Můžete se donekonečna dívat na oheň, vodu a činnost programů izolovaných v sandboxu. Díky virtualizaci můžete jedním kliknutím odeslat výsledky této činnosti – často nejisté – do zapomnění.

Virtualizace se však používá také pro výzkumné účely: například jste chtěli ovládat dopad čerstvě zkompilovaného programu na systém nebo spustit dva různé verze aplikací ve stejnou dobu. Nebo vytvořte samostatnou aplikaci, která nezanechá v systému žádné stopy. Existuje mnoho možností, jak používat sandbox. Není to program, kdo diktuje své podmínky v systému, ale vy mu ukazujete cestu a přidělujete prostředky.

Pokud nejste spokojeni s pomalostí procesu, pomocí nástroje ThinApp Converter můžete virtualizaci spustit. Instalační programy budou vytvořeny na základě vámi zadané konfigurace.

Obecně vývojáři doporučují vyrábět všechny tyto přípravky za sterilních podmínek, na čerstvém operačním systému, aby byly vzaty v úvahu všechny nuance instalace. Pro tyto účely můžete použít virtuální stroj, ale to se samozřejmě podepíše na rychlosti práce. VMware ThinApp již značně zatěžuje systémové prostředky, a to nejen v režimu skenování. Jak se však říká, pomalu, ale jistě.

BufferZone

• Webová stránka: www.trustware.com
• Vývojář: trustware
• Licence: freeware

BufferZone řídí internetovou a softwarovou aktivitu aplikací pomocí virtuální zóny, která se těsně přibližuje k firewallům. Jinými slovy, používá virtualizaci řízenou pravidly. BufferZone bezproblémově spolupracuje s prohlížeči, instant messengery, e-mailem a P2P klienty.

V době psaní tohoto článku vývojáři varovali před možnými problémy při práci s Windows 8. Program může zabít systém, po kterém bude muset být odstraněn prostřednictvím nouzového režimu. To je způsobeno ovladači BufferZone, které se dostávají do vážného konfliktu s OS.

Co spadá pod radar BufferZone, lze sledovat v hlavní sekci Souhrn. Počet omezených aplikací si určíte sami: k tomu je určen seznam Programy ke spuštění v BufferZone. Zahrnuje již potenciálně nebezpečné aplikace, jako jsou prohlížeče a poštovní klienti. Okolo okna zachycené aplikace se objeví červený rámeček, který vám dává jistotu bezpečného surfování. Pokud chcete běžet mimo zónu - žádný problém, ovládání se dá obejít kontextová nabídka.

Kromě virtuální zóny existuje ještě něco jako soukromá zóna. Můžete do něj přidat stránky, které vyžadují nejpřísnější důvěrnost. Ihned je třeba poznamenat, že funkce funguje pouze v internet Explorer retro verze. Ve více moderní prohlížeče existují vestavěné prostředky k zajištění anonymity.

V části Zásady se zásady konfigurují ve vztahu k instalačním programům a aktualizacím a také k programům spouštěným ze zařízení a síťových zdrojů. Viz také v části Konfigurace další možnosti bezpečnostní politika (Advanced Policy). Existuje šest úrovní ovládání, podle kterých se mění postoj BufferZone k programům: žádná ochrana (1), automatická (2) a poloautomatická (3), upozornění na spuštění všech (4) a nepodepsaných programů (5 ), maximální ochranu (6).

Jak můžete vidět, hodnota BufferZone je úplná kontrola internetu. Pokud potřebujete flexibilnější pravidla, pomůže vám jakýkoli firewall. BufferZone ho má také, ale spíše pro parádu: umožňuje blokovat aplikace, síťové adresy a porty. Z praktického hlediska není příliš vhodný pro aktivní přístup do nastavení.

