Hur man kör ett program i en sandlåda. Verktyg för att köra applikationer i en virtuell miljö. Hur man kör ett program i en sandlåda

Sandboxie låter dig snabbt övervaka driften av applikationer installerade på din dator, och är också ett proaktivt försvarsverktyg. För att helt ta bort Sandboxie från vilken enhet som helst måste du använda någon av de tillgängliga avinstallationsmetoderna.

Om programmet

Utvecklaren är Ronen Tzur, applikationen tillhör kategorin shareware. Från och med januari 2019 finns det två versioner av mjukvarulösningen:

• 26 Stabil;
• 27.3 Beta.

Sandboxy har ett enkelt och intuitivt gränssnitt på både engelska och ryska. Installation är möjlig på datorer med Windows operativsystem, från och med version 7 och senare. Lämplig för både 32-bitars och 64-bitars OS. Verktyget har den så kallade "Sandlådan" - ett verktyg som låter dig avsevärt öka nivån på PC-skyddet mot externa hot: webbläsarkapare, trojaner, nätfiskeprogram och andra program från kategorin "Badware".

Jobbar på Sandboxy

För att installera måste du följa enkla steg:

Nu kan du börja arbeta i verktyget, till exempel ladda ner valfri programvara från Internet och kontrollera den nedladdade paketinstallationen för virus och programvara från tredje part. För att skanna någon "exe" måste du följa dessa steg:

Förutom att kontrollera programvaran för virus kan du köra valfri applikation på din dator, såväl som webbläsare som Google Chrome, Opera, Mozilla Firefox, Internet Explorer och Yandex.Browser. För att göra detta, följ bara enkla steg:

Med hjälp av denna programvara kan du alltså köra vilka program som helst på en dator i en isolerad virtuell miljö och styra pågående processer. Samtidigt kommer sandlådan inte att kunna skriva data till registret, komma åt systemdata, påverka datorns prestanda, etc.

Avinstallera

Innan du fortsätter med avinstallationen av sandlådan måste du rensa upp de kvarvarande filerna som visas under driften av programvaran och täppa till datorn. Därefter, när du avinstallerar programvaran, behöver användaren inte ta bort dem manuellt. För att rengöra "skräpet" måste du:

Standard avinstallation

Ta bort Sandboxie helt från din dator med "SandboxieInstall.exe" installationsprogrammet:

1. Kontrollera att programmet är stängt: gå till "Enhetshanteraren" genom att trycka på kombinationen Ctrl + Alt + Delete, eller genom att trycka på Win + R-kombinationen och ange kommandot "takmgr" i "Kör"-fönstret.
2. I "Task Manager" hittar du på fliken "Processer" en körbar exe-fil med namnet på verktyget som ska tas bort, vänsterklicka på den, ring alternativet "Avsluta uppgift" längst ner på skärmen.
   
3. Gå till fönstret "Startup" och kontrollera att den avinstallerade programvaran har statusen "Inaktiverad" och följaktligen inte finns i autostartlistan. För att göra detta, högerklicka på objektet och klicka på "Inaktivera". Om snabbmenyalternativet "Aktivera" visas, är allt bra, du kan fortsätta till nästa steg.
4. Håll ner kombinationen Win + R och kör in koden "msconfig", klicka sedan på "OK".
5. I "Systemkonfiguration" gå till "Boot"-menyn och markera rutan mittemot alternativet "Säkert läge". Se till att klicka på "Apply" för att ändringarna ska träda i kraft, "OK".
   
6. Windows 7-användare måste också gå till fliken "Startup" och utesluta programvaran från autostartlistan: högerklicka på filnamnet i listan över autostartapplikationer och välj funktionen "Inaktivera".
7. Starta om datorn: inloggningen kommer att utföras i säkert läge.
8. Kör installationsfilen "SandboxieInstall.exe" - "Nästa". I listan med alternativ väljer du "Avinstallera program" (namnet på funktionen kan variera beroende på versionen av installationsprogrammet).
9. Den automatiska processen för att ta bort programkomponenter från datorn startar, varefter det rekommenderas att ytterligare rengöra datorn från kvarvarande filer.
   
10. Först och främst måste du gå till "C:\ProgramFiles\", hitta katalogen "Sanboxie" - klicka på den hittade mappen med vänster musknapp och håll nere Skift + Delete för att avinstallera objektet utan att flytta det till " Skräp".
11. Nu måste du hålla ner Win + E-kombinationen och från "Utforskaren"-fönstret gå till "Den här datorn" - "Lokal disk C", välj katalogen "Användare", gå till mappen för den aktuella användaren som installerade verktyget på din dator, välj den dolda mappen "appdata".
12. Om den angivna katalogen inte visas, måste du klicka på "Visa" -verktyget högst upp i "Utforskaren" och välja "Alternativ".
13. Fönstret "Mappalternativ" öppnas, gå till den andra fliken som heter "Visa", scrolla längst ner på skärmen till avsnittet "Dolda filer och mappar" och markera rutan "Visa dolda filer ...". Klicka på "Apply" och stäng "Mappalternativ".
    
14. Gå till AppData: i den angivna katalogen finns mappar som heter "Local", "LocalLow" och "Roaming" - kontrollera att det inte finns några filer med namnet "Sandboxie" i dessa mappar. Om sådana objekt hittas, välj dem och ta bort dem med kommandot Shift + Delete.
15. Gå tillbaka till den lokala enheten "C" och kontrollera den dolda mappen "ProgramData" - den ska inte innehålla filer relaterade till fjärrprogrammet.
16. Nu måste du gå till fönstret "Registerredigeraren". Du kan göra detta med hjälp av "PowerShell (administratör)"-menyn - högerklicka på "Start"-knappen och gå till lämplig konsol.
17. Spara det aktuella tillståndet för registret med alternativet "Exportera ...", som finns i menyn "Arkiv". Ange namnet på den sparade reg-filen och mappen. Ange exportintervall - "Hela registret". I framtiden kommer det att vara möjligt att återställa registret från den angivna filen (i händelse av problem efter manuell rengöring av registret).
    
18. I konsolfönstret skriver du lösenordsfrasen "regedit" utan citattecken, "Enter".
19. Verktyget "Registerredigeraren" öppnas - håll ned kombinationen Ctrl + F, skriv in namnet på den fjärranslutna "sandlådan" i sökfältet och klicka sedan på "Sök nästa".
20. Efter ett par sekunder visar monitorn den första registernyckeln som fanns kvar efter det borttagna programmet. Dubbelklicka på objektet med vänster musknapp och markera "Värde"-cellen - den ska innehålla en referens till "Sandlådan".
21. För att rensa registret från den hittade filen eller mappen, högerklicka på objektet och påbörja avinstallationen med alternativet "Ta bort". Bekräfta din åtgärd genom att klicka på "Ja". Gå till nästa post genom att trycka på "F3".
    
22. Upprepa operationen med att söka och ta bort nycklar tills meddelandet "Sökningen i registret är klar" visas på skärmen.
23. För att starta om en dator.

Du kan också använda ett av de tillgängliga avinstallationsverktygen för att ta bort Sandboxie från din dator. Specifikt för denna applikation är CCleaner, RevoUninstaller, såväl som Reg Organizer, ett omfattande verktyg för registerrensning, bäst lämpade.

Tänk på avinstallationsmekanismen i vart och ett av dessa program.

CCleaner

För att avinstallera med denna gratis programvara måste du utföra följande steg:

Revo Uninstaller

För att ta bort sandlådan i Revo Uninstaller måste du utföra följande manipulationer:

Reg Arrangör

När du har tagit bort programmen måste du optimera registret. Verktyget Reg Organizer, som kan laddas ner från den officiella webbplatsen, klarar denna uppgift bäst. För att optimera registret behöver du:

Det finns två huvudsakliga sätt att köra en misstänkt körbar fil på ett säkert sätt: under en virtuell maskin eller i en så kallad "sandlåda" (sandlåda). Dessutom kan den senare anpassas på ett elegant sätt för onlinefilanalys, utan att tillgripa specialiserade verktyg och onlinetjänster och utan att använda en massa resurser, som är fallet med en virtuell maskin. Jag vill berätta om honom.

VARNING

Felaktig användning av den beskrivna tekniken kan skada systemet och leda till infektion! Var uppmärksam och försiktig.

"Sandlåda" för analys

Människor som sysslar med datorsäkerhet är mycket bekanta med begreppet "sandlåda". Kort sagt är en sandlåda en testmiljö där ett visst program körs. Samtidigt är arbetet organiserat på ett sådant sätt att alla programåtgärder övervakas, alla ändrade filer och inställningar sparas, men ingenting händer i det verkliga systemet. I allmänhet kan du köra vilka filer som helst med fullt förtroende för att detta inte kommer att påverka systemets prestanda på något sätt. Sådana verktyg kan användas inte bara för att säkerställa säkerheten, utan också för att analysera åtgärderna för skadlig programvara som den utför efter att den har lanserats. Ändå, om det finns en avgjutning av systemet innan aktiv verksamhet startar och en bild av vad som hände i "sandlådan", kan du enkelt spåra alla förändringar.

Naturligtvis finns det många färdiga onlinetjänster på webben som erbjuder filanalys: Anubis, CAMAS, ThreatExpert, ThreatTrack. Sådana tjänster använder olika tillvägagångssätt och har sina egna fördelar och nackdelar, men vanliga huvudsakliga nackdelar kan identifieras:

Du måste ha tillgång till Internet. Det är nödvändigt att vänta på kön under bearbetning (i gratisversioner). Vanligtvis tillhandahålls inte filer som skapas eller ändras under körning. Det går inte att kontrollera körningsalternativ (i gratisversioner). Det är omöjligt att störa startprocessen (klicka till exempel på knapparna i fönstren som visas). Det är i allmänhet inte möjligt att tillhandahålla de specifika bibliotek som behövs för att köras (i gratisversionerna). Som regel analyseras endast körbara PE-filer.

Sådana tjänster är oftast byggda på basis av virtuella maskiner med installerade verktyg, upp till kärnfelsökare. De kan också ordnas hemma. Dessa system är dock ganska krävande på resurser och tar upp en stor mängd hårddiskutrymme, och analysen av felsökningsloggar tar mycket tid. Detta innebär att de är mycket effektiva i djupstudier av vissa prover, men är osannolikt användbara i rutinarbete, när det inte finns något sätt att ladda systemresurser och slösa tid på analys. Genom att använda "sandlådan" för analys kan du klara dig utan enorma resurskostnader.

Ett par varningar

Idag ska vi försöka göra en egen sandlådebaserad analysator, nämligen verktyget Sandboxie. Detta program är tillgängligt som shareware på författarens webbplats www.sandboxie.com. För vår studie är den begränsade gratisversionen ganska lämplig. Programmet kör applikationer i en isolerad miljö så att de inte gör skadliga ändringar i det verkliga systemet. Men det finns två nyanser här:

1. Sandboxie låter dig bara spåra program på användarlägesnivå. All aktivitet av skadlig kod i kärnläge spåras inte. Därför är det maximala som kan läras när man studerar rootkits hur skadlig programvara introduceras i systemet. Tyvärr är det omöjligt att analysera själva beteendet på kärnlägesnivå.
2. Beroende på inställningarna kan Sandboxie blockera åtkomst till nätverket, tillåta full åtkomst eller åtkomst endast för vissa program. Det är tydligt att om skadlig programvara behöver tillgång till Internet för en normal lansering måste den tillhandahållas. Å andra sidan, om du har en Pinch liggande på en flash-enhet som startar upp, samlar alla lösenord i systemet och skickar dem till en angripare via ftp, så kommer Sandboxie med öppen Internetåtkomst inte att skydda dig från att förlora konfidentiell information! Detta är mycket viktigt och bör komma ihåg.

Initial installation av sandlådan

Sandboxie är ett bra verktyg med många anpassningsalternativ. Jag kommer bara att nämna de av dem som är nödvändiga för våra uppgifter.

Efter installation av Sandboxie skapas en sandlåda automatiskt. Du kan lägga till några fler "sandlådor" för olika uppgifter. Sandlådeinställningar nås via snabbmenyn. Som regel är alla parametrar som kan ändras försedda med en ganska detaljerad beskrivning på ryska. Alternativen som anges i avsnitten Återställning, Avinstallation och Begränsningar är särskilt viktiga för oss. Så:

1. Du måste se till att ingenting är listat i avsnittet "Återställning".
2. I avsnittet "Ta bort" bör det inte finnas några kryssrutor och/eller tillagda mappar och program markerade. Om parametrarna är felaktigt inställda i avsnitten som anges i punkterna 1 och 2 kan detta leda till att skadlig kod infekterar systemet eller att all data för analys förstörs.
3. I avsnittet "Restriktioner" måste du välja de inställningar som motsvarar dina uppgifter. Det är nästan alltid nödvändigt att begränsa åtkomst och hårdvaruanvändning på låg nivå till alla program som körs för att förhindra att rootkits infekterar systemet. Men tvärtom, du bör inte begränsa åtkomsten till lansering och exekvering, samt ta bort rättigheter, annars kommer den misstänkta koden att köras i en icke-standardiserad miljö. Men allt, inklusive tillgången till Internet, beror på uppgiften.
4. För tydlighetens och bekvämlighetens skull rekommenderas det i avsnittet "Beteende" att aktivera alternativet "Visa kant runt fönstret" och välja en färg för att markera program som körs i en begränsad miljö.

Vi kopplar in plugins

Med några få klick fick vi en utmärkt isolerad miljö för säker exekvering av kod, men inte ett verktyg för att analysera dess beteende. Lyckligtvis har författaren till Sandboxie gett möjligheten att använda ett antal plug-ins för sitt program. Konceptet är ganska intressant. Tillägg är dynamiska bibliotek som är inbäddade i en sandlådeprocess och registrerar eller modifierar dess exekvering på ett visst sätt.

Vi kommer att behöva några plugins, som listas nedan.

1. SBIExtra. Denna plugin fångar upp ett antal funktioner för ett program som körs i en sandlåda för att blockera följande funktioner:
   • översikt över körbara processer och trådar;
   • tillgång till processer utanför sandlådan;
   • anropa BlockInput-funktionen (tangentbord och musinmatning);
   • läsa titlarna på aktiva fönster.
2. Antidel. Tillägget fångar upp de funktioner som är ansvariga för att radera filer. Alla temporära filer, kommandot att radera som kommer från källkoden, finns kvar på sina platser.

Hur integrerar man dem i sandlådan? Eftersom detta inte tillhandahålls av Sandboxie-gränssnittet, måste du redigera konfigurationsfilen manuellt. Skapa en Plugins-mapp och packa upp alla förberedda plugins i den. Observera nu: Buster Sandbox Analyzer innehåller flera bibliotek med det vanliga namnet LOG_API*.dll, som kan injiceras i processen. Det finns två typer av bibliotek: Verbose och Standard. Den första visar en nästan komplett lista över API-anrop som gjorts av programmet, inklusive åtkomst till filer och registret, den andra är en förkortad lista. Genom att krympa kan du snabba på arbetet och minska stocken som sedan måste analyseras. Själv är jag inte rädd för stora stockar, men jag är rädd att viss nödvändig info försiktigt "minskas", så jag väljer Verbose. Det är detta bibliotek som vi ska injicera. För att förhindra skadlig programvara från att upptäcka injiceringen av ett bibliotek med dess namn, kommer vi att tillämpa den enklaste försiktighetsåtgärden: ändra namnet LOG_API_VERBOSE.dll till något annat, till exempel LAPD.dll.

Välj nu "Konfigurera -> Redigera konfiguration" i huvudfönstret i Sandboxie. En textkonfiguration öppnas med alla programinställningar. Var uppmärksam på följande rader:

• Parametern FileRootPath i avsnittet anger den gemensamma sökvägen till sandlådemappen, som är den mapp där alla sandlådefiler kommer att finnas. För mig ser den här parametern ut som FileRootPath=C:\Sandbox\%SANDBOX%, den kan skilja sig åt för dig.
• Avsnittet intresserar oss inte – vi hoppar över det och scrollar vidare.
• Sedan kommer ett avsnitt vars namn är detsamma som namnet på sandlådan (låt det vara BSA). Vi kommer att lägga till plugins här: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Banorna kan naturligtvis skilja sig åt. Men ordningen på injicerade bibliotek måste vara precis den! Detta krav beror på att avlyssning av funktioner måste utföras i angiven ordning, annars fungerar inte plugins. För att tillämpa ändringarna, välj i huvudfönstret i Sandboxie: "Konfigurera -> Ladda om konfiguration".

Låt oss nu konfigurera Buster Sandbox Analyzer-pluginen själv.

1. Kör plugin-programmet manuellt med filen bsa.exe från mappen Plugins.
2. Välj "Alternativ -> Analysläge -> Manuell" och sedan "Alternativ -> Programalternativ -> Windows Shell Integration -> Lägg till högerklicka på åtgärd "Kör BSA".

Nu är allt klart för arbete: vår "sandlåda" är integrerad i systemet.

Bärbar version av sandlådan

Naturligtvis kommer många inte att gilla det faktum att man behöver installera något, konfigurera etc. Eftersom allt detta inte heller tilltalar mig gjorde jag en portabel version av verktyget som kan köras utan installation och konfiguration, direkt från en USB-sticka. Du kan ladda ner den här versionen här: tools.safezone.cc/gjf/Sandboxie-portable.zip . För att starta sandlådan räcker det med att köra start.cmd-skriptet, och i slutet av arbetet, glöm inte att köra stop.cmd-skriptet, som helt kommer att ta bort drivrutinen och alla komponenter från minnet, och även spara de ändringar som gjorts under arbetet i den bärbara.

Det finns inte många inställningar för själva portablizern: dess arbete är huvudsakligen baserat på att manipulera filen Sandboxie.ini.template som finns i mappen Mallar. Faktum är att den här filen är en Sandboxie-inställningsfil som är korrekt bearbetad och överförd till programmet, och när den är klar skrivs den över tillbaka till mallar. Om du öppnar den här filen med Notepad är det osannolikt att du hittar något intressant. Var noga med att vara uppmärksam på $(InstallDrive)-mönstret som upprepas i ett antal sökvägsparametrar. Vi är särskilt intresserade av parametern FileRootPath. Om det ser ut så här:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Sedan kommer sandlådor att skapas på disken där den bärbara Sandboxie finns. Om parametern ser ut så här, till exempel:

FileRootPath=C:\Sandbox\%SANDBOX%

Med andra ord, den specificerar en specifik systemenhet, sedan skapas sandlådor på denna enhet.

Personligen rekommenderar jag att du alltid skapar sandlådor på lokala enheter. Detta påskyndar arbetet med verktyget, och när det startas från ett USB-minne, snabbar det upp i storleksordningar. Om du är så paranoid att du vill springa och analysera allt på din favoritmedia som du bär i ditt hjärta, då kan du ändra parametern, men då åtminstone använda bärbara hårddiskar så att allt inte bromsar gudlöst.

Praktisk användning

Låt oss prova vårt verktyg på ett verkligt hot. För att ingen skulle förebrå mig för riggning gjorde jag en enkel sak: jag gick till www.malwaredomainlist.com och laddade ner det senaste som dök upp där i skrivande stund. Det visade sig vara en trevlig pp.exe-fil från någon infekterad sida. Bara namnet inger stora förhoppningar, dessutom skrek mitt antivirus direkt åt den här filen. Förresten, alla våra manipulationer görs bäst med antiviruset avstängt, annars riskerar vi att blockera/ta bort något från det vi efterforskar. Hur studerar man beteendet hos en binär? Högerklicka bara på den här filen och välj Kör BSA från rullgardinsmenyn. Buster Sandbox Analyzer-fönstret öppnas. Vi tittar noggrant på raden Sandbox-mappen för att kontrollera. Alla parametrar måste matcha de som vi angav när vi satte upp Sandboxie, det vill säga om sandlådan fick namnet BSA och parametern FileRootPath=C:\Sandbox\%SANDBOX% var inställd som sökväg till mappen, så borde allt vara som på skärmdump. Om du vet mycket om perversioner och namnger sandlådan på ett annat sätt eller ställer in FileRootPath-parametern till en annan enhet eller mapp, måste du ändra den därefter. Annars kommer Buster Sandbox Analyzer inte att veta var man ska leta efter nya filer och registerändringar.

BSA innehåller många inställningar för att analysera och studera processen för binär exekvering, upp till avlyssning av nätverkspaket. Tryck gärna på knappen Starta analys. Fönstret växlar till analysläge. Om sandlådan som valts för analys av någon anledning innehåller resultaten från en tidigare studie, kommer verktyget att erbjuda att rensa den först. Allt är klart för att starta filen under utredning.

Redo? Högerklicka sedan på filen under studie och välj "Kör i sandlåda" i menyn som öppnas, ange sedan "sandlådan" som vi bifogade BSA till.

Omedelbart efter det kommer API-anrop att köras i analysatorfönstret, som kommer att registreras i loggfiler. Observera att Buster Sandbox Analyzer själv inte vet när analysen av processen kommer att slutföras, i själva verket fungerar ditt klick på knappen Slutför analys som en signal för slutet. Hur vet du när tiden är inne? Det kan finnas två alternativ.

1. Ingen pågående process visas i Sandboxie-fönstret. Detta innebär att exekveringen av programmet uttryckligen har avslutats.
2. Inget nytt dyker upp i listan över API-anrop på länge, eller omvänt visas samma sak i en cyklisk sekvens. Samtidigt körs något annat i Sandboxie-fönstret. Detta händer om programmet är konfigurerat för intern körning eller helt enkelt hänger sig. I det här fallet måste det först avslutas manuellt genom att högerklicka på motsvarande sandlåda i Sandboxie-fönstret och välja Avsluta program. Förresten, när jag analyserade min pp.exe inträffade exakt denna situation.

Efter det kan du säkert välja Slutför analys i Buster Sandbox Analyzer-fönstret.

Beteendeanalys

Genom att klicka på Malware Analyzer-knappen får vi omedelbart lite sammanfattande information om studiens resultat. I mitt fall var filens skadlighet ganska uppenbar: under körningen skapades och startade filen C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, som lades till för autoload (det var förresten den som inte ville avsluta sig själv), gjordes en koppling till 190.9.35.199 och hosts-filen modifierades. Förresten, samtidigt upptäckte bara fem antivirusmotorer filen på VirusTotal, vilket kan ses av loggarna, såväl som på VirusTotal-webbplatsen.

All information om analysresultaten kan nås direkt från Viewer-menyn i Buster Sandbox Analyzer-fönstret. API-anropsloggen är också inbäddad här, vilket säkert kommer att vara användbart i detaljerad forskning. Alla resultat lagras som textfiler i undermappen Rapporter i mappen Buster Sandbox Analyzer. Av särskilt intresse är rapporten Report.txt (kallas via View Report), som ger utökad information om alla filer. Det är därifrån vi får veta att de temporära filerna faktiskt var körbara, anslutningen gick till http://190.9.35.199/view.php?rnd=787714, skadlig programvara skapade en specifik mutex G4FGEXWkb1VANr, etc. Du kan inte bara se rapporter, men även extrahera alla filer som skapats under körningen. För att göra detta, i Sandboxie-fönstret, högerklicka på "sandlådan" och välj "Visa innehåll". Ett utforskarfönster öppnas med allt innehåll i vår sandlåda: enhetsmappen innehåller filer skapade på sandlådans fysiska diskar, och användarmappen innehåller filer skapade i den aktiva användarprofilen (% userprofile%). Här hittade jag dplaysvr.exe med dplayx.dll-bibliotek, temporära tmp-filer och modifierad hosts-fil. Förresten visade det sig att följande rader lades till:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Tänk på att infekterade filer ligger i sandlådan. Om du av misstag startar dem genom att dubbelklicka kommer ingenting att hända (de kommer att starta i sandlådan), men om du kopierar dem någonstans och sedan kör dem ... hmm, ja, du förstår idén. Här, i mappen, kan du hitta en registerdump som ändrades under arbetet, i form av en RegHive-fil. Den här filen kan enkelt översättas till en mer läsbar .reg-fil med hjälp av följande kommandoskript:

REG LADDA HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG LADDA UNLOAD HKLM\uuusandboxuuu anteckningsblock sandbox.reg

Vad instrumentet kan och inte kan göra

Det resulterande verktyget kan:

• Spåra API-anrop för en applikation som körs.
• Övervaka nyskapade filer och registerinställningar.
• Fånga nätverkstrafik när programmet körs.
• Utför grundläggande analys av filer och deras beteende (inbyggd beteendeanalysator, analys på VirusTotal med hash, analys med PEiD, ExeInfo och ssdeep, etc.).
• Få lite ytterligare information genom att köra hjälpprogram (till exempel Process Monitor) i "sandlådan" tillsammans med det analyserade.

Det här verktyget kan inte:

• Analysera skadlig programvara som körs i kärnläge (kräver installation av drivrutinen). Det är dock möjligt att identifiera d(innan den faktiskt implementeras i systemet).
• Analysera skadlig programvara som övervakar exekvering i Sandboxie. Buster Sandbox Analyzer innehåller dock ett antal mekanismer för att förhindra sådan spårning.

Således kommer du att få sandbox.reg, som innehåller raderna som introducerades av skadlig programvara under dess körning. Efter att ha utfört analysen, välj alternativet Avbryt analys från menyn Alternativ för att återställa allt som det var. Observera att efter denna operation kommer alla analysloggar att raderas, men innehållet i sandlådan kommer att finnas kvar. Men nästa gång du startar kommer själva programmet att erbjuda att radera allt.

Internet är fullt av virus. De kan vara förklädda som användbara program, eller de kan till och med vara inbyggda i ett fungerande önskat program. (Finns ganska ofta i hackade program, så hackade program bör behandlas med misstro, speciellt om du laddar ner från misstänkta webbplatser). Så du installerade ett program och något annat lades in i din dator som en bonus (i bästa fall program för dold surfing eller gruvarbetare), och i värsta fall krigare, bakdörrar, stjälare och andra smutsiga trick.

Det finns två alternativ om du inte litar på filen.
- Att köra ett virus i en sandlåda
- Använda virtuella maskiner

I den här artikeln kommer vi att överväga det första alternativet - sandlåda för fönster.

Sandlådan för windows är ett utmärkt tillfälle att arbeta med misstänkta filer, vi ska titta på hur du börjar använda sandlådan.
Om du använder antivirus är sandlådor ofta redan inbyggda i dem. Men jag gillar inte dessa saker och jag tror att det är bäst att ladda ner sandlådan från www.sandboxie.com.

Programmet låter dig köra en fil i ett speciellt tilldelat område, bortom vilket virus inte kan fly och skada din dator.

Du kan ladda ner programmet gratis. Men efter 2 veckors användning kommer en skylt om erbjudandet att köpa ett abonnemang att visas när du slår på det, och programmet kan startas på några sekunder. Men programmet är fortfarande ganska funktionellt. Installationen kommer inte att orsaka svårigheter. Och själva gränssnittet är ganska enkelt.

Som standard startar programmet automatiskt när du slår på din dator. Om programmet körs visas en ikon i fältet. Om inte, bör du köra Start-Alla program-Sandboxie-Manage sandboxie.
Det enklaste sättet att köra ett program i sandlådan är att högerklicka på startfilen eller på genvägen till önskat program, och i menyn ser du inskriptionen "Kör i sandlådan" klicka och kör. Välj önskad profil som du vill köra i och klicka på OK. Allt, det nödvändiga programmet fungerar i en säker miljö och virus kommer inte att bryta ut ur sandlådan.

Observera: vissa infekterade program tillåter inte körning i sandlådor och virtuella maskiner, vilket tvingar dem att köras direkt. Om du stöter på en sådan reaktion är det bästa du kan göra att ta bort filen, annars kör du på egen risk och risk

.

Om lanseringen i sandlådan inte visas i snabbmenyn (genom att högerklicka), gå till programfönstret, välj Anpassa - Integrering i Windows Explorer - och markera de två rutorna under "Åtgärder - kör i sandlådan.

Du kan skapa olika sandlådor. För att göra detta klickar du på Sandlåda - skapa en sandlåda och skriv namnet på den nya. Du kan också ta bort gamla i sandlådeavsnittet (rekommenderas).

Det finns inget mer att ta hänsyn till i programmet. Till sist vill jag säga - Ta hand om din data och din dator! Tills vi ses igen

relaterade inlägg:

Ta bort icke-flyttbara filer på datorn Windows virtuell maskin. Programöversikt och inställning Windows 10 inaktiverar spårning

Så vi bestämde oss för att kort beröra detta ämne.

I huvudsak är en "sandlåda" en isolerad mjukvarumiljö med strikt begränsade resurser för att exekvera programkod (helt enkelt talat, köra program) inom denna miljö. På något sätt är "sandlådan" en sådan avskalad sådan, designad för att isolera tvivelaktiga processer av säkerhetsskäl.

Vissa av de bra antivirus och brandväggar (även om som regel i sin betalda version) använder denna metod utan din vetskap, vissa låter dig hantera denna funktionalitet (eftersom det fortfarande skapar överdriven resursförbrukning), men det finns också program som tillåter implementera liknande funktionalitet.

Vi kommer att prata om en av dem idag.

Tyvärr är det shareware, men samma lediga period kommer att hjälpa dig att lära känna den här typen av verktyg bättre, vilket ytterligare kan driva dig till en mer detaljerad studie, som för det mesta finns gratis och ger fler funktioner. .

Du kan ladda ner Sandboxie från eller, säg, . Installationen är nästan elementär, förutom det ögonblick då du behöver installera drivrutinen (se skärmdump nedan).

I det här skedet är det bättre att inaktivera alla skyddselement (dvs samma antivirus och brandväggar), annars, om det här steget misslyckas och datorn fryser, startar om eller går in i, kan du behöva starta i säkert läge och ta bort program utan möjlighet till vidare användning.

Efter installationen måste programmet faktiskt startas. Det är möjligt att du kommer att stöta på meddelandet som visas ovan. Det är inget fel med det, klicka bara på "OK".

Därefter kommer du att erbjudas att gå en kort kurs om att arbeta med programmet, eller rättare sagt så berättar de lite om hur det fungerar. Gå igenom alla sex stegen, helst genom att noggrant läsa vad som står i instruktionerna som du fått.

Kort sagt, du kan faktiskt köra vilket program som helst i en isolerad miljö. I instruktionerna, om du läste den, ges en metafor ganska bra om ämnet att sandlådan faktiskt är en bit genomskinligt papper placerad mellan programmet och datorn, och att ta bort innehållet i sandlådan är något liknande att kassera ett använt pappersark och dess innehåll, med, vilket är logiskt, den efterföljande ersättningen med ett nytt.

Hur man ställer in och använder sandlådeprogrammet

Låt oss nu försöka förstå hur man arbetar med det. Till att börja med kan du prova att köra, säg, en webbläsare i en sandlåda. För att göra detta, använd faktiskt antingen genvägen som dök upp på skrivbordet eller använd menyalternativen i huvudprogramfönstret: " DefaultBox - Kör i sandlåda - Starta webbläsare", eller om du vill starta en webbläsare som inte är installerad som standardwebbläsare i systemet, använd sedan " Kör vilket program som helst" och ange sökvägen till webbläsaren (eller programmet).

Efter det kommer faktiskt webbläsaren att startas i "sandlådan" och du kommer att se dess processer i Sandboxie-fönstret. Från och med detta ögonblick sker allt som händer i, som det har sagts upprepade gånger, en isolerad miljö och till exempel ett virus som använder webbläsarens cache som ett element för att penetrera systemet kommer faktiskt inte att kunna gör vad som helst, för efter avslutat arbete med den isolerade miljön .. Du kan rensa upp det genom att kasta ut, som metaforen sa, det skrivna bladet och gå vidare till ett nytt (utan att röra datorns integritet som sådan) .

För att rensa innehållet i sandlådan (om du inte behöver det), i programmets huvudfönster eller i facket (det är här klockan och andra ikoner) använd objektet " DefaultBox - Ta bort innehåll".

Uppmärksamhet! Endast den del som är skriven och arbetad i en isolerad miljö kommer att raderas, det vill säga att till exempel webbläsaren inte raderas från datorn utan överförs till den .. mmm .. relativt sett en kopia av processen , cachen som skapats, sparad data (som nedladdade/skapade filer) etc. raderas om du inte sparar dem.

För att få en djupare förståelse för funktionsprincipen, prova att köra webbläsaren och annan programvara i sandlådan flera gånger, ladda ner olika filer och radera/spara innehållet när arbetet med just den här sandlådan har slutförts, och sedan t.ex. samma webbläsare eller program direkt på datorn. Tro mig, du kommer att förstå essensen i praktiken bättre än den kan förklaras med ord.

Förresten, genom att klicka med höger musknapp på en process i processlistan i Sandboxie-fönstret kan du kontrollera åtkomsten till olika typer av datorresurser genom att kringgå sandlådan genom att välja " Tillgång till resurser".

Grovt sett, om du vill ta en chans och ge till exempel samma Google Chrome direktåtkomst till valfri mapp på din dator, så kan du göra detta på lämplig flik ( Filåtkomst - Direkt/Full åtkomst) med knappen Lägg till.

Det är logiskt att sandlådan är avsedd inte bara och inte så mycket för att arbeta med webbläsaren och surfa på alla möjliga tvivelaktiga webbplatser, utan också för att starta applikationer som verkar misstänkta för dig (särskilt till exempel på jobbet (där ofta), starta tvivelaktiga filer från e-post eller flash-enheter) och/eller bör inte ha tillgång till datorns huvudresurser och/eller lämna onödiga spår där.

Förresten, det senare kan vara ett bra element för skydd, det vill säga för att starta en applikation, vars data måste isoleras helt och raderas efter avslutat arbete.

Naturligtvis är det inte nödvändigt att radera data från sandlådan efter slutförandet och arbeta med vissa program endast i en isolerad miljö (framsteg kommer ihåg och det finns möjlighet till snabb återställning), men det är upp till dig att göra det eller inte .

När du försöker köra vissa program kan du stöta på ovanstående problem. Var inte rädd för det, det räcker till att börja med att helt enkelt klicka på "OK" och i framtiden öppna sandlådeinställningarna med " DefaultBox - Sandbox-inställningar" och på fliken " Filöverföring" ställ in en något större storlek för filöverföringsalternativet.

Vi kommer inte att prata om andra inställningar nu, men om de är av intresse för dig kan du enkelt hantera dem själv, eftersom allt är på ryska, det är extremt tydligt och tillgängligt.. Tja, om du har några frågor kan du kan fråga dem i kommentarerna på det här inlägget.

På sim kan du kanske gå vidare till efterordet.

Efterord

Åh ja, vi glömde nästan bort förstås att sandlådan förbrukar en ökad mängd maskinresurser, eftersom den biter av (virtualiserar) en del av kapaciteten, vilket förstås skapar en belastning som skiljer sig från att sjösätta direkt. Men logiskt sett kan säkerhet och/eller integritet vara värt det.

För övrigt är användningen av sandboxing, chrooting eller virtualisering delvis relaterad till den antivirusfria säkerhetsmetod som vi .

På sim, kanske allt. Som alltid, om du har några frågor, tankar, tillägg och så vidare, välkommen att kommentera detta inlägg.

Du kan oändligt titta på elden, vattnet och aktiviteten i program isolerade i sandlådan. Tack vare virtualisering kan du med ett klick skicka resultaten av denna aktivitet – ofta osäkra – till glömska.

Virtualisering används dock också i forskningssyfte: till exempel ville du kontrollera effekten av ett nykompilerat program på systemet eller köra två olika versioner av en applikation samtidigt. Eller skapa en fristående applikation som inte lämnar några spår på systemet. Det finns många alternativ för att använda sandlådan. Det är inte programmet som dikterar dess förutsättningar i systemet, utan man visar vägen och allokerar resurser.

Om du inte är nöjd med processens långsamhet kan du med ThinApp Converter-verktyget sätta virtualisering i drift. Installationsprogram kommer att skapas baserat på den konfiguration du angav.

I allmänhet rekommenderar utvecklarna att producera alla dessa preparat under sterila förhållanden, på ett nytt operativsystem, så att alla nyanser i installationen beaktas. För dessa ändamål kan du använda en virtuell maskin, men naturligtvis kommer detta att sätta sin prägel på arbetshastigheten. VMware ThinApp belastar redan systemresurserna hårt, och inte bara i skanningsläge. Men, som man säger, sakta men säkert.

Buffertzon

• Hemsida: www.trustware.com
• Utvecklaren: trustware
• Licens: gratisprogram

BufferZone kontrollerar Internet och programvaruaktivitet i applikationer med hjälp av en virtuell zon, nära brandväggar. Med andra ord använder den regeldriven virtualisering. BufferZone fungerar sömlöst med webbläsare, instant messengers, e-post och P2P-klienter.

När detta skrivs varnade utvecklarna för möjliga problem när de arbetar med Windows 8. Programmet kan döda systemet, varefter det måste tas bort i felsäkert läge. Detta beror på BufferZone-drivrutinerna, som kommer i allvarlig konflikt med operativsystemet.

Det som faller under BufferZone-radarn kan spåras i huvudsektionen Sammanfattning. Du bestämmer själv antalet begränsade applikationer: listan Program som ska köras i BufferZone är avsedd för detta. Den innehåller redan potentiellt osäkra applikationer som webbläsare och e-postklienter. En röd ram visas runt fönstret i det inspelade programmet, vilket ger dig självförtroende att surfa säkert. Om du vill springa utanför zonen - inga problem, kontrollen kan förbigås via snabbmenyn.

Förutom den virtuella zonen finns det en sådan sak som en privat zon. Du kan lägga till webbplatser som kräver strikt sekretess. Det bör genast noteras att funktionen endast fungerar i Internet Explorer retroversioner. Modernare webbläsare har inbyggda anonymiseringsverktyg.

I avsnittet Policy konfigureras policyn i förhållande till installatörer och uppdateringar, såväl som program som startas från enheter och nätverkskällor. Se även Avancerade policyalternativ i Konfigurationer. Det finns sex kontrollnivåer, beroende på vilken inställning BufferZone till program ändras: inget skydd (1), automatiskt (2) och halvautomatiskt (3), meddelanden om lansering av alla (4) och osignerade program (5) ), maximalt skydd (6) .

Som du kan se är värdet av BufferZone total Internetkontroll. Om du behöver mer flexibla regler, kommer vilken brandvägg som helst att hjälpa dig. BufferZone har det också, men mer för att visa: det låter dig blockera applikationer, nätverksadresser och portar. Ur praktisk synvinkel är det inte särskilt bekvämt för aktiv åtkomst till inställningarna.

Evalasera

• Hemsida: www.evalaze.de/en/evalaze-oxid/
• Utvecklaren: Dogel GmbH
• Licens: gratisprogram/reklam (2142 €)

Huvudfunktionen hos Evalaze är flexibiliteten hos virtualiserade applikationer: de kan köras från flyttbara media eller från en nätverksmiljö. Programmet låter dig skapa helt fristående distributioner som fungerar i ett emulerat filsystem och registermiljö.

Huvudfunktionen hos Evalaze är en användarvänlig guide som är förståelig utan att läsa manualen. Först gör du en bild av operativsystemet innan du installerar programmet, sedan installerar du det, gör en testkörning och konfigurerar det. Därefter, genom att följa Evalaze-guiden, analyserar du ändringarna. Det är mycket lik principen för drift av avinstallatörer (till exempel Soft Organizer).

Virtualiserade applikationer kan fungera i två lägen: i det första fallet omdirigeras skrivoperationer till sandlådan, i det andra fallet kommer programmet att kunna skriva och läsa filer i det verkliga systemet. Om programmet kommer att ta bort spår av sina aktiviteter eller inte är upp till dig, alternativet Ta bort gammal sandlåda automatiskt står till din tjänst.

Många intressanta funktioner är endast tillgängliga i den kommersiella versionen av Evalaze. Bland dem - redigering av miljöelement (som filer och registernycklar), import av projekt, inställning av läsläge. Licensen kostar dock mer än två tusen euro, vilket, du ser, är något högre än den psykologiska prisbarriären. Till ett liknande oöverkomligt pris erbjuds användningen av en online-virtualiseringstjänst. Som en tröst har utvecklarens webbplats förgjorda virtuella exempelapplikationer.

cameyo

• Hemsida: www.cameyo.com
• Utvecklaren: cameyo
• Licens: gratisprogram

En översiktlig granskning av Cameyo tyder på att funktionerna liknar Evalaze och du kan "blinda" ett distributionspaket med en virtualiserad applikation med tre klick. Packaren tar en ögonblicksbild av systemet, jämför det med ändringarna efter installation av programvaran och skapar ett ekosystem att köra.

Den viktigaste skillnaden mot Evalaze är att programmet är helt gratis och inte blockerar några alternativ. Inställningarna är bekvämt koncentrerade: byta virtualiseringsmetod med att spara till disk eller minne, välja isoleringsläge: spara dokument i specificerade kataloger, neka skriv eller full åtkomst. Utöver detta kan du anpassa den virtuella miljön med hjälp av filredigeraren och registernycklarna. Varje mapp har också en av tre isoleringsnivåer som enkelt kan åsidosättas.

Du kan ange hur du ska rensa upp sandlådan efter att ha avslutat offlineapplikationen: ta bort spår, ingen rensning och skriv registerändringar till en fil. Också tillgängligt är integration med Explorer och möjligheten att binda till specifika typer av filer i systemet, vilket inte ens finns i betalda analoger av Cameyo.

Det mest intressanta är dock inte den lokala delen av Cameyo, utan onlinepaketeraren och offentliga virtuella applikationer. Det räcker med att ange URL:en eller ladda upp MSI- eller EXE-installationsprogrammet till servern, ange systemets bithet, så får du ett fristående paket vid utgången. Från och med nu är den tillgänglig under taket på ditt moln.

Sammanfattning

Sandlåda kommer att vara det bästa valet för experiment i sandlådan. Programmet är det mest informativa bland de listade verktygen, det har en övervakningsfunktion. Ett brett utbud av inställningar och bra alternativ för att hantera en grupp av applikationer.

Den har inga unika funktioner, men den är väldigt enkel och problemfri. Ett intressant faktum: artikeln skrevs inuti denna "sandlåda", och på grund av ett olyckligt misstag gick alla förändringar in i "skuggan" (läs: astral). Om det inte vore för Dropbox skulle en helt annan text ha publicerats på den här sidan – troligen av en annan författare.

Evalasera erbjuder inte en integrerad virtualiseringsmetod, utan en individuell sådan: du styr lanseringen av en specifik applikation genom att skapa artificiella habitatförhållanden för detta. Det finns fördelar och nackdelar här. Men med hänsyn till den inskränkta gratisversionen av Evalaze, kommer värdigheten att blekna i dina ögon.

cameyo har en viss "molnig" smak: applikationen kan laddas ner från webbplatsen, laddas upp till ett USB-minne eller Dropbox - detta är praktiskt i många fall. Det är sant att det leder till associationer till snabbmat: du kan inte garantera kvaliteten och överensstämmelsen med innehållet med beskrivningen.

Men om du föredrar att laga mat enligt receptet, VMware ThinApp- ditt alternativ. Detta är en lösning för experter som bryr sig om varje nyans. En uppsättning unika funktioner kompletteras av konsolens funktioner. Du kan konvertera applikationer från kommandoraden med hjälp av konfigurationer, skript - individuellt och i omgångar.

Buffertzonär en sandlåda med brandväggsfunktion. Denna hybrid är långt ifrån perfekta och uppdaterade inställningar, men du kan använda BufferZone för att kontrollera Internetaktivitet och applikationer, skydda mot virus och andra hot.