Acasă Sfaturi utile Cum să rulezi un program într-un sandbox. Instrumente pentru rularea aplicațiilor într-un mediu virtual. Cum să rulezi un program într-un sandbox

Cum să rulezi un program într-un sandbox. Instrumente pentru rularea aplicațiilor într-un mediu virtual. Cum să rulezi un program într-un sandbox

Sandboxie vă permite să monitorizați rapid funcționarea aplicațiilor instalate pe computer și este, de asemenea, un instrument de apărare proactiv. Pentru a elimina complet Sandboxie de pe orice dispozitiv, trebuie să utilizați oricare dintre metodele de dezinstalare disponibile.

Despre program

Dezvoltatorul este Ronen Tzur, aplicația aparține categoriei shareware. Din ianuarie 2019, există două versiuni ale soluției software:

  • 26 Stabil;
  • 27.3 Beta.

Sandboxy are o interfață simplă și intuitivă atât în ​​engleză, cât și în rusă. Instalarea este posibilă pe computere cu sistem de operare Windows, începând de la versiunea 7 și superioară. Potrivit atât pentru sistemul de operare pe 32 de biți, cât și pentru sistemul de operare pe 64 de biți. Utilitarul are așa-numitul „Sandbox” – un instrument care vă permite să creșteți semnificativ nivelul de protecție a PC-ului împotriva amenințărilor externe: browser hijacker, troieni, software de phishing și alte programe din categoria „Badware”.

Lucrează la Sandboxy

Pentru a instala, trebuie să urmați pași simpli:


Acum puteți începe să lucrați în utilitar, de exemplu, să descărcați orice software de pe Internet și să verificați instalarea pachetului descărcat pentru viruși și software terță parte. Pentru a scana orice „exe” va trebui să urmați acești pași:


Pe lângă verificarea software-ului pentru viruși, puteți rula orice aplicație pe computer, precum și browsere precum Google Chrome, Opera, Mozilla Firefox, Internet Explorer și Yandex.Browser. Pentru a face acest lucru, trebuie doar să urmați pași simpli:


Astfel, cu ajutorul acestui software, puteți rula orice programe pe un computer într-un mediu virtual izolat și puteți controla procesele care rulează. În același timp, Sandbox-ul nu va putea să scrie date în registru, să acceseze datele sistemului, să afecteze performanța PC-ului etc.

Dezinstalează

Înainte de a continua cu dezinstalarea Sandbox-ului, va trebui să curățați fișierele reziduale care apar în timpul funcționării software-ului și să înfundați computerul. Ulterior, la dezinstalarea software-ului, utilizatorul nu va trebui să le elimine manual. Pentru a curăța „gunoiul”, trebuie să:


Dezinstalare standard

Eliminați complet Sandboxie de pe computer folosind programul de instalare „SandboxieInstall.exe”:

  1. Verificați dacă programul este închis: accesați „Manager dispozitive” apăsând combinația Ctrl + Alt + Delete, sau apăsând pe combinația Win + R și introducând comanda „taskmgr” în fereastra „Run”.
  2. În „Task Manager” găsiți în fila „Procese” un fișier exe executabil cu numele utilitarului de eliminat, faceți clic stânga pe el, apelați opțiunea „End task” din partea de jos a ecranului.
  3. Accesați fereastra „Startup” și verificați dacă software-ul dezinstalat are starea „Dezactivat” și, în consecință, nu se află în lista de pornire automată. Pentru a face acest lucru, faceți clic dreapta pe obiect și faceți clic pe „Dezactivare”. Dacă apare opțiunea de meniu contextual „Activare”, atunci totul este în regulă, puteți trece la pasul următor.
  4. Țineți apăsată combinația Win + R și conduceți în codul „msconfig”, apoi faceți clic pe „OK”.
  5. În „Configurarea sistemului” accesați meniul „Boot” și bifați caseta de lângă opțiunea „Mod sigur”. Asigurați-vă că faceți clic pe „Aplicați” pentru ca modificările să intre în vigoare, „OK”.
  6. Utilizatorii Windows 7 vor trebui, de asemenea, să acceseze fila „Startup” și să excludă software-ul din lista de pornire automată: faceți clic dreapta pe numele fișierului din lista de aplicații de pornire automată și selectați funcția „Dezactivare”.
  7. Reporniți computerul: autentificarea se va efectua în modul securizat.
  8. Rulați fișierul de instalare „SandboxieInstall.exe” - „Următorul”. În lista de opțiuni, selectați „Dezinstalare aplicație” (numele funcției poate diferi în funcție de versiunea programului de instalare).
  9. Va începe procesul automat de eliminare a componentelor programului de pe computer, după care se recomandă curățarea suplimentară a computerului de fișierele reziduale.
  10. În primul rând, trebuie să mergeți la „C:\ProgramFiles\”, găsiți directorul „Sanboxie” - faceți clic pe folderul găsit cu butonul stâng al mouse-ului și țineți apăsat Shift + Delete pentru a dezinstala obiectul fără a-l muta în „ Gunoi".
  11. Acum trebuie să țineți apăsată combinația Win + E și din fereastra „Explorer” mergeți la „Acest computer” - „Disc local C”, selectați directorul „Utilizatori”, accesați folderul utilizatorului actual care a instalat utilitarul pe computer, selectați folderul ascuns „ appdata”.
  12. Dacă directorul specificat nu este afișat, atunci trebuie să faceți clic pe instrumentul „Vizualizare” situat în partea de sus a „Explorer” și să selectați „Opțiuni”.
  13. Se va deschide fereastra „Opțiuni folder”, accesați a doua filă numită „Vizualizare”, derulați până în partea de jos a ecranului la secțiunea „Fișiere și foldere ascunse” și bifați caseta „Afișați fișierele ascunse...”. Faceți clic pe „Aplicați” și închideți „Opțiuni dosar”.
  14. Accesați AppData: în directorul specificat există foldere numite „Local”, „LocalLow” și „Roaming” - verificați dacă nu există fișiere numite „Sandboxie” în aceste foldere. Dacă astfel de obiecte sunt găsite, selectați-le și ștergeți-le folosind comanda Shift + Delete.
  15. Reveniți la unitatea locală „C” și verificați folderul ascuns „ProgramData” - nu ar trebui să conțină fișiere legate de programul de la distanță.
  16. Acum trebuie să mergeți la fereastra „Editor de registru”. Puteți face acest lucru folosind meniul „PowerShell (administrator)” - faceți clic dreapta pe butonul „Start” și accesați consola corespunzătoare.
  17. Salvați starea actuală a registrului utilizând opțiunea „Export ...”, care se află în meniul „Fișier”. Specificați numele fișierului reg și al folderului salvat. Specificați intervalul de export - „Întregul registru”. În viitor, va fi posibilă restaurarea registrului din fișierul specificat (în caz de probleme după curățarea manuală a registryului).
  18. În fereastra consolei, tastați expresia de acces „regedit” fără ghilimele, „Enter”.
  19. Se va deschide instrumentul „Editor de registru” - țineți apăsată combinația Ctrl + F, introduceți numele „sandbox” la distanță în bara de căutare, apoi faceți clic pe „Find Next”.
  20. După câteva secunde, monitorul va afișa prima cheie de registry rămasă după aplicația ștearsă. Faceți dublu clic pe obiect cu butonul stâng al mouse-ului și verificați celula „Valoare” - ar trebui să conțină o referință la „Sandbox”.
  21. Pentru a curăța registry din fișierul sau folderul găsit, faceți clic dreapta pe obiect și inițiați dezinstalarea utilizând opțiunea „Ștergere”. Confirmați acțiunea făcând clic pe „Da”. Accesați următoarea intrare apăsând „F3”.
  22. Repetați operația de căutare și ștergere a cheilor până când pe ecran este afișat mesajul „Căutarea în registry este finalizată”.
  23. Pentru a reporni un computer.