Vyhodnotit

• Webová stránka: www.evalaze.de/en/evalaze-oxid/
• Vývojář: Dogel GmbH
• Licence: freeware / komerční (2 142 EUR)

Hlavním rysem Evalaze je flexibilita virtualizovaných aplikací: mohou být spouštěny z vyměnitelných médií nebo z síťové prostředí. Program umožňuje vytvářet zcela samostatné distribuce, které pracují v emulovaném souborovém systému a prostředí registru.

Hlavním rysem Evalaze je uživatelsky přívětivý průvodce, který je srozumitelný i bez čtení manuálu. Nejprve si před instalací programu vytvoříte obraz operačního systému, poté jej nainstalujete, provedete zkušební provoz a nakonfigurujete jej. Dále, po průvodci Evalaze, analyzujete změny. Je to velmi podobné principu fungování odinstalačních programů (například Soft Organizer).

Virtualizované aplikace mohou pracovat ve dvou režimech: v prvním případě jsou operace zápisu přesměrovány do sandboxu, ve druhém případě bude program schopen zapisovat a číst soubory v reálném systému. Zda program smaže stopy své činnosti nebo ne, je na vás, možnost Automaticky odstranit staré pískoviště je k vašim službám.

Mnoho zajímavých funkcí je dostupných pouze v komerční verzi Evalaze. Mezi ně patří úpravy prvků prostředí (jako jsou soubory a klíče registru), import projektů, nastavení režimu čtení. Licence však stojí více než dva tisíce eur, což, jak vidíte, je poněkud vyšší než psychologická cenová bariéra. Za podobně neúnosnou cenu je nabízeno použití online virtualizační služby. Jako útěchu má web vývojáře předem připravené virtuální ukázkové aplikace.

cameyo

• Webová stránka: www.cameyo.com
• Vývojář: cameyo
• Licence: freeware

Letmé prozkoumání Cameyo naznačuje, že funkce jsou podobné jako u Evalaze a distribuci můžete „oslepit“ virtualizovanou aplikací na tři kliknutí. Packer pořídí snímek systému, porovná jej se změnami po instalaci softwaru a vytvoří ekosystém ke spuštění.

Nejdůležitější rozdíl oproti Evalaze je, že program je zcela zdarma a neblokuje žádné možnosti. Nastavení jsou vhodně soustředěna: přepínání způsobu virtualizace s ukládáním na disk nebo do paměti, volba režimu izolace: ukládání dokumentů do zadaných adresářů, zákaz zápisu popř. plný přístup. Kromě toho si můžete přizpůsobit virtuální prostředí pomocí editoru souborů a klíčů registru. Každá složka má také jednu ze tří úrovní izolace, které lze snadno přepsat.

Můžete určit, jak vyčistit karanténu po ukončení offline aplikace: odstranit stopy, žádné čištění a zapsat změny registru do souboru. K dispozici je také integrace s Průzkumníkem a schopnost vázat se na konkrétní typy souborů v systému, což není ani v placených analogech Cameyo.

Nejzajímavější však není místní část Cameyo, ale online balič a veřejné virtuální aplikace. Stačí zadat URL nebo nahrát na server MSI či EXE instalátor s upřesněním bitové bitovosti systému a na výstupu dostanete samostatný balíček. Od této chvíle je k dispozici pod střechou vašeho cloudu.

souhrn

Sandboxie bude nejlepší volbou pro experimenty na pískovišti. Program je z uvedených nástrojů nejinformativnější, má monitorovací funkci. Široká škála nastavení a dobré možnosti pro správu skupiny aplikací.

Žádné nemá jedinečné vlastnosti, ale velmi jednoduché a bezproblémové. Zajímavý fakt: článek byl napsán uvnitř tohoto „pískoviště“ a kvůli nešťastné chybě se všechny změny dostaly do „stínu“ (čti: astrální). Nebýt Dropboxu, na této stránce by vyšel úplně jiný text – nejspíš od jiného autora.

Vyhodnotit nenabízí integrovaný přístup k virtualizaci, ale individuální přístup: řídíte spouštění konkrétní aplikace tím, že pro to vytváříte umělé podmínky prostředí. Jsou zde výhody i nevýhody. Nicméně, vezmeme-li v úvahu omezenost bezplatné verze Evalaze, důstojnost ve vašich očích zmizí.

cameyo má určitou „zakalenou“ příchuť: aplikaci lze stáhnout z webu, nahrát na USB flash disk nebo Dropbox - to je v mnoha případech výhodné. Je pravda, že to vede ke spojení s rychlým občerstvením: nemůžete ručit za kvalitu a soulad obsahu s popisem.

Ale pokud dáváte přednost vaření podle receptu, VMware ThinApp- vaše možnost. Toto je řešení pro odborníky, kterým záleží na každé nuanci. Soubor unikátních funkcí je doplněn o možnosti konzole. Můžete převádět aplikace z příkazový řádek, pomocí konfigurací, skriptů - v individuálním a dávkovém režimu.

BufferZone je sandbox s funkcí firewallu. Tento hybrid má k dokonalému a aktuálnímu nastavení daleko, ale pomocí BufferZone můžete ovládat internetovou aktivitu a aplikace, chránit před viry a dalšími hrozbami.

Existují dva hlavní způsoby, jak bezpečně spustit podezřelý spustitelný soubor: pod virtuálním počítačem nebo v takzvaném „sandboxu“ (sandbox). Ten lze navíc upravit pomocí elegantního způsobu pro online analýzu souborů, aniž by se museli uchylovat ke specializovaným utilitám a online službám a bez použití velkého množství zdrojů, jako je tomu u virtuálního počítače. Chci ti o něm říct.

VAROVÁNÍ

Nesprávné použití popsané techniky může poškodit systém a vést k infekci! Buďte pozorní a opatrní.

"Sandbox" pro analýzu

Lidé, kteří se zabývají počítačovou bezpečností, velmi dobře znají pojem „pískoviště“. Stručně řečeno, sandbox je testovací prostředí, ve kterém se spouští určitý program. Práce je přitom organizována tak, že jsou sledovány všechny akce programu, ukládány všechny změněné soubory a nastavení, ale ve skutečném systému se nic neděje. Obecně platí, že můžete spouštět jakékoli soubory s plnou důvěrou, že to žádným způsobem neovlivní výkon systému. Tyto nástroje lze použít nejen k zajištění bezpečnosti, ale také k analýze akcí malwaru, které provádí po jeho spuštění. Přesto, pokud existuje obsazení systému před zahájením aktivních operací a obrázek toho, co se stalo v "pískovišti", můžete snadno sledovat všechny změny.

Na webu je samozřejmě spousta hotových online služeb, které nabízejí analýzu souborů: Anubis, CAMAS, ThreatExpert, ThreatTrack. Tyto služby využívají různé přístupy a mají své výhody a nevýhody, lze však identifikovat společné hlavní nevýhody:

Musíte mít přístup k internetu. V procesu zpracování je nutné počkat na frontu (ve bezplatných verzích). Obvykle nejsou poskytovány soubory, které jsou vytvořeny nebo změněny během běhu. Nelze ovládat možnosti spuštění (ve bezplatných verzích). Není možné zasahovat do procesu spouštění (například kliknutím na tlačítka zobrazených oken). Obecně není možné poskytnout konkrétní knihovny potřebné ke spuštění (ve bezplatných verzích). Zpravidla se analyzují pouze spustitelné soubory PE.

Takové služby jsou nejčastěji postaveny na bázi virtuálních strojů s nainstalovanými nástroji až po ladicí programy jádra. Lze je organizovat i doma. Tyto systémy jsou však poměrně náročné na zdroje a zabírají velké množství místa na pevném disku a analýza protokolů ladicího programu zabere spoustu času. To znamená, že jsou velmi účinné při hloubkovém studiu určitých vzorků, ale je nepravděpodobné, že budou užitečné při rutinní práci, kdy neexistuje způsob, jak zatížit systémové zdroje a ztrácet čas analýzou. Použití „pískoviště“ pro analýzu vám umožní obejít se bez velkých nákladů na zdroje.

Pár varování

Dnes se pokusíme vytvořit náš vlastní analyzátor založený na sandboxu, konkrétně nástroj Sandboxie. Tento program je dostupný jako shareware na autorově webu www.sandboxie.com. Pro naši studii omezený bezplatná verze. Program spouští aplikace v izolovaném prostředí, aby neprováděly škodlivé změny ve skutečném systému. Ale jsou zde dvě nuance:

1. Sandboxie umožňuje sledovat programy pouze na úrovni uživatelského režimu. Veškerá aktivita škodlivého kódu v režimu jádra není sledována. Maximálně se tedy při studiu rootkitů lze naučit, jak je malware zaveden do systému. Bohužel je nemožné analyzovat chování samotné na úrovni režimu jádra.
2. V závislosti na nastavení může Sandboxie blokovat přístup k síti, povolit úplný přístup nebo přístup pouze pro určité programy. Je jasné, že pokud malware potřebuje pro normální spuštění přístup k internetu, musí být poskytnut. Na druhou stranu, pokud se vám na flashce povaluje Pinch, který se spustí, posbírá všechna hesla v systému a pošle je na ftp útočníkovi, pak Sandboxie s otevřený přístup internet vás před ztrátou neochrání důvěrná informace! To je velmi důležité a mělo by se to pamatovat.

Počáteční nastavení sandboxu

Sandboxie je skvělý nástroj se spoustou možností přizpůsobení. Uvedu jen ty z nich, které jsou pro naše úkoly nezbytné.

Po instalaci Sandboxie se automaticky vytvoří jeden sandbox. Můžete přidat několik dalších „pískovišť“ pro různé úkoly. K nastavení sandboxu se dostanete přes kontextovou nabídku. Zpravidla jsou všechny parametry, které lze změnit, dostatečně vybaveny Detailní popis v Rusku. Zvláště důležité jsou pro nás možnosti uvedené v částech Recovery, Uninstall a Restrictions. Tak:

1. Musíte se ujistit, že v části „Obnovení“ není nic uvedeno.
2. V sekci "Odebrat" by neměla být označena žádná zaškrtávací políčka a/nebo přidané složky a programy. Pokud jsou parametry v sekcích uvedených v odstavcích 1 a 2 nastaveny nesprávně, může to vést k tomu, že škodlivý kód infikuje systém nebo jsou zničena všechna data pro analýzu.
3. V části „Omezení“ musíte vybrat nastavení, která odpovídají vašim úkolům. Téměř vždy je nutné omezit nízkoúrovňový přístup a využití hardwaru na všechny spuštěné programy, aby se zabránilo infikování systému rootkity. Ale naopak byste neměli omezovat přístup ke spuštění a provádění, stejně jako odebírat práva, jinak bude podezřelý kód spuštěn v nestandardním prostředí. Vše, včetně dostupnosti přístupu k internetu, však závisí na úkolu.
4. Pro srozumitelnost a pohodlí se v části "Chování" doporučuje povolit možnost "Zobrazit okraj kolem okna" a vybrat barvu pro zvýraznění programů běžících v omezeném prostředí.

Připojujeme pluginy

Za pár kliknutí jsme získali vynikající izolované prostředí pro bezpečné provádění kódu, ale ne nástroj pro analýzu jeho chování. Naštěstí autor Sandboxie poskytl možnost použití řady zásuvných modulů pro svůj program. Koncept je to docela zajímavý. Doplňky jsou dynamické knihovny, které jsou začleněny do procesu v izolovaném prostoru a registrují nebo upravují jeho provádění určitým způsobem.

Budeme potřebovat několik pluginů, které jsou uvedeny níže.

1. SBIExtra. Tento plugin zachycuje řadu funkcí pro program běžící v karanténě, aby blokoval následující funkce:
   • přehled spustitelných procesů a vláken;
   • přístup k procesům mimo sandbox;
   • volání funkce BlockInput (vstup z klávesnice a myši);
   • čtení názvů aktivních oken.
2. Antidel. Addon zachycuje funkce zodpovědné za mazání souborů. Tedy všechny dočasné soubory, příkaz k odstranění, který pochází z zdrojový kód, stále zůstávají na místě.

Jak je integrovat do pískoviště? Protože to rozhraní Sandboxie neposkytuje, budete muset konfigurační soubor upravit ručně. Vytvořte složku Plugins a rozbalte do ní všechny připravené pluginy. Nyní pozor: Buster Sandbox Analyzer obsahuje několik knihoven se společným názvem LOG_API*.dll, které lze vložit do procesu. Existují dva typy knihoven: Verbose a Standard. První zobrazuje prakticky úplný seznam Volání API prováděná programem, včetně přístupů k souborům a registrům, druhý je zkrácený seznam. Smršťování umožňuje urychlit práci a zmenšit kmen, který je pak třeba analyzovat. Osobně se velkých logů nebojím, ale obávám se, že některé potřebné info budou pečlivě "redukovány", proto volím Verbose. Je to tato knihovna, kterou vložíme. Abychom zabránili malwaru detekovat injekci knihovny podle jejího názvu, použijeme nejjednodušší opatření: změňte název LOG_API_VERBOSE.dll na něco jiného, ​​například LAPD.dll.

Nyní v hlavním okně Sandboxie vyberte "Konfigurovat -> Upravit konfiguraci". Otevře se textová konfigurace se všemi nastaveními programu. Věnujte pozornost následujícím řádkům:

• Parametr FileRootPath v části určuje společnou cestu ke složce karantény, což je složka, kde budou umístěny všechny soubory karantény. U mě tento parametr vypadá jako FileRootPath=C:\Sandbox\%SANDBOX%, pro vás se může lišit.
• Sekce nás nezajímá – přeskočíme ji a posuneme dále.
• Poté přichází sekce, jejíž název je shodný s názvem sandboxu (ať je to BSA). Zde přidáme pluginy: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFormBSA povoleno=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Cesty se samozřejmě mohou lišit. Ale pořadí injektovaných knihoven musí být přesně takové! Tento požadavek je způsoben tím, že odposlech funkcí musí být prováděn v určeném pořadí, jinak nebudou pluginy fungovat. Chcete-li použít změny, vyberte v hlavním okně Sandboxie: "Konfigurovat -> Znovu načíst konfiguraci".

Nyní nakonfigurujeme samotný plugin Buster Sandbox Analyzer.

1. Spusťte plugin ručně pomocí souboru bsa.exe ze složky Plugins.
2. Vyberte „Možnosti -> Režim analýzy –> Ruční“ a poté „Možnosti -> Možnosti programu -> Integrace Windows Shell -> Přidat akci pravým tlačítkem myši „Spustit BSA““.

Nyní je vše připraveno k práci: naše „pískoviště“ je integrováno do systému.

Přenosná verze pískoviště

Mnohým se samozřejmě nebude líbit, že je potřeba něco instalovat, konfigurovat atd. Protože mě tohle všechno taky neláká, udělal jsem přenosnou verzi nástroje, kterou lze spustit bez instalace a konfigurace, přímo z USB flash disk. Tuto verzi si můžete stáhnout zde: tools.safezone.cc/gjf/Sandboxie-portable.zip . Ke spuštění sandboxu postačí spustit skript start.cmd a na konci práce nezapomenout spustit skript stop.cmd, který kompletně uvolní ovladač a všechny komponenty z paměti a také uloží změny provedené během práce v přenosce.

Pro samotný portablizer není mnoho nastavení: jeho práce je založena především na manipulaci se souborem Sandboxie.ini.template umístěným ve složce Templates. Ve skutečnosti je tento soubor souborem nastavení Sandboxie, který je správně zpracován a přenesen do programu a po dokončení je přepsán zpět do šablon. Pokud tento soubor otevřete pomocí programu Poznámkový blok, pravděpodobně nenajdete něco zajímavého. Nezapomeňte věnovat pozornost vzoru $(InstallDrive), který se opakuje v řadě parametrů cesty. Nás zajímá především parametr FileRootPath. Pokud to vypadá takto:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Poté se na disku, kde se nachází přenosné Sandboxie, vytvoří sandboxy. Pokud parametr vypadá například takto:

FileRootPath=C:\Sandbox\%SANDBOX%

Jinými slovy, specifikuje konkrétní systémový disk, pak se na tomto disku vytvoří sandboxy.

Osobně doporučuji vždy vytvářet sandboxy na místní disky. Tím se zrychlí práce nástroje a při spuštění z USB flash disku se zrychlí řádově. Pokud jste natolik paranoidní, že chcete vše spouštět a analyzovat na svých oblíbených médiích, které nosíte na srdci, pak můžete parametr změnit, ale pak alespoň používat přenosné pevné disky, aby vše bohulibě nebrzdilo.

Praktické použití

Vyzkoušejme náš nástroj na skutečnou hrozbu. Aby mi nikdo nevyčítal zmanipulování, udělal jsem jednoduchou věc: zašel jsem na www.malwaredomainlist.com a stáhl si nejnovější, co se tam v době psaní tohoto článku objevilo. Ukázalo se, že je to pěkný soubor pp.exe z nějaké infikované stránky. Už jen ten název vzbuzuje velké naděje, navíc můj antivir na tento soubor okamžitě zařval. Mimochodem, všechny naše manipulace se nejlépe provádějí s vypnutým antivirem, jinak riskujeme zablokování / smazání něčeho z toho, co zkoumáme. Jak studovat chování dvojhvězdy? Stačí kliknout klikněte pravým tlačítkem myši na tento soubor a z rozevírací nabídky vyberte Spustit BSA. Otevře se okno Buster Sandbox Analyzer. Pečlivě se podíváme na řádkovou složku Sandbox a zkontrolujeme. Všechny parametry se musí shodovat s těmi, které jsme zadali při nastavování Sandboxie, to znamená, že pokud se sandbox jmenoval BSA a jako cesta ke složce byl nastaven parametr FileRootPath=C:\Sandbox\%SANDBOX%, pak by vše mělo být jako na snímku obrazovky. Pokud víte hodně o perverzích a pojmenovali jste sandbox jinak nebo jste nastavili parametr FileRootPath na jinou jednotku nebo složku, musíte jej odpovídajícím způsobem změnit. Jinak Buster Sandbox Analyzer nebude vědět, kde hledat nové soubory a změny registru.

BSA obsahuje mnoho nastavení pro analýzu a studium procesu binárního spouštění až po zachycení síťových paketů. Neváhejte stisknout tlačítko Spustit analýzu. Okno se přepne do režimu analýzy. Pokud karanténa vybraná pro analýzu z nějakého důvodu obsahuje výsledky předchozí studie, obslužný program nabídne nejprve její vymazání. Vše je připraveno ke spuštění vyšetřovaného spisu.

Připraveni? Poté klikněte pravým tlačítkem myši na zkoumaný soubor a v nabídce, která se otevře, vyberte „Spustit v sandboxu“, poté zadejte „sandbox“, ke kterému jsme připojili BSA.

Ihned poté se v okně analyzátoru spustí volání API, které se zaznamená do log souborů. Vezměte prosím na vědomí, že Buster Sandbox Analyzer sám neví, kdy bude analýza procesu dokončena, ve skutečnosti vaše kliknutí na tlačítko Finish Analysis slouží jako signál pro konec. Jak poznáte, že nastal čas? Mohou existovat dvě možnosti.

1. V okně Sandboxie se nezobrazuje žádný běžící proces. To znamená, že provádění programu bylo výslovně ukončeno.
2. V seznamu volání API se dlouho neobjevuje nic nového, nebo se naopak zobrazuje to samé v cyklické posloupnosti. V okně Sandboxie přitom běží něco jiného. K tomu dochází, pokud je program nakonfigurován pro rezidentní spouštění nebo jednoduše přestane reagovat. V tomto případě je nutné jej nejprve ukončit ručně kliknutím pravým tlačítkem myši na odpovídající sandbox v okně Sandboxie a výběrem End Programs. Mimochodem, při analýze mého pp.exe přesně tato situace nastala.

Poté můžete bezpečně vybrat Dokončit analýzu v okně Buster Sandbox Analyzer.

Analýza chování

Kliknutím na tlačítko Malware Analyzer okamžitě získáme nějaké souhrnné informace o výsledcích studie. V mém případě byla škodlivost souboru zcela zřejmá: během spouštění byl vytvořen a spuštěn soubor C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, který byl přidán do automatického načítání (mimochodem byl ten, kdo se nechtěl ukončit), bylo navázáno spojení s 190.9.35.199 a soubor hosts byl upraven. Mimochodem, ve stejnou dobu pouze pět antivirových modulů detekovalo soubor na VirusTotal, jak je vidět z protokolů, stejně jako na webu VirusTotal.

Všechny informace o výsledcích analýzy jsou přístupné přímo z nabídky Viewer v okně Buster Sandbox Analyzer. Je zde také zahnízděn protokol volání API, který se jistě bude hodit při podrobném průzkumu. Všechny výsledky jsou uloženy jako textové soubory v podsložce Reports složky Buster Sandbox Analyzer. Zvláště zajímavý je report Report.txt (nazývaný přes View Report), který poskytuje rozšířené informace o všech souborech. Odtud se dozvídáme, že dočasné soubory byly skutečně spustitelné, připojení šlo na http://190.9.35.199/view.php?rnd=787714, malware vytvořil specifický mutex G4FGEXWkb1VANr atd. Můžete nejen zobrazit zprávy, ale také extrahovat všechny soubory vytvořené během provádění. Chcete-li to provést, v okně Sandboxie klikněte pravým tlačítkem myši na „pískoviště“ a vyberte „Zobrazit obsah“. Otevře se okno průzkumníka s veškerým obsahem našeho sandboxu: složka jednotky obsahuje soubory vytvořené na fyzické disky"sandboxes" a ve složce uživatele - soubory vytvořené v profilu aktivní uživatel(%uživatelský profil%). Zde jsem našel dplaysvr.exe s knihovnou dplayx.dll, dočasné soubory tmp a upravené hostitelský soubor. Mimochodem, ukázalo se, že k němu byly přidány následující řádky:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Mějte na paměti, že infikované soubory se povalují v karanténě. Pokud je omylem spustíte dvojitým kliknutím, nic se nestane (spustí se v sandboxu), ale pokud je někde zkopírujete a pak spustíte ... hmm, máte nápad. Zde ve složce můžete najít výpis registru, který byl změněn během práce, ve formě souboru RegHive. Tento soubor lze snadno přeložit do čitelnějšího souboru .reg pomocí následujícího příkazového skriptu:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Co nástroj umí a co nemůže

Výsledný nástroj může:

• Sledujte volání API běžící aplikace.
• Sledujte nově vytvořené soubory a nastavení registru.
• Zachyťte síťový provoz, když je aplikace spuštěna.
• Proveďte základní analýzu souborů a jejich chování (vestavěný analyzátor chování, analýza na VirusTotal pomocí hashů, analýza pomocí PEiD, ExeInfo a ssdeep atd.).
• získat nějaké Dodatečné informace spuštěním pomocných programů (například Process Monitor) v „pískovišti“ spolu s analyzovaným.

Tento nástroj nemůže:

• Analyzujte malware běžící v režimu jádra (vyžaduje instalaci ovladače). Je však možné identifikovat mechanismus instalace ovladače (ještě předtím, než je skutečně implementován do systému).
• Analyzujte malