la pestaña "Inicio" y excluir el software de la lista de inicio automático: haga clic derecho en el nombre del archivo en la lista de aplicaciones de inicio automático y seleccione la función "Desactivar".
7. Reinicie su computadora: iniciará sesión en modo seguro.
8. Ejecute el archivo de instalación “SandboxieInstall.exe” - “Siguiente”. En la lista de opciones, seleccione "Eliminar aplicación" (el nombre de la función puede diferir según la versión del instalador).
9. Se iniciará un proceso automático de eliminación de componentes del programa de la PC, después del cual se recomienda limpiar adicionalmente la computadora de archivos residuales.
   
10. En primer lugar, debe ir a "C:\ProgramFiles\", buscar el directorio "Sanboxie": haga clic izquierdo en la carpeta encontrada y presione Shift + Suprimir para desinstalar el objeto sin moverlo a la "Papelera".
11. Ahora debe mantener presionada la combinación Win + E y desde la ventana "Explorador" ir a "Esta PC" - "Disco local C", seleccionar el directorio "Usuarios", ir a la carpeta del usuario actual que instaló la utilidad. en su computadora, seleccione la carpeta oculta " AppData".
12. Si no se muestra el directorio especificado, debe hacer clic en la herramienta "Ver" ubicada en la parte superior del "Explorador" y seleccionar "Opciones".
13. Se abrirá la ventana "Opciones de carpeta", vaya a la segunda pestaña llamada "Ver", desplácese hasta la parte inferior de la pantalla hasta la sección "Archivos y carpetas ocultos" y marque la casilla "Mostrar archivos ocultos...". Haga clic en "Aplicar" y cierre "Opciones de carpeta".
    
14. Vaya a AppData: en el directorio especificado hay carpetas llamadas “Local”, “LocalLow” y “Roaming”; verifique que no haya archivos llamados “Sandboxie” en estas carpetas. Si se detectan dichos objetos, selecciónelos y elimínelos usando el comando Shift + Eliminar.
15. Regrese a la unidad local "C" y verifique la carpeta oculta "ProgramData"; no debe contener ningún archivo relacionado con el programa remoto.
16. Ahora debe ir a la ventana "Editor del Registro". Esto se puede hacer usando el menú "PowerShell (administrador)": haga clic derecho en el botón "Inicio" y vaya a la consola correspondiente.
17. Guarde el estado actual del registro usando la opción "Exportar...", que se encuentra en el menú "Archivo". Especifique el nombre de la carpeta y el archivo de registro guardados. Especifique el rango de exportación: “Registro completo”. En el futuro, será posible restaurar el registro desde el archivo especificado (en caso de que surjan problemas después de limpiar manualmente el registro).
    
18. En la ventana de la consola, ingrese la frase clave "regedit" sin comillas, "Enter".
19. Se abrirá la herramienta "Editor del Registro": mantenga presionada la combinación Ctrl + F, ingrese el nombre del "sandbox" remoto en la barra de búsqueda y luego haga clic en "Buscar siguiente".
20. Después de un par de segundos, el monitor mostrará la primera clave de registro que queda después de la aplicación eliminada. Haga doble clic en el objeto con el botón izquierdo del mouse y marque la celda "Valor"; debe contener una referencia al "Sandbox".
21. Para borrar el registro de un archivo o carpeta encontrado, debe hacer clic derecho en el objeto e iniciar la desinstalación usando la opción "Eliminar". Confirma tu acción haciendo clic en “Sí”. Vaya a la siguiente entrada presionando "F3".
    
22. Repita la operación de búsqueda y eliminación de claves hasta que aparezca en pantalla el mensaje “Se completó la búsqueda en el registro”.
23. Para reiniciar una computadora.

También puede utilizar una de las utilidades de desinstalación disponibles para eliminar Sandboxie de su computadora. Específicamente para esta aplicación, son los más adecuados CCleaner, RevoUninstaller y la completa herramienta de limpieza del registro Reg Organizer.

Veamos el mecanismo de desinstalación en cada uno de estos programas.

Limpiador

Para desinstalar usando este software gratuito, debe realizar los siguientes pasos:

desinstalador de Revo

Para eliminar Sandbox en Revo Uninstaller, deberá realizar las siguientes manipulaciones:

Organizador de registros

Después de desinstalar programas, deberá optimizar el registro. La utilidad Reg Organizer, que se puede descargar desde el sitio web oficial, es la que mejor hace frente a esta tarea. Para optimizar el registro, necesitará:

Hay dos formas principales de ejecutar de forma segura un archivo ejecutable sospechoso: en una máquina virtual o en el llamado "sandbox". Además, este último se puede adaptar de forma elegante para el análisis operativo de un archivo, sin recurrir a utilidades especializadas ni servicios online y sin utilizar muchos recursos, como es el caso de una máquina virtual. Quiero hablarte de él.

ADVERTENCIA

¡El uso inadecuado de la técnica descrita puede dañar el sistema y provocar una infección! Sea atento y cuidadoso.