De asemenea, puteți utiliza unul dintre utilitarele de dezinstalare disponibile pentru a elimina Sandboxie de pe computer. În special pentru această aplicație, CCleaner, RevoUninstaller, precum și Reg Organizer, un instrument cuprinzător de curățare a registrului, sunt cele mai potrivite.

Luați în considerare mecanismul de dezinstalare din fiecare dintre aceste programe.

CCleaner

Pentru a dezinstala folosind acest software gratuit, trebuie să efectuați următorii pași:


Revo Uninstaller

Pentru a elimina Sandbox-ul din Revo Uninstaller, va trebui să efectuați următoarele manipulări:


Reg Organizator

După eliminarea programelor, va trebui să optimizați registry. Utilitarul Reg Organizer, care poate fi descărcat de pe site-ul oficial, face față cel mai bine acestei sarcini. Pentru a optimiza registrul, veți avea nevoie de:


Există două modalități principale de a rula în siguranță un executabil suspect: sub o mașină virtuală sau într-un așa-numit „sandbox” (sandbox). Mai mult, acestea din urmă pot fi adaptate folosind o modalitate elegantă de analiză a fișierelor online, fără a recurge la utilități și servicii online specializate și fără a folosi foarte multe resurse, așa cum este cazul unei mașini virtuale. Vreau să vă povestesc despre el.

AVERTIZARE

Utilizarea incorectă a tehnicii descrise poate dăuna sistemului și poate duce la infecție! Fii atent și atent.

„Sandbox” pentru analiză

Oamenii care se ocupă de securitatea computerelor sunt foarte familiarizați cu conceptul de „sandbox”. Pe scurt, un sandbox este un mediu de testare în care este executat un anumit program. În același timp, munca este organizată în așa fel încât toate acțiunile programului să fie monitorizate, toate fișierele și setările modificate să fie salvate, dar nu se întâmplă nimic în sistemul real. În general, puteți rula orice fișier cu încredere deplină că acest lucru nu va afecta în niciun fel performanța sistemului. Astfel de instrumente pot fi folosite nu numai pentru a asigura securitatea, ci și pentru a analiza acțiunile malware-ului pe care le efectuează după lansare. Totuși, dacă există o distribuție a sistemului înainte de începerea operațiunilor active și o imagine a ceea ce s-a întâmplat în „sandbox”, puteți urmări cu ușurință toate modificările.

Desigur, există o mulțime de servicii online gata făcute pe Web care oferă analiză de fișiere: Anubis, CAMAS, ThreatExpert, ThreatTrack. Astfel de servicii folosesc abordări diferite și au propriile avantaje și dezavantaje, dar pot fi identificate principalele dezavantaje comune:

Trebuie să aveți acces la Internet. Este necesar să așteptați coada în procesul de procesare (în versiunile gratuite). De obicei, fișierele care sunt create sau modificate în timpul rulării nu sunt furnizate. Imposibil de controlat opțiunile de execuție (în versiunile gratuite). Este imposibil să interferați cu procesul de pornire (de exemplu, faceți clic pe butoanele ferestrelor care apar). În general, nu este posibil să furnizați bibliotecile specifice necesare pentru a rula (în versiunile gratuite). De regulă, sunt analizate numai fișierele PE executabile.

Asemenea servicii sunt construite cel mai adesea pe baza mașinilor virtuale cu instrumente instalate, până la depanatorii de kernel. Se pot organiza si acasa. Cu toate acestea, aceste sisteme sunt destul de solicitante cu resurse și ocupă o cantitate mare de spațiu pe hard disk, iar analiza jurnalelor de depanare necesită mult timp. Aceasta înseamnă că acestea sunt foarte eficiente în studiul profund al anumitor eșantioane, dar este puțin probabil să fie utile în munca de rutină, când nu există nicio modalitate de a încărca resursele sistemului și de a pierde timpul cu analize. Utilizarea „sandbox” pentru analiză vă permite să faceți fără costuri uriașe de resurse.

Câteva avertismente

Astăzi vom încerca să facem propriul nostru analizor bazat pe sandbox, și anume utilitarul Sandboxie. Acest program este disponibil ca shareware pe site-ul web al autorului www.sandboxie.com. Pentru studiul nostru, versiunea gratuită limitată este destul de potrivită. Programul rulează aplicații într-un mediu izolat, astfel încât acestea să nu facă modificări rău intenționate în sistemul real. Dar există două nuanțe aici:

  1. Sandboxie vă permite să urmăriți programe doar la nivelul modului utilizator. Toată activitatea codului rău intenționat în modul kernel nu este urmărită. Prin urmare, maximul care poate fi învățat când se studiază rootkit-urile este modul în care malware-ul este introdus în sistem. Din păcate, este imposibil să se analizeze comportamentul în sine la nivelul modului kernel.
  2. În funcție de setări, Sandboxie poate bloca accesul la Rețea, permite accesul complet sau accesul numai pentru anumite programe. Este clar că dacă malware-ul are nevoie de acces la Internet pentru o lansare normală, acesta trebuie furnizat. Pe de altă parte, dacă aveți un Pinch întins pe o unitate flash care pornește, colectează toate parolele din sistem și le trimite unui atacator prin ftp, atunci Sandboxie cu acces deschis la Internet nu vă va proteja de pierderea informațiilor confidențiale! Acest lucru este foarte important și trebuie reținut.

Configurare inițială Sandbox

Sandboxie este un instrument excelent cu o mulțime de opțiuni de personalizare. Voi aminti doar pe acelea dintre ele care sunt necesare sarcinilor noastre.

După instalarea Sandboxie, este creat automat un sandbox. Puteți adăuga alte câteva „sandbox” pentru diferite sarcini. Setările Sandbox sunt accesate prin meniul contextual. De regulă, toți parametrii care pot fi modificați sunt furnizați cu o descriere destul de detaliată în limba rusă. Opțiunile enumerate în secțiunile Recuperare, Dezinstalare și Restricții sunt deosebit de importante pentru noi. Asa de:

  1. Trebuie să vă asigurați că nimic nu este listat în secțiunea „Recuperare”.
  2. În secțiunea „Eliminare”, nu ar trebui să existe nicio casetă de selectare și/sau foldere și programe adăugate marcate. Dacă parametrii sunt setați incorect în secțiunile indicate la paragrafele 1 și 2, acest lucru poate duce la faptul că codul rău intenționat infectează sistemul sau toate datele pentru analiză sunt distruse.
  3. În secțiunea „Restricții”, trebuie să selectați setările care corespund sarcinilor dvs. Este aproape întotdeauna necesar să restricționați accesul la nivel scăzut și utilizarea hardware-ului la toate programele care rulează pentru a preveni infectarea sistemului de rootkit-uri. Dar, dimpotrivă, nu ar trebui să restricționați accesul la lansare și execuție, precum și să luați drepturi, altfel codul suspect va fi executat într-un mediu non-standard. Totuși, totul, inclusiv disponibilitatea accesului la Internet, depinde de sarcină.
  4. Pentru claritate și comoditate, în secțiunea „Comportament”, este recomandat să activați opțiunea „Afișare chenar în jurul ferestrei” și să selectați o culoare pentru a evidenția programele care rulează într-un mediu restricționat.

Conectăm plugin-uri

În câteva clicuri, am obținut un mediu izolat excelent pentru execuția sigură a codului, dar nu un instrument pentru analizarea comportamentului acestuia. Din fericire, autorul cărții Sandboxie a oferit posibilitatea de a folosi o serie de plug-in-uri pentru programul său. Conceptul este destul de interesant. Suplimentele sunt biblioteci dinamice care sunt încorporate într-un proces sandbox și înregistrează sau modifică execuția acestuia într-un anumit mod.

Vom avea nevoie de câteva plugin-uri, care sunt enumerate mai jos.

  1. SBIExtra. Acest plugin interceptează o serie de funcții pentru un program care rulează într-un sandbox pentru a bloca următoarele caracteristici:
    • prezentare generală a proceselor și firelor executabile;
    • acces la procese din afara sandbox-ului;
    • apelarea funcției BlockInput (intrare de la tastatură și mouse);
    • citind titlurile ferestrelor active.
  2. Antidel. Addonul interceptează funcțiile responsabile pentru ștergerea fișierelor. Astfel, toate fișierele temporare, comanda de ștergere care vine din codul sursă, rămân în continuare la locul lor.

Cum să le integrăm în sandbox? Deoarece acest lucru nu este furnizat de interfața Sandboxie, va trebui să editați manual fișierul de configurare. Creați un folder de pluginuri și despachetați toate pluginurile pregătite în el. Acum atenție: Analizorul Buster Sandbox include mai multe biblioteci cu numele comun LOG_API*.dll, care pot fi injectate în proces. Există două tipuri de biblioteci: Verbose și Standard. Primul afișează o listă aproape completă de apeluri API efectuate de program, inclusiv accesări la fișiere și registry, al doilea este o listă prescurtată. Reducerea vă permite să accelerați munca și să reduceți bușteanul, care apoi trebuie analizat. Personal, nu mi-e frică de bușteni mari, dar mi-e teamă că unele informații necesare vor fi cu atenție „reduse”, așa că aleg Verbose. Aceasta este biblioteca pe care o vom injecta. Pentru a preveni ca malware-ul să detecteze injectarea unei biblioteci după numele ei, vom aplica cea mai simplă precauție: schimbați numele LOG_API_VERBOSE.dll în altceva, de exemplu, LAPD.dll.


Acum, în fereastra principală a Sandboxie, selectați „Configurare -> Editare configurație”. Se va deschide o configurare text cu toate setările programului. Acordați atenție următoarelor rânduri:

  • Parametrul FileRootPath din secțiune specifică calea comună către folderul sandbox, care este folderul în care vor locui toate fișierele sandbox. Pentru mine, acest parametru arată ca FileRootPath=C:\Sandbox\%SANDBOX%, poate diferi pentru tine.
  • Secțiunea nu ne interesează - o sărim și derulăm mai departe.
  • Apoi vine o secțiune al cărei nume este același cu numele sandbox-ului (să fie BSA). Vom adăuga pluginuri aici: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFormBSA activat=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Căile, desigur, pot diferi. Dar ordinea bibliotecilor injectate trebuie să fie exact asta! Această cerință se datorează faptului că interceptarea funcțiilor trebuie efectuată în ordinea specificată, altfel plugin-urile nu vor funcționa. Pentru a aplica modificările, selectați în fereastra principală Sandboxie: „Configurare -> Reîncărcare configurație”.

Acum să configuram pluginul Buster Sandbox Analyzer în sine.

  1. Rulați manual pluginul folosind fișierul bsa.exe din folderul Plugins.
  2. Selectați „Opțiuni -> Mod de analiză –> Manual” și apoi „Opțiuni -> Opțiuni program -> Integrare Windows Shell -> Adăugați acțiunea clic dreapta „Run BSA””.

Acum totul este gata de lucru: „sandbox”-ul nostru este integrat în sistem.

Versiunea portabilă a sandbox-ului

Desigur, multora nu le va plăcea faptul că trebuie să instalezi ceva, să configurezi etc. Deoarece toate acestea nu mă atrag nici pe mine, am realizat o versiune portabilă a instrumentului care poate fi rulată fără instalare și configurare, direct dintr-un Flash Drive USB. Puteți descărca această versiune de aici: tools.safezone.cc/gjf/Sandboxie-portable.zip . Pentru a porni sandbox, este suficient să executați scriptul start.cmd, iar la sfârșitul lucrării, nu uitați să executați scriptul stop.cmd, care va descărca complet driverul și toate componentele din memorie și, de asemenea, va salva modificările efectuate în timpul lucrului în portabil.

Nu există multe setări pentru portabilizer în sine: activitatea acestuia se bazează în principal pe manipularea fișierului Sandboxie.ini.template aflat în folderul Templates. De fapt, acest fișier este un fișier de setări Sandboxie care este procesat și transferat corespunzător în program și, când este terminat, este suprascris înapoi în Șabloane. Dacă deschideți acest fișier cu Notepad, atunci este puțin probabil să găsiți ceva interesant. Asigurați-vă că acordați atenție modelului $(InstallDrive) repetat într-un număr de parametri de cale. Suntem interesați în special de parametrul FileRootPath. Daca arata asa:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Apoi vor fi create sandbox-uri pe discul pe care se află Sandboxie portabil. Dacă parametrul arată astfel, de exemplu:

FileRootPath=C:\Sandbox\%SANDBOX%

Cu alte cuvinte, specifică o anumită unitate de sistem, apoi vor fi create sandbox-uri pe această unitate.

Personal, recomand să creați întotdeauna sandbox-uri pe unitățile locale. Acest lucru accelerează munca instrumentului, iar atunci când este lansat de pe o unitate flash USB, accelerează cu ordine de mărime. Dacă ești atât de paranoic încât vrei să alergi și să analizezi tot ceea ce ai pe suportul tău preferat pe care îl porți la inimă, atunci poți schimba parametrul, dar apoi măcar să folosești hard disk-uri portabile pentru ca totul să nu frâneze fără Dumnezeu.

Uz practic

Să încercăm instrumentul nostru pe o amenințare reală. Pentru ca nimeni să nu-mi reproșeze trucul, am făcut un lucru simplu: am intrat pe www.malwaredomainlist.com și am descărcat cel mai recent apărut acolo la momentul scrierii. Sa dovedit a fi un fișier pp.exe frumos de pe un site infectat. Numai numele inspiră mari speranțe, în plus, antivirusul meu a țipat imediat la acest fișier. Apropo, toate manipulările noastre se fac cel mai bine cu antivirusul dezactivat, altfel riscăm să blocăm / ștergem ceva din ceea ce cercetăm. Cum se studiază comportamentul unui binar? Doar faceți clic dreapta pe acest fișier și selectați Run BSA din meniul drop-down. Se deschide fereastra Buster Sandbox Analyzer. Ne uităm cu atenție la folderul Sandbox de linie pentru a verifica. Toți parametrii trebuie să se potrivească cu cei pe care i-am specificat la configurarea Sandboxie, adică dacă sandbox-ul a fost numit BSA și parametrul FileRootPath=C:\Sandbox\%SANDBOX% a fost setat ca cale către folder, atunci totul ar trebui să fie ca pe captură de ecran. Dacă știți multe despre perversiuni și ați numit sandbox diferit sau setați parametrul FileRootPath la o altă unitate sau folder, trebuie să îl modificați în consecință. În caz contrar, Buster Sandbox Analyzer nu va ști unde să caute fișiere noi și modificări ale registrului.


BSA include o mulțime de setări pentru analiza și studierea procesului de execuție binară, până la interceptarea pachetelor de rețea. Simțiți-vă liber să apăsați butonul Porniți analiza. Fereastra va comuta în modul de analiză. Dacă sandbox-ul selectat pentru analiză dintr-un anumit motiv conține rezultatele unui studiu anterior, utilitarul va oferi mai întâi să îl ștergeți. Totul este pregătit pentru a lansa dosarul aflat în anchetă.

Gata? Apoi faceți clic dreapta pe fișierul în studiu și selectați „Run în sandbox” în meniul care se deschide, apoi specificați „sandbox” la care am atașat BSA.

Imediat după aceea, apelurile API vor rula în fereastra analizorului, care va fi înregistrată în fișierele jurnal. Vă rugăm să rețineți că Buster Sandbox Analyzer în sine nu știe când va fi finalizată analiza procesului, de fapt, clicul dvs. pe butonul Finalizați analiza servește drept semnal pentru sfârșit. De unde știi când a sosit momentul? Pot exista două opțiuni.

  1. Niciun proces care rulează nu este afișat în fereastra Sandboxie. Aceasta înseamnă că execuția programului s-a încheiat în mod explicit.
  2. Nimic nou nu apare mult timp în lista de apeluri API sau, dimpotrivă, același lucru este afișat într-o secvență ciclică. În același timp, în fereastra Sandboxie rulează altceva. Acest lucru se întâmplă dacă programul este configurat pentru execuție rezidentă sau pur și simplu se blochează. În acest caz, trebuie mai întâi terminat manual făcând clic dreapta pe sandbox-ul corespunzător din fereastra Sandboxie și selectând End Programs. Apropo, când îmi analizez pp.exe, a apărut exact această situație.

După aceea, puteți selecta în siguranță Finish Analysis în fereastra Buster Sandbox Analyzer.


Analiza Comportamentului

Făcând clic pe butonul Analizor malware, vom obține imediat câteva informații rezumative despre rezultatele studiului. În cazul meu, răutatea fișierului a fost destul de evidentă: în timpul execuției, a fost creat și lansat fișierul C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, care a fost adăugat la autoload (apropo, a fost cel care nu a vrut să se rezilieze), s-a făcut o conexiune cu 190.9.35.199 și a fost modificat fișierul hosts. Apropo, în același timp, doar cinci motoare antivirus au detectat fișierul pe VirusTotal, așa cum se poate vedea din jurnalele, precum și pe site-ul web VirusTotal.


Toate informațiile despre rezultatele analizei pot fi accesate direct din meniul Viewer din fereastra Buster Sandbox Analyzer. Jurnalul de apeluri API este, de asemenea, amplasat aici, ceea ce va fi cu siguranță util în cercetarea detaliată. Toate rezultatele sunt stocate ca fișiere text în subdosarul Rapoarte din folderul Buster Sandbox Analyzer. De un interes deosebit este raportul Report.txt (numit prin View Report), care oferă informații extinse despre toate fișierele. De acolo aflăm că fișierele temporare erau de fapt executabile, conexiunea a mers la http://190.9.35.199/view.php?rnd=787714, malware-ul a creat un mutex specific G4FGEXWkb1VANr, etc. Nu puteți doar vizualiza rapoarte, dar și extrage toate fișierele create în timpul execuției. Pentru a face acest lucru, în fereastra Sandboxie, faceți clic dreapta pe „sandbox” și selectați „View Contents”. Se va deschide o fereastră de explorare cu tot conținutul sandbox-ului nostru: folderul unitate conține fișiere create pe discurile fizice ale sandbox-ului, iar folderul utilizator conține fișiere create în profilul utilizator activ (% userprofile%). Aici am găsit dplaysvr.exe cu biblioteca dplayx.dll, fișiere tmp temporare și fișiere gazde modificate. Apropo, s-a dovedit că i s-au adăugat următoarele rânduri:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Rețineți că fișierele infectate zac în sandbox. Dacă le lansați accidental făcând dublu clic, nu se va întâmpla nimic (se vor lansa în sandbox), dar dacă le copiați undeva și apoi le executați... hmm, bine, ați înțeles ideea. Aici, în folder, puteți găsi un dump de registry care a fost modificat în timpul lucrului, sub forma unui fișier RegHive. Acest fișier poate fi tradus cu ușurință într-un fișier .reg mai ușor de citit folosind următorul script de comandă:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG DESCARCARE HKLM\uuusandboxuuu notepad sandbox.reg

Ce poate și nu poate face instrumentul

Instrumentul rezultat poate:

  • Urmăriți apelurile API ale unei aplicații care rulează.
  • Monitorizați fișierele nou create și setările de registry.
  • Capturați traficul de rețea când aplicația rulează.
  • Efectuați o analiză de bază a fișierelor și a comportamentului acestora (analizator comportamental încorporat, analiză pe VirusTotal prin hashuri, analiză folosind PEiD, ExeInfo și ssdeep etc.).
  • Obțineți câteva informații suplimentare rulând programe auxiliare (de exemplu, Process Monitor) în „sandbox” împreună cu cel analizat.

Acest instrument nu poate:

  • Analizați programele malware care rulează în modul kernel (care necesită instalarea driverului). Cu toate acestea, este posibil să se identifice mecanismul de instalare a driverului (înainte de a fi implementat efectiv în sistem).
  • Analizați programele malware care monitorizează execuția în Sandboxie. Cu toate acestea, Buster Sandbox Analyzer include o serie de mecanisme pentru a preveni o astfel de urmărire.

Astfel, veți obține sandbox.reg, care conține liniile introduse de malware în timpul execuției acestuia. După efectuarea analizei, selectați elementul Anulare analiză din meniul Opțiuni pentru a returna totul așa cum era. Vă rugăm să rețineți că după această operațiune, toate jurnalele de analiză vor fi șterse, dar conținutul sandbox-ului va rămâne pe loc. Cu toate acestea, data viitoare când porniți programul în sine vă va oferi să ștergeți totul.

Internetul este plin de viruși. Ele pot fi deghizate ca programe utile sau chiar pot fi integrate într-un program dorit. (Destul de des întâlnit în programele piratate, așa că programele piratate ar trebui tratate cu neîncredere, mai ales dacă descărcați de pe site-uri suspecte). Așa că ai instalat un program și altceva a fost pus în computer ca bonus (în cel mai bun caz, programe pentru navigarea ascunsă sau mineri), și în cel mai rău caz, războinici, uși din spate, hoți și alte trucuri murdare.

Există 2 opțiuni dacă nu aveți încredere în fișier.
- Rularea unui virus într-un sandbox
- Utilizarea mașinilor virtuale

În acest articol, vom lua în considerare prima opțiune - cutie de nisip pentru Windows.

Cutia de nisip pentru Windows este o oportunitate excelentă de a lucra cu fișiere suspecte, ne vom uita la cum să începem să utilizați cutia de nisip.
Dacă utilizați antivirusuri, sandbox-urile sunt deja încorporate în ele. Dar nu-mi plac aceste lucruri și cred că cel mai bine este să descărcați sandbox-ul de pe www.sandboxie.com.

Programul vă permite să rulați un fișier într-o zonă special alocată, dincolo de care virușii nu pot scăpa și nu vă pot afecta computerul.

Puteți descărca programul gratuit. Însă, după 2 săptămâni de utilizare, când îl porniți, va apărea un semn despre oferta de cumpărare a unui abonament, iar programul poate fi lansat în câteva secunde. Dar programul rămâne încă destul de funcțional. Instalarea nu va cauza dificultăți. Și interfața în sine este destul de simplă.

În mod implicit, programul va porni automat când porniți computerul. Dacă programul rulează, va apărea o pictogramă tavă. Dacă nu, ar trebui să rulați Start-All Programs-Sandboxie-Manage sandboxie.
Cel mai simplu mod de a rula un program în sandbox este să faceți clic dreapta pe fișierul de lansare sau pe scurtătura programului dorit, iar în meniu veți vedea inscripția „Run in sandbox” faceți clic și rulați. Selectați profilul dorit în care să rulați și faceți clic pe OK. Totul, programul necesar funcționează într-un mediu sigur și virușii nu vor ieși din sandbox.


Atenție: unele programe infectate nu permit rularea în sandbox-uri și mașini virtuale, forțându-le să ruleze direct. Dacă întâmpinați o astfel de reacție, cel mai bun lucru de făcut este să ștergeți fișierul, altfel alergați pe propriul risc și risc

.

Dacă lansarea în sandbox nu apare în meniul contextual (făcând clic dreapta), accesați fereastra programului, selectați Personalizare - Integrare în Windows Explorer - și bifați cele două casete de sub „Acțiuni - rulați în sandbox.

Puteți crea diferite casete cu nisip. Pentru a face acest lucru, faceți clic pe Sandbox - creați un sandbox și scrieți numele celui nou. De asemenea, le puteți șterge pe cele vechi din secțiunea sandbox (recomandat).

Nu mai este nimic de luat în considerare în program. În cele din urmă, vreau să spun - Ai grijă de datele tale și de computerul tău! Pana ne vom intalni din nou

postări asemănatoare:

Ștergerea fișierelor care nu pot fi îndepărtate de pe computer mașină virtuală Windows. Prezentare generală și configurare a programului Windows 10 dezactivează urmărirea

Așa că am decis să abordăm pe scurt acest subiect.

În esență, un „sandbox” este un mediu software izolat cu resurse strict limitate pentru executarea codului de program (pur și simplu vorbind, rularea programelor) în acest mediu. Într-un fel, „sandbox” este unul atât de redus, conceput pentru a izola procesele dubioase din motive de securitate.

Unele dintre antivirusurile și firewall-urile bune (deși, de regulă, în versiunea lor plătită) folosesc această metodă fără știrea dvs., unele vă permit să gestionați această funcționalitate (pentru că tot creează un consum excesiv de resurse), dar există și programe care permit implementați funcționalități similare.

Despre unul dintre aceștia vom vorbi astăzi.

Din păcate, este shareware, dar aceeași perioadă gratuită vă va ajuta să cunoașteți mai bine acest tip de instrument, ceea ce vă poate împinge și mai mult către un studiu mai detaliat, care, în cea mai mare parte, există gratuit și oferă mai multe funcții. .

Puteți descărca Sandboxie de la sau, să zicem, . Instalarea este aproape elementară, cu excepția momentului în care trebuie să instalați driverul (vezi captura de ecran de mai jos).

În această etapă, este mai bine să dezactivați orice elemente de protecție (adică aceleași antivirusuri și firewall-uri), în caz contrar, dacă acest pas nu reușește și computerul îngheață, repornește sau intră, atunci este posibil să fie necesar să porniți în modul sigur și să eliminați program fără posibilitatea de utilizare ulterioară.

După instalare, de fapt, programul trebuie lansat. Este posibil să întâlniți notificarea prezentată mai sus. Nu este nimic în neregulă cu el, doar faceți clic pe „OK”.

În continuare, vi se va oferi să urmați un curs scurt despre lucrul cu programul sau, mai degrabă, vă vor spune puțin despre cum funcționează. Treceți prin toate cele șase etape, de preferință citind cu atenție ceea ce este scris în instrucțiunile care vi se oferă.

Pe scurt, de fapt, puteți rula orice program într-un mediu izolat. În instrucțiuni, dacă ați citit-o, este dată destul de bine o metaforă pe tema că, de fapt, sandbox-ul este o bucată de hârtie transparentă plasată între program și computer, iar ștergerea conținutului sandbox-ului este oarecum similară la aruncarea unei foi de hârtie uzate și a conținutului acesteia, cu, ceea ce este logic, înlocuirea ulterioară cu una nouă.

Cum să configurați și să utilizați programul sandbox

Acum să încercăm să înțelegem cum să lucrăm cu el. Pentru început, puteți încerca să rulați, să zicem, un browser într-un sandbox. Pentru a face acest lucru, de fapt, fie utilizați comanda rapidă care a apărut pe desktop, fie folosiți elementele de meniu din fereastra principală a programului: " DefaultBox - Rulați în Sandbox - Lansați browserul web", sau dacă doriți să lansați un browser care nu este instalat ca browser implicit în sistem, atunci utilizați " Rulați orice program" și specificați calea către browser (sau program).

După aceea, de fapt, browserul va fi lansat în „sandbox” și veți vedea procesele sale în fereastra Sandboxie. Din acest moment, tot ceea ce se întâmplă are loc, după cum s-a spus în repetate rânduri, într-un mediu izolat și, de exemplu, un virus care folosește cache-ul browserului ca element pentru a pătrunde în sistem, de fapt, nu va putea cu adevărat face orice, pentru că la terminarea lucrului cu mediul izolat.. Îl poți curăța aruncând, așa cum spunea metafora, foaia scrisă și trecând la una nouă (fără a atinge integritatea computerului ca atare) .

Pentru a șterge conținutul casetei de nisip (dacă nu aveți nevoie), în fereastra principală a programului sau în tavă (aici este ceasul și alte pictograme) utilizați elementul " DefaultBox - Eliminați conținut".

Atentie! Doar partea care a fost scrisă și lucrată într-un mediu izolat va fi ștearsă, adică, de exemplu, browserul în sine nu va fi șters de pe computer, ci transferat pe acesta .. mmm .. relativ vorbind, o copie a procesului , memoria cache creată, datele salvate (cum ar fi fișierele descărcate/create) etc. vor fi șterse dacă nu le salvați.

Pentru a înțelege mai profund principiul de funcționare, încercați să rulați browserul și alt software în sandbox de mai multe ori, descărcați diferite fișiere și ștergeți / salvați conținutul după terminarea lucrului cu acest sandbox și apoi, de exemplu, lansați același browser sau program direct pe computer. Crede-mă, vei înțelege esența în practică mai bine decât poate fi explicată în cuvinte.

Apropo, făcând clic pe butonul din dreapta al mouse-ului pe un proces din lista de procese a ferestrei Sandboxie, puteți controla accesul la diferite tipuri de resurse de computer în ocolirea sandbox-ului selectând „ Accesul la resurse".

În linii mari, dacă doriți să riscați și să acordați, de exemplu, aceluiași Google Chrome, acces direct la orice folder de pe computer, atunci puteți face acest lucru în fila corespunzătoare ( Acces la fișiere - Acces direct/complet) folosind butonul Adăugare.

Este logic că sandbox-ul este destinat nu numai și nu atât pentru a lucra cu browserul și a răsfoi tot felul de site-uri dubioase, ci și pentru a lansa aplicații care vi se par suspecte (mai ales, de exemplu, la serviciu (unde des), lansează fișiere dubioase de pe e-mail sau unități flash) și/sau nu ar trebui să aibă acces la resursele principale ale computerului și/sau să lase urme inutile acolo.

Apropo, acesta din urmă poate fi un element bun de protecție, adică pentru lansarea oricărei aplicații, ale cărei date trebuie izolate complet și șterse la terminarea lucrărilor.

Desigur, nu este necesar să ștergeți datele din sandbox la finalizare și să lucrați cu unele programe doar într-un mediu izolat (progresul este reținut și există posibilitatea recuperării rapide), dar depinde de dvs. să o faceți sau nu .

Când încercați să rulați unele programe, este posibil să întâmpinați problema de mai sus. Nu vă fie frică de asta, este suficient, pentru început, să faceți pur și simplu clic pe „OK” și, în viitor, să deschideți setările sandbox folosind „ DefaultBox - Setări Sandbox" și pe fila " Transfer de fișiere " setați o dimensiune puțin mai mare pentru opțiunea de transfer de fișiere.

Nu vom vorbi acum despre alte setări, dar dacă acestea sunt de interes pentru tine, atunci le poți rezolva cu ușurință singur, deoarece totul este în rusă, este extrem de clar și accesibil. Ei bine, dacă aveți întrebări, vă îi puteți întreba în comentarii la această intrare.

Pe sim, poate, puteți trece la postfață.

Postfaţă

Da, aproape că am uitat, desigur, că sandbox-ul consumă o cantitate crescută de resurse ale mașinii, deoarece mușcă (virtualizează) o parte din capacitate, ceea ce, desigur, creează o încărcare diferită de lansarea directă. Dar, logic, securitatea și/sau confidențialitatea ar putea merita.

De altfel, utilizarea sandboxing, chrooting sau virtualizare este parțial legată de metodologia de securitate fără antivirus pe care noi .

Pe sim, poate totul. Ca întotdeauna, dacă aveți întrebări, gânduri, completări și așa mai departe, atunci bine ați venit să comentați această postare.

Puteți privi la nesfârșit focul, apa și activitatea programelor izolate în sandbox. Datorită virtualizării, cu un singur clic poți trimite rezultatele acestei activități - adesea nesigure - în uitare.

Cu toate acestea, virtualizarea este folosită și în scopuri de cercetare: de exemplu, ați vrut să controlați impactul unui program proaspăt compilat asupra sistemului sau să rulați două versiuni diferite ale unei aplicații în același timp. Sau creați o aplicație autonomă care nu va lăsa urme pe sistem. Există multe opțiuni pentru utilizarea sandbox-ului. Nu programul îi dictează condițiile în sistem, dar îi arăți calea și alocați resurse.

Dacă nu sunteți mulțumit de încetinirea procesului, folosind instrumentul ThinApp Converter puteți pune virtualizarea în flux. Programele de instalare vor fi create pe baza configurației specificate de dvs.

În general, dezvoltatorii sfătuiesc să se producă toate aceste preparate în condiții sterile, pe un sistem de operare proaspăt, astfel încât să fie luate în considerare toate nuanțele instalației. În aceste scopuri, puteți folosi o mașină virtuală, dar, desigur, aceasta își va lăsa amprenta asupra vitezei de lucru. VMware ThinApp încarcă deja foarte mult resursele de sistem și nu numai în modul de scanare. Cu toate acestea, după cum se spune, încet, dar sigur.

Zona tampon

  • Site: www.trustware.com
  • Dezvoltator: trustware
  • Licență: freeware

BufferZone controlează activitatea pe Internet și software a aplicațiilor folosind o zonă virtuală, apropiindu-se de firewall-uri. Cu alte cuvinte, folosește virtualizarea bazată pe reguli. BufferZone funcționează perfect cu browsere, mesagerie instantanee, e-mail și clienți P2P.

La momentul scrierii acestui articol, dezvoltatorii au avertizat despre posibile probleme atunci când lucrați cu Windows 8. Programul poate ucide sistemul, după care va trebui să fie șters prin modul sigur. Acest lucru se datorează driverelor BufferZone, care intră în conflict serios cu sistemul de operare.

Ceea ce se încadrează sub radarul BufferZone poate fi urmărit în secțiunea principală Rezumat. Numărul de aplicații restricționate îl determinați singur: pentru aceasta este destinată lista Programe de rulat în interiorul BufferZone. Include deja aplicații potențial nesigure, cum ar fi browsere și clienți de e-mail. Un chenar roșu apare în jurul ferestrei aplicației capturate, oferindu-vă încredere pentru a naviga în siguranță. Dacă doriți să rulați în afara zonei - nicio problemă, controlul poate fi ocolit prin meniul contextual.

Pe lângă zona virtuală, există și o zonă privată. Puteți adăuga site-uri care necesită cea mai strictă confidențialitate. Trebuie remarcat imediat că funcția funcționează numai în versiunile retro de Internet Explorer. Browserele mai moderne au instrumente de anonimizare încorporate.

În secțiunea Politică, politica este configurată în raport cu instalatorii și actualizările, precum și cu programele lansate de pe dispozitive și surse de rețea. Consultați și Opțiuni avansate de politică în Configurații. Există șase niveluri de control, în funcție de care se schimbă atitudinea BufferZone față de programe: fără protecție (1), automat (2) și semi-automat (3), notificări despre lansarea tuturor (4) și programe nesemnate (5). ), protectie maxima (6) .

După cum puteți vedea, valoarea BufferZone este controlul total pe Internet. Dacă aveți nevoie de reguli mai flexibile, atunci orice firewall vă va ajuta. BufferZone are și el, dar mai mult pentru spectacol: vă permite să blocați aplicații, adrese de rețea și porturi. Din punct de vedere practic, nu este foarte convenabil pentru accesul activ la setări.

Evalaze

  • Site: www.evalaze.de/en/evalaze-oxid/
  • Dezvoltator: Dogel GmbH
  • Licență: software gratuit / comercial (2142 €)

Caracteristica principală a Evalaze este flexibilitatea aplicațiilor virtualizate: acestea pot fi rulate de pe medii amovibile sau dintr-un mediu de rețea. Programul vă permite să creați distribuții complet autonome care funcționează într-un sistem de fișiere emulat și într-un mediu de registru.

Caracteristica principală a lui Evalaze este un vrăjitor ușor de utilizat, care este de înțeles fără a citi manualul. În primul rând, faceți o imagine a sistemului de operare înainte de a instala programul, apoi îl instalați, faceți un test de rulare și îl configurați. În continuare, urmând vrăjitorul Evalaze, analizați modificările. Este foarte asemănător cu principiul de funcționare al dezinstalatoarelor (de exemplu, Soft Organizer).

Aplicațiile virtualizate pot funcționa în două moduri: în primul caz, operațiunile de scriere sunt redirecționate către sandbox, în al doilea caz, programul va putea scrie și citi fișiere în sistemul real. Dacă programul va șterge sau nu urmele activităților sale depinde de dvs., opțiunea Ștergere automată Old Sandbox vă stă la dispoziție.

Multe caracteristici interesante sunt disponibile numai în versiunea comercială a lui Evalaze. Printre acestea - editarea elementelor de mediu (cum ar fi fișierele și cheile de registry), importarea proiectelor, setarea modului de citire. Cu toate acestea, licența costă mai mult de două mii de euro, ceea ce, vedeți, este ceva mai mare decât bariera psihologică a prețului. La un preț la fel de prohibitiv, se oferă utilizarea unui serviciu de virtualizare online. Ca o consolare, site-ul dezvoltatorului are aplicații de mostre virtuale prefabricate.

cameyo

  • Site: www.cameyo.com
  • Dezvoltator: cameyo
  • Licență: freeware

O examinare superficială a lui Cameyo sugerează că funcțiile sunt similare cu Evalaze și puteți „orbit” un kit de distribuție cu o aplicație virtualizată în trei clicuri. Agentul de ambalare face un instantaneu al sistemului, îl compară cu modificările după instalarea software-ului și creează un ecosistem pentru a rula.

Cea mai importantă diferență față de Evalaze este că programul este complet gratuit și nu blochează nicio opțiune. Setările sunt concentrate convenabil: comutarea metodei de virtualizare cu salvare pe disc sau memorie, alegerea modului de izolare: salvarea documentelor în directoare specificate, interzicerea scrierii sau a accesului complet. În plus, puteți personaliza mediul virtual folosind editorul de fișiere și cheile de registry. Fiecare folder are, de asemenea, unul dintre cele trei niveluri de izolare care pot fi ușor depășite.

Puteți specifica cum să curățați sandbox-ul după părăsirea aplicației offline: eliminați urmele, fără curățare și scrieți modificările de registry într-un fișier. De asemenea, este disponibilă integrarea cu Explorer și capacitatea de a lega anumite tipuri de fișiere din sistem, ceea ce nu este nici măcar în analogii plătiți de Cameyo.

Cu toate acestea, cel mai interesant lucru nu este partea locală a Cameyo, ci pachetul online și aplicațiile virtuale publice. Este suficient să specificați adresa URL sau să încărcați programul de instalare MSI sau EXE pe server, specificând bitness-ul sistemului și veți obține un pachet autonom la ieșire. De acum înainte, este disponibil sub acoperișul norului tău.

rezumat

Sandboxie va fi cea mai bună alegere pentru experimente în sandbox. Programul este cel mai informativ dintre instrumentele enumerate, are o funcție de monitorizare. O gamă largă de setări și opțiuni bune pentru gestionarea unui grup de aplicații.

Nu are funcții unice, dar este foarte simplu și fără probleme. Un fapt interesant: articolul a fost scris în acest „cutie cu nisip”, iar din cauza unei greșeli nefericite, toate schimbările au intrat în „umbră” (a se citi: astral). Dacă nu pentru Dropbox, un text complet diferit ar fi fost publicat pe această pagină - cel mai probabil, de un alt autor.

Evalaze oferă nu o abordare integrată de virtualizare, ci una individuală: controlați lansarea unei anumite aplicații prin crearea condițiilor de habitat artificial pentru aceasta. Există avantaje și dezavantaje aici. Cu toate acestea, ținând cont de restrângerea versiunii gratuite a lui Evalaze, demnitatea se va estompa în ochii tăi.

cameyo are o anumită aromă „înnorat”: aplicația poate fi descărcată de pe site, încărcată pe o unitate flash USB sau Dropbox - acest lucru este convenabil în multe cazuri. Adevărat, duce la asocieri cu fast-food: nu poți garanta calitatea și conformitatea conținutului cu descrierea.

Dar dacă preferați să gătiți conform rețetei, VMware ThinApp- opțiunea ta. Aceasta este o soluție pentru experții cărora le pasă de fiecare nuanță. Un set de caracteristici unice este completat de capacitățile consolei. Puteți converti aplicații din linia de comandă folosind configurații, scripturi - individual și în loturi.

Zona tampon este un sandbox cu funcție de firewall. Acest hibrid este departe de a fi setările perfecte și actualizate, dar puteți utiliza BufferZone pentru a controla activitatea și aplicațiile pe Internet, pentru a vă proteja împotriva virușilor și a altor amenințări.

Nou pe site

>

Cel mai popular

Legume. Fructe de pădure. Cereale. Copaci și arbuști. Agricultură. Flori. Peisaj.

© 2022. .

SECȚIUNI POPULARE