Caja de arena para análisis

Las personas que trabajan en seguridad informática están muy familiarizadas con el concepto de sandbox. En resumen, un sandbox es un entorno de prueba en el que se ejecuta un determinado programa. Al mismo tiempo, el trabajo está organizado de tal manera que se monitorean todas las acciones del programa, se guardan todos los archivos y configuraciones modificados, pero no sucede nada en el sistema real. En general, puede ejecutar cualquier archivo con plena confianza de que esto no afectará de ninguna manera el rendimiento del sistema. Estas herramientas se pueden utilizar no sólo para garantizar la seguridad, sino también para analizar las acciones del malware que realiza después del lanzamiento. Por supuesto, si hay una instantánea del sistema antes del inicio de las acciones activas y una imagen de lo que sucedió en el sandbox, puedes rastrear fácilmente todos los cambios.

Por supuesto, hay muchos servicios en línea ya preparados en Internet que ofrecen análisis de archivos: Anubis, CAMAS, ThreatExpert, ThreatTrack. Estos servicios utilizan diferentes enfoques y tienen sus propias ventajas y desventajas, pero también podemos identificar las principales desventajas comunes:

Debe tener acceso a Internet. Debes hacer cola durante el procesamiento (en versiones gratuitas). Normalmente, no se proporcionan los archivos creados o modificados durante la ejecución. No es posible controlar los parámetros de ejecución (en versiones gratuitas). Es imposible interferir con el proceso de inicio (por ejemplo, hacer clic en los botones de las ventanas que aparecen). Generalmente no es posible proporcionar las bibliotecas específicas necesarias para la ejecución (en versiones gratuitas). Como regla general, sólo se analizan archivos PE ejecutables.

Estos servicios suelen crearse sobre la base de máquinas virtuales con herramientas instaladas, incluidos depuradores de kernel. También se pueden organizar en casa. Sin embargo, estos sistemas exigen bastante recursos y ocupan una gran cantidad de espacio en el disco duro, y analizar los registros del depurador lleva mucho tiempo. Esto significa que son muy eficaces para el estudio en profundidad de determinadas muestras, pero es poco probable que sean útiles en el trabajo rutinario, cuando no hay forma de cargar recursos del sistema y perder tiempo en el análisis. El uso de una zona de pruebas para el análisis le permite evitar grandes gastos de recursos.

Un par de advertencias

Hoy intentaremos crear nuestro propio analizador basado en un sandbox, concretamente la utilidad Sandboxie. Este programa está disponible como shareware en el sitio web del autor www.sandboxie.com. Para nuestra investigación, la versión gratuita limitada es bastante adecuada. El programa ejecuta aplicaciones en un entorno aislado para que no realicen cambios maliciosos en el sistema real. Pero aquí hay dos matices:

1. Sandboxie le permite monitorear solo programas en el nivel del modo de usuario. No se supervisa toda la actividad de código malicioso en modo kernel. Por lo tanto, lo máximo que se puede aprender al estudiar los rootkits es cómo se introduce el malware en el sistema. Desafortunadamente, es imposible analizar el comportamiento en sí a nivel del modo kernel.
2. Dependiendo de la configuración, Sandboxie puede bloquear el acceso a Internet, permitir el acceso completo o acceder solo a ciertos programas. Está claro que si el malware necesita acceso a Internet para ejecutarse normalmente, se lo debe proporcionar. Por otro lado, si tiene Pinch en su unidad flash, que se inicia, recopila todas las contraseñas del sistema y las envía a través de ftp a un atacante, entonces Sandboxie con acceso abierto a Internet no lo protegerá de la pérdida de información confidencial. ! Esto es muy importante y conviene recordarlo.

Configuración inicial de Sandboxie

Sandboxie es una gran herramienta con muchas opciones. Mencionaré sólo aquellos que sean necesarios para nuestras tareas.

Después de instalar Sandboxie, se crea automáticamente un sandbox. Puede agregar varias zonas de pruebas más para diferentes tareas. Se accede a la configuración de Sandbox a través del menú contextual. Como regla general, todos los parámetros que se pueden cambiar cuentan con una descripción bastante detallada en ruso. Los parámetros enumerados en las secciones "Recuperación", "Eliminación" y "Restricciones" son especialmente importantes para nosotros. Entonces:

1. Debes asegurarte de que no aparezca nada en la sección "Recuperación".
2. En la sección “Eliminar” no debe haber ninguna casilla de verificación y/o carpetas y programas agregados marcados. Si configura incorrectamente los parámetros en las secciones especificadas en los párrafos 1 y 2, esto puede provocar que un código malicioso infecte el sistema o que se destruyan todos los datos para el análisis.
3. En la sección "Restricciones", debe seleccionar la configuración que se adapte a sus tareas. Casi siempre es necesario restringir el acceso de bajo nivel y el uso del hardware para todos los programas en ejecución para evitar que los rootkits infecten el sistema. Pero, por el contrario, no vale la pena restringir el acceso al inicio y la ejecución, así como quitar derechos, de lo contrario, el código sospechoso se ejecutará en un entorno no estándar. Sin embargo, todo, incluida la disponibilidad de acceso a Internet, depende de la tarea.
4. Para mayor claridad y conveniencia, en la sección "Comportamiento", se recomienda habilitar la opción "Mostrar borde alrededor de la ventana" y seleccionar un color para resaltar los programas que se ejecutan en un entorno restringido.

Conexión de complementos

En unos pocos clics obtuvimos un excelente entorno aislado para la ejecución segura de código, pero no una herramienta para analizar su comportamiento. Afortunadamente, el autor de Sandboxie ha proporcionado la posibilidad de utilizar varios complementos para su programa. El concepto es bastante interesante. Los complementos son bibliotecas dinámicas que se introducen en un proceso que se ejecuta en un sandbox y registran o modifican su ejecución de una determinada manera.

Necesitaremos varios complementos que se enumeran a continuación.

1. SBIExtra. Este complemento intercepta una serie de funciones de un programa de espacio aislado para bloquear las siguientes funciones:
   • descripción general de los procesos y subprocesos en ejecución;
   • acceso a procesos fuera del sandbox;
   • llamar a la función BlockInput (entrada de teclado y mouse);
   • Lectura de los títulos de las ventanas activas.
2. Antidel. El complemento intercepta funciones responsables de eliminar archivos. Por lo tanto, todos los archivos temporales, cuyo comando de eliminación proviene del código fuente, aún permanecen en su lugar.

¿Cómo integrarlos al sandbox? Dado que esto no lo proporciona la interfaz Sandboxie, deberá editar el archivo de configuración manualmente. Cree una carpeta de complementos y descomprima todos los complementos preparados en ella. Ahora atención: Buster Sandbox Analyzer incluye varias bibliotecas con el nombre común LOG_API*.dll, que se pueden inyectar en el proceso. Hay dos tipos de bibliotecas: detalladas y estándar. El primero muestra una lista casi completa de llamadas API realizadas por el programa, incluidas las llamadas a archivos y al registro, el segundo es una lista abreviada. La reducción le permite acelerar el trabajo y reducir el registro, que luego debe ser analizado. Personalmente, no le temo a los registros grandes, pero temo que cierta información necesaria sea "recortada" cuidadosamente, así que elijo Verbose. Es esta biblioteca la que inyectaremos. Para evitar que el malware note la inyección de una biblioteca por su nombre, usaremos la precaución más simple: cambiar el nombre LOG_API_VERBOSE.dll por cualquier otro nombre, por ejemplo LAPD.dll.

Ahora, en la ventana principal de Sandboxie, seleccione "Configurar -> Editar configuración". Se abrirá una configuración de texto con todas las configuraciones del programa. Prestemos inmediatamente atención a las siguientes líneas:

• El parámetro FileRootPath en la sección especifica la ruta general a la carpeta sandbox, es decir, la carpeta donde se ubicarán todos los archivos sandbox. Para mí, este parámetro se parece a FileRootPath=C:\Sandbox\%SANDBOX%, puede ser diferente para usted.
• La sección no nos interesa; la saltamos y nos desplazamos más.
• Luego hay una sección cuyo nombre es el mismo que el nombre del sandbox (que sea BSA). Aquí es donde agregaremos complementos: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA habilitado=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Los caminos, por supuesto, pueden diferir. ¡Pero el orden de las bibliotecas inyectadas debe ser exactamente así! Este requisito se debe al hecho de que las funciones deben interceptarse en el orden especificado; de lo contrario, los complementos no funcionarán. Para aplicar los cambios, seleccione en la ventana principal de Sandboxie: "Configurar -> Recargar configuración".

Ahora configuremos el complemento Buster Sandbox Analyzer.

1. Lanzamos el complemento manualmente usando el archivo bsa.exe de la carpeta Complementos.
2. Seleccione “Opciones -> Modo de análisis –> Manual” y luego “Opciones -> Opciones de programa -> Integración de Windows Shell -> Agregar acción de clic derecho "Ejecutar BSA"".

Ahora todo está listo para funcionar: nuestro sandbox está integrado en el sistema.

Versión portátil del sandbox

Por supuesto, a muchos no les gustará el hecho de que necesitan instalar, configurar, etc. Como todo esto tampoco me atrae, hice una versión portátil de la herramienta que se puede ejecutar sin instalación ni configuración, directamente desde un flash. conducir. Puede descargar esta versión aquí: tools.safezone.cc/gjf/Sandboxie-portable.zip. Para iniciar el sandbox, simplemente ejecute el script start.cmd y, al final del trabajo, no olvide ejecutar el script stop.cmd, que descargará completamente el controlador y todos los componentes de la memoria, y también guardará los cambios realizados. durante el trabajo en el portátil.

El portabelizador en sí tiene muy pocas configuraciones: su trabajo se basa principalmente en manipulaciones con el archivo Sandboxie.ini.template, ubicado en la carpeta Plantillas. Básicamente, este archivo es un archivo de configuración de Sandboxie que se procesa correctamente y se pasa al programa y, cuando finaliza, se sobrescribe nuevamente en Plantillas. Si abre este archivo con el Bloc de notas, es poco probable que encuentre algo interesante. Definitivamente deberías prestar atención al patrón $(InstallDrive), que se repite en varios parámetros de ruta. Estamos especialmente interesados ​​en el parámetro FileRootPath. Si se ve así:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Luego se crearán “sandboxes” en el disco donde se encuentra el Sandboxie portátil. Si el parámetro tiene, por ejemplo, la siguiente forma:

FileRootPath=C:\Sandbox\%SANDBOX%

En otras palabras, especifica una unidad de sistema específica, luego se crearán "zonas de pruebas" en esta unidad.

Personalmente, recomiendo crear siempre sandboxes en discos locales. Esto acelera el funcionamiento de la herramienta y, cuando se ejecuta desde una unidad flash, se acelera en órdenes de magnitud. Si estás tan atormentado por la paranoia que quieres ejecutar y analizar todo lo que hay en tu medio favorito que llevas cerca de tu corazón, entonces puedes cambiar el parámetro, pero al menos usa discos duros portátiles para que todo no se ralentice terriblemente. .

Uso práctico

Probemos nuestra herramienta con una amenaza real. Para que nadie me acusara de fraude, hice una cosa sencilla: entré a www.malwaredomainlist.com y descargué lo último que aparecía allí al momento de escribir este artículo. Resultó ser un bonito archivo pp.exe de algún sitio infectado. El nombre por sí solo inspira una gran esperanza; además, mi antivirus inmediatamente gritó ante este archivo. Por cierto, es mejor realizar todas nuestras manipulaciones con el antivirus desactivado, de lo contrario corremos el riesgo de bloquear/borrar algo de lo que estamos investigando. ¿Cómo estudiar el comportamiento de un binario? Simplemente haga clic derecho en este archivo y seleccione Ejecutar BSA en el menú desplegable. Se abrirá la ventana del Analizador Buster Sandbox. Mire cuidadosamente la línea Carpeta Sandbox para verificar. Todos los parámetros deben coincidir con los que especificamos al configurar Sandboxie, es decir, si el sandbox se llamó BSA y la ruta a la carpeta se estableció en FileRootPath=C:\Sandbox\%SANDBOX%, entonces todo debería ser como en la captura de pantalla. . Si sabe mucho sobre perversiones y nombró la zona de pruebas de manera diferente o configuró el parámetro FileRootPath en una unidad o carpeta diferente, debe cambiarlo en consecuencia. De lo contrario, Buster Sandbox Analyzer no sabrá dónde buscar nuevos archivos y cambios en el registro.

BSA incluye muchas configuraciones para analizar y estudiar el proceso de ejecución binaria, hasta interceptar paquetes de red. No dude en hacer clic en el botón Iniciar análisis. La ventana cambiará al modo de análisis. Si por algún motivo el entorno de pruebas seleccionado para el análisis contiene los resultados de un estudio anterior, la utilidad ofrecerá borrarlo primero. Todo está listo para ejecutar el expediente bajo investigación.

¿Listo? Luego haga clic derecho en el archivo que está estudiando y en el menú que se abre, seleccione "Ejecutar en sandbox", luego seleccione el "sandbox" al que adjuntamos el BSA.

Inmediatamente después de esto, las llamadas API se ejecutarán en la ventana del analizador, que se registrarán en los archivos de registro. Tenga en cuenta que Buster Sandbox Analyzer por sí solo no sabe cuándo se completará el análisis del proceso; de hecho, la señal para el final es hacer clic en el botón Finalizar análisis. ¿Cómo sabes que ya ha llegado el momento? Puede haber dos opciones aquí.

1. La ventana de Sandboxie no muestra ningún proceso en ejecución. Esto significa que el programa claramente ha terminado.
2. Durante mucho tiempo no aparece nada nuevo en la lista de llamadas API o, por el contrario, se muestra lo mismo en una secuencia cíclica. Al mismo tiempo, algo más se está ejecutando en la ventana de Sandboxie. Esto sucede si el programa está configurado para ejecución residente o simplemente está congelado. En este caso, primero se debe finalizar manualmente haciendo clic derecho en el sandbox correspondiente en la ventana Sandboxie y seleccionando "Finalizar programas". Por cierto, al analizar mi pp.exe, ocurrió exactamente esta situación.

Después de esto, puede seleccionar de forma segura Finalizar análisis en la ventana de Buster Sandbox Analyzer.

Análisis de comportamiento

Al hacer clic en el botón Malware Analyzer, recibiremos inmediatamente información resumida sobre los resultados de la investigación. En mi caso, la malicia del archivo era completamente obvia: durante la ejecución, se creó y lanzó el archivo C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, que se agregó al inicio (por cierto, fue este archivo que no quería terminar solo), se hizo conexión con 190.9.35.199 y se modificó el archivo hosts. Por cierto, sólo cinco motores antivirus detectaron el archivo en VirusTotal, como se puede ver en los registros, así como en el sitio web de VirusTotal.

Toda la información sobre los resultados del análisis se puede obtener directamente desde el menú Visor en la ventana de Buster Sandbox Analyzer. También hay un registro de llamadas API, que sin duda será útil para una investigación detallada. Todos los resultados se almacenan como archivos de texto en la subcarpeta Informes de la carpeta Buster Sandbox Analyzer. De particular interés es el informe Report.txt (llamado a través de Ver informe), que proporciona información ampliada sobre todos los archivos. Es a partir de ahí que nos enteramos de que los archivos temporales eran realmente ejecutables, la conexión fue a http://190.9.35.199/view.php?rnd=787714, el malware creó un mutex específico G4FGEXWkb1VANr, etc. No solo puedes ver informes, sino que también extrae todos los archivos creados durante la ejecución. Para hacer esto, en la ventana Sandboxie, haga clic derecho en el "sandbox" y seleccione "Ver contenido". Se abrirá una ventana del explorador con todo el contenido de nuestro "sandbox": la carpeta de la unidad contiene archivos creados en los discos físicos del sandbox y la carpeta de usuario contiene archivos creados en el perfil de usuario activo (%userprofile%). Aquí encontré dplaysvr.exe con la biblioteca dplayx.dll, archivos tmp temporales y un archivo hosts modificado. Por cierto, resultó que se le agregaron las siguientes líneas:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Tenga en cuenta que hay archivos infectados en el entorno sandbox. Si accidentalmente haces doble clic en ellos, no pasará nada (se ejecutarán en el entorno de pruebas), pero si los copias en algún lugar y luego los ejecutas... hmm, bueno, ya entiendes la idea. Aquí, en la carpeta, puede encontrar un volcado del registro modificado durante el trabajo, en forma de archivo RegHive. Este archivo se puede convertir fácilmente en un archivo de registro más legible utilizando el siguiente script de comando:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG DESCARGAR HKLM\uuusandboxuuu notepad sandbox.reg

Lo que el instrumento puede y no puede hacer

La herramienta resultante puede:

• Supervise las llamadas API desde una aplicación en ejecución.
• Supervise los archivos recién creados y la configuración del registro.
• Intercepte el tráfico de la red mientras la aplicación se está ejecutando.
• Realice análisis básicos de archivos y su comportamiento (analizador de comportamiento integrado, análisis de VirusTotal mediante hashes, análisis mediante PEiD, ExeInfo y ssdeep, etc.).
• Obtenga información adicional ejecutando programas auxiliares (por ejemplo, Process Monitor) en el sandbox junto con el que se está analizando.

Esta herramienta no puede:

• Analice el malware que se ejecuta en modo kernel (que requiere la instalación del controlador). Sin embargo, es posible identificar el mecanismo de instalación del controlador (antes de que se implemente en el sistema).
• Analice el seguimiento de ejecución de malware en Sandboxie. Sin embargo, Buster Sandbox Analyzer incluye una serie de mecanismos para evitar dicho seguimiento.

De esta forma, recibirá sandbox.reg, que contiene las líneas agregadas por el malware durante la ejecución. Después de realizar el análisis, seleccione Cancelar análisis en el menú Opciones para devolver todo como estaba. Tenga en cuenta que después de esta operación, se eliminarán todos los registros de análisis, pero el contenido del entorno sandbox permanecerá en su lugar. Sin embargo, la próxima vez que inicie el programa le ofrecerá eliminar todo.

Internet simplemente está plagado de virus. Pueden disfrazarse de programas útiles o incluso integrarse en un programa funcional. (Se encuentra con bastante frecuencia en programas pirateados, por lo que debe desconfiar de los programas pirateados, especialmente si los descarga desde sitios sospechosos). Entonces instaló el programa y se instaló algo más en su computadora como beneficio adicional (en el mejor de los casos, programas para navegación oculta o mineros) y, en el peor, guerreros, puertas traseras, ladrones y otros trucos sucios.

Hay 2 opciones si no confías en el archivo.
— Ejecutar un virus en el sandbox
— Usando máquinas virtuales

En este artículo veremos la primera opción: Sandbox para Windows.

Sandbox para Windows es una gran oportunidad para trabajar con archivos sospechosos, veremos cómo comenzar a usar Sandbox.
Si utiliza antivirus, a menudo incluyen zonas de pruebas integradas. Pero no me gustan estas cosas y creo que lo mejor es descargar el sandbox del sitio web www.sandboxie.com.

El programa le permite ejecutar un archivo en un área especialmente designada, más allá de la cual los virus no pueden escapar y dañar la computadora.

Puedes descargar el programa gratis. Pero, después de 2 semanas de uso, al encenderlo aparecerá un letrero que indica una oferta para comprar una suscripción y el programa podrá iniciarse en unos segundos. Pero el programa sigue siendo completamente funcional. La instalación no será difícil. Y la interfaz en sí es bastante sencilla.

De forma predeterminada, el programa se iniciará solo cuando encienda la computadora. Si el programa se está ejecutando, aparecerá un icono de bandeja. De lo contrario, vaya a Inicio-Todos los programas-Sandboxie-Administrar sandboxie.
La forma más sencilla de ejecutar un programa en Sandbox es hacer clic derecho en el archivo de inicio o en el acceso directo del programa deseado, y en el menú verá las palabras "Ejecutar en Sandbox", haga clic y ejecute. Seleccione el perfil deseado en el que ejecutar y haga clic en Aceptar. Eso es todo, el programa requerido se ejecuta en un entorno seguro y los virus no escaparán del entorno limitado.

Atención: algunos programas infectados no permiten su ejecución en entornos sandbox y máquinas virtuales, lo que le obliga a ejecutarlos directamente. Si encuentra tal reacción, lo mejor que puede hacer es eliminar el archivo; de lo contrario, correrá bajo su propia responsabilidad y riesgo.

.

Si el inicio en la zona de pruebas no aparece en el menú contextual (cuando hace clic con el botón derecho), vaya a la ventana del programa, seleccione Configurar - Integración en el Explorador de Windows - y marque las dos casillas debajo de las palabras "Acciones - ejecutar en la zona de pruebas". "

Puedes crear diferentes sandboxes. Para hacer esto, haga clic en Sandbox: cree un sandbox y escriba el nombre del nuevo. También puedes eliminar los antiguos en la sección Sandbox (recomendado).

No hay nada más que considerar en el programa. Por último, quiero decir... ¡Cuida tus datos y tu ordenador! Hasta la proxima vez

Artículos Relacionados:

Eliminar archivos no borrables de su computadora Máquina virtual para windows. Descripción general y configuración del programa Windows 10 desactiva el seguimiento

Entonces decidimos tocar brevemente este tema.

Básicamente, un "sandbox" es un entorno de software aislado con recursos estrictamente limitados para ejecutar código de programa dentro de este entorno (en términos simples, ejecutar programas). En cierto modo, un “sandbox” es un entorno limitado diseñado para aislar procesos dudosos por motivos de seguridad.

Algunos buenos antivirus y firewalls (aunque, por regla general, en su versión paga) utilizan este método sin su conocimiento, algunos le permiten administrar esta funcionalidad (ya que aún genera un consumo innecesario de recursos), pero también hay programas que le permiten implementar similares funcionalidad.

Hablaremos de uno de estos hoy.

Lamentablemente es shareware, pero el mismo periodo gratuito te ayudará a conocer mejor este tipo de herramientas, lo que, quizás, en el futuro te impulse a estudiar con más detalle, que, en su mayor parte, existe de forma gratuita. forma y ofrece más oportunidades.

Puede descargar Sandboxie desde o, por ejemplo, . La instalación es casi elemental, excepto en el momento en que es necesario instalar el controlador (ver captura de pantalla a continuación).

En esta etapa, es mejor desactivar cualquier elemento de protección (es decir, los mismos antivirus y firewalls); de lo contrario, si este paso falla y la computadora se cuelga, se reinicia o entra en modo seguro, es posible que deba iniciar en modo seguro y eliminar el programa sin la posibilidad de un uso posterior.

Después de la instalación, se debe iniciar el programa. Es posible que encuentre la notificación que se muestra arriba. No tiene nada de malo, simplemente haga clic en "Aceptar".

A continuación, se te ofrecerá realizar un breve curso sobre cómo trabajar con el programa, o mejor dicho, te contarán un poco sobre cómo funciona. Siga los seis pasos, preferiblemente leyendo atentamente lo que está escrito en las instrucciones que se le proporcionan.

En resumen, en esencia, puedes ejecutar cualquier programa dentro de un entorno aislado. Las instrucciones, si las ha leído, contienen una metáfora bastante buena sobre el tema de que, en esencia, una caja de arena es un trozo de papel transparente colocado entre el programa y la computadora, y eliminar el contenido de la caja de arena es algo similar a descartar una hoja de papel usada y su contenido, con, lógicamente, su posterior sustitución por una nueva.

Cómo configurar y utilizar un programa sandbox

Ahora intentemos entender cómo trabajar con esto. Para empezar, puede intentar ejecutar, digamos, un navegador en un entorno limitado. Para hacer esto, de hecho, use el acceso directo que aparece en su escritorio o use los elementos del menú en la ventana principal del programa: " DefaultBox - Ejecutar en sandbox - Iniciar navegador web", o, si desea iniciar un navegador que no está instalado en el sistema como navegador predeterminado, utilice el elemento " Ejecute cualquier programa" y especifique la ruta al navegador (o programa).

Después de esto, el navegador se iniciará en el Sandboxie y verá sus procesos en la ventana Sandboxie. A partir de este momento todo lo que sucede sucede en, como ya se ha dicho muchas veces, un entorno aislado y, por ejemplo, un virus que utilice la caché del navegador como elemento para penetrar en el sistema, de hecho, no podrá Realmente no hacer nada, porque después de terminar de trabajar con el entorno aislado... puedes limpiarlo tirando, como dice la metáfora, la hoja de papel garabateada y pasando a una nueva (sin afectar de ninguna manera la integridad del ordenador como tal).

Para borrar el contenido de la zona de pruebas (si no lo necesita), en la ventana principal del programa o en la bandeja (aquí es donde están el reloj y otros íconos) use el elemento " DefaultBox - Eliminar contenido".

Atención ! Solo se eliminará la parte que fue escrita y trabajada en un entorno aislado, es decir, por ejemplo, el navegador en sí no se eliminará de la computadora, sino que se transferirá a él... mmm... relativamente hablando, una copia del proceso, el caché creado, los datos guardados (como archivos descargados/creados), etc. se eliminarán si no los guarda.

Para comprender mejor el principio de funcionamiento, intente iniciar el navegador y otro software en el entorno sandbox varias veces, descargar varios archivos y eliminar/guardar el contenido después de terminar de trabajar con este entorno sandbox y luego, por ejemplo, iniciar el mismo navegador o programa directamente. en la computadora. Créame, comprenderá la esencia en la práctica mejor de lo que se puede explicar con palabras.

Por cierto, al hacer clic derecho en un proceso en la lista de procesos en la ventana Sandboxie, puede controlar el acceso a varios tipos de recursos de la computadora, sin pasar por el Sandbox, seleccionando " Acceso a recursos".

En términos generales, si desea arriesgarse y otorgar, por ejemplo, Google Chrome, acceso directo a cualquier carpeta de su computadora, puede hacerlo en la pestaña correspondiente ( Acceso a archivos: acceso directo/completo) usando el botón "Agregar".

Es lógico que el sandbox esté destinado no solo y no tanto a trabajar con un navegador y visitar varios sitios dudosos, sino también a ejecutar aplicaciones que le parezcan sospechosas (especialmente, por ejemplo, en el trabajo (donde a menudo lanzan archivos dudosos). desde correo o memorias USB) y/o no debe tener acceso a los recursos principales del ordenador y/o dejar rastros innecesarios allí.

Por cierto, este último puede ser un buen elemento de protección, es decir, para ejecutar cualquier aplicación, cuyos datos deben aislarse por completo y eliminarse al finalizar.

Por supuesto, no es necesario eliminar datos del sandbox al finalizar y trabajar con algunos programas solo en un entorno aislado (el progreso se recuerda y existe la posibilidad de una recuperación rápida), pero usted decide si hacerlo o no. .

Cuando intenta iniciar algunos programas, puede encontrar el problema anterior. No tengas miedo, basta con comenzar haciendo clic en "Aceptar" y luego abrir la configuración de la zona de pruebas usando el botón " DefaultBox: configuración de la zona de pruebas" y en la pestaña "Transferencia de archivos", establezca un tamaño ligeramente mayor para la opción de transferencia de archivos.

No hablaremos de otras configuraciones ahora, pero si te interesan, puedes descubrirlas tú mismo fácilmente, afortunadamente todo está en ruso, es extremadamente claro y accesible. Bueno, si tienes preguntas, puedes preguntar. ellos en los comentarios a esta entrada.

Ahora quizás podamos pasar al epílogo.

Epílogo

Ah, sí, casi nos olvidamos, por supuesto, que el sandbox consume una mayor cantidad de recursos de la máquina, porque muerde (virtualiza) parte de la capacidad, lo que, naturalmente, crea una carga diferente a la de ejecutarlo directamente. Pero, lógicamente, la seguridad y/o la privacidad pueden merecer la pena.

Por cierto, el uso de sandboxes, chroot o virtualización se relaciona en parte con la metodología de seguridad antivirus que utilizamos.

Probablemente eso sea todo por ahora. Como siempre, si tiene alguna pregunta, idea, adición, etc., no dude en comentar esta publicación.

Puedes observar infinitamente el fuego, el agua y la actividad de los programas aislados en la caja de arena. Gracias a la virtualización, con un solo clic se pueden enviar al olvido los resultados de esta actividad, muchas veces insegura.

Sin embargo, la virtualización también se utiliza con fines de investigación: por ejemplo, desea controlar el impacto de un programa recién compilado en el sistema o ejecutar dos versiones diferentes de una aplicación al mismo tiempo. O cree una aplicación independiente que no deje rastros en el sistema. Hay muchas opciones para usar un sandbox. No es el programa el que dicta sus condiciones en el sistema, sino tú quien le muestra el camino y distribuye los recursos.

Si no está satisfecho con la lentitud del proceso, utilizando la herramienta ThinApp Converter puede poner en marcha la virtualización. Los instaladores se crearán según la configuración que especifique.

En general, los desarrolladores recomiendan realizar todos estos preparativos en condiciones estériles, en sistemas operativos nuevos, para tener en cuenta todos los matices de la instalación. Para estos fines, puede utilizar una máquina virtual, pero, por supuesto, esto afectará la velocidad de trabajo. VMware ThinApp ya carga bastante los recursos del sistema, y ​​no sólo en el modo de escaneo. Sin embargo, como suele decirse, de forma lenta pero segura.

Zona de amortiguamiento

• Sitio web: www.trustware.com
• Desarrollador: Software de confianza
• Licencia: software gratuito

BufferZone controla la actividad de software y de Internet de las aplicaciones utilizando una zona virtual, muy cercana a los firewalls. En otras palabras, utiliza una virtualización regida por reglas. BufferZone funciona fácilmente junto con navegadores, mensajería instantánea, correo electrónico y clientes P2P.

Al momento de escribir este artículo, los desarrolladores advirtieron sobre posibles problemas al trabajar con Windows 8. El programa puede matar el sistema, después de lo cual deberá eliminarse a través del modo seguro. Esto se debe a los controladores BufferZone, que entran en serio conflicto con el sistema operativo.

Lo que cae bajo el radar de BufferZone se puede rastrear en la sección principal de Resumen. Usted mismo determina el número de aplicaciones limitadas: la lista Programas para ejecutar dentro de BufferZone está destinada a esto. Ya incluye aplicaciones potencialmente inseguras, como navegadores y clientes de correo electrónico. Aparece un borde rojo alrededor de la ventana de la aplicación capturada, lo que le brinda confianza para navegar de forma segura. Si desea correr fuera de la zona, no hay problema, puede omitir el control a través del menú contextual.

Además de la zona virtual, existe la zona privada. Puede agregar sitios donde se requiere estricta confidencialidad. Cabe señalar de inmediato que la función solo funciona en versiones retro de Internet Explorer. Los navegadores más modernos tienen funciones de anonimato integradas.

La sección Política configura políticas en relación con instaladores y actualizaciones, así como programas iniciados desde dispositivos y fuentes de red. En Configuraciones también vea opciones adicionales de políticas de seguridad (Política Avanzada). Hay seis niveles de control, dependiendo de qué cambie la actitud de BufferZone hacia los programas: sin protección (1), automático (2) y semiautomático (3), notificaciones sobre el inicio de todos (4) y programas no firmados (5), máxima protección (6) .

Como puedes ver, el valor de BufferZone reside en el control total de Internet. Si necesita reglas más flexibles, cualquier firewall le ayudará. BufferZone también lo tiene, pero más para mostrar: te permite bloquear aplicaciones, direcciones de red y puertos. Desde un punto de vista práctico, no es muy conveniente acceder activamente a la configuración.

Evalaze

• Sitio web: www.evalaze.de/en/evalaze-oxide/
• Desarrollador: Dögel GmbH
• Licencia: software gratuito / comercial (2142 euros)

La característica principal de Evalaze es la flexibilidad de las aplicaciones virtualizadas: pueden iniciarse desde medios extraíbles o desde un entorno de red. El programa le permite crear distribuciones completamente autónomas que operan en un sistema de archivos y un entorno de registro emulados.

La característica principal de Evalaze es su práctico asistente, que es comprensible sin necesidad de leer el manual. Primero, crea una imagen del sistema operativo antes de instalar el programa, luego lo instala, realiza una prueba y lo configura. A continuación, siguiendo el asistente de Evalaze, analizas los cambios. Muy similar al principio de funcionamiento de los desinstaladores (por ejemplo, Soft Organizer).

Las aplicaciones virtualizadas pueden operar en dos modos: en el primer caso, las operaciones de escritura se redirigen al sandbox; en el segundo, el programa puede escribir y leer archivos en el sistema real. Si el programa eliminará los rastros de sus actividades o no, depende de usted; la opción Eliminar antiguo Sandbox Automático está a su servicio.

Muchas funciones interesantes están disponibles sólo en la versión comercial de Evalaze. Entre ellos se encuentran la edición de elementos ambientales (como archivos y claves de registro), la importación de proyectos y la configuración del modo de lectura. Sin embargo, la licencia cuesta más de dos mil euros, lo que, estoy de acuerdo, supera ligeramente la barrera psicológica del precio. El uso de un servicio de virtualización en línea se ofrece a un precio igualmente prohibitivo. Como consuelo, el sitio web del desarrollador ha preparado aplicaciones de muestra virtuales.

cameyo

• Sitio web: www.cameyo.com
• Desarrollador: cameyo
• Licencia: software gratuito

Un vistazo rápido a Cameyo sugiere que las funciones son similares a Evalaze, y en tres clics puedes crear una distribución con una aplicación virtualizada. El empaquetador toma una instantánea del sistema, la compara con los cambios después de instalar el software y crea un ecosistema para su lanzamiento.

La diferencia más importante con Evalaze es que el programa es completamente gratuito y no bloquea ninguna opción. Las configuraciones están convenientemente concentradas: cambiar el método de virtualización guardando en disco o memoria, seleccionar un modo de aislamiento: guardar documentos en directorios específicos, prohibir la escritura o el acceso completo. Además de esto, puede configurar el entorno virtual utilizando el editor de archivos y claves de registro. Cada carpeta también tiene uno de tres niveles de aislamiento, que pueden anularse fácilmente.

Puede especificar el modo de limpieza de la zona de pruebas después de salir de la aplicación independiente: eliminar rastros, sin limpiar y escribir cambios de registro en un archivo. También están disponibles la integración con Explorer y la capacidad de vincular a tipos de archivos específicos en el sistema, lo que no está disponible ni siquiera en las contrapartes pagas de Cameyo.

Sin embargo, lo más interesante no es la parte local de Cameyo, sino el empaquetador online y las aplicaciones virtuales públicas. Basta con especificar la URL o cargar el instalador MSI o EXE en el servidor, indicando la profundidad de bits del sistema, y ​​recibirá un paquete independiente. A partir de ahora está disponible bajo el techo de su nube.

Resumen

caja de arena Será la mejor opción para experimentos sandbox. El programa es el más informativo entre las herramientas enumeradas, tiene una función de seguimiento. Amplia gama de configuraciones y buenas capacidades para administrar un grupo de aplicaciones.

No tiene funciones únicas, pero es muy simple y sin problemas. Un dato interesante: el artículo fue escrito dentro de esta “caja de arena”, y debido a un desafortunado error, todos los cambios pasaron a la “sombra” (léase: plano astral). Si no fuera por Dropbox, en esta página se habría publicado un texto completamente diferente, probablemente de otro autor.

Evalaze no ofrece un enfoque integrado de virtualización, sino individual: usted controla el lanzamiento de una aplicación específica creando condiciones de vida artificiales para ello. Aquí hay ventajas y desventajas. Sin embargo, dada la naturaleza simplificada de la versión gratuita de Evalaze, sus ventajas se desvanecerán ante sus ojos.

cameyo tiene un cierto sabor a "nube": la aplicación se puede descargar del sitio web, cargar en una unidad flash o en Dropbox; esto es conveniente en muchos casos. Es cierto que esto recuerda a asociaciones con comida rápida: no se puede garantizar la calidad y la correspondencia del contenido con la descripción.

Pero si prefieres cocinar según una receta, VMware ThinApp- tu opción. Esta es una solución para expertos que se preocupan por cada detalle. Un conjunto de características únicas se complementa con las capacidades de la consola. Puede convertir aplicaciones desde la línea de comandos mediante configuraciones y scripts, en modo individual y por lotes.

Zona de amortiguamiento Es un sandbox con función de firewall. Este híbrido está lejos de ser perfecto y la configuración está actualizada, pero BufferZone se puede utilizar para controlar la actividad y las aplicaciones de Internet, proteger contra virus y otras amenazas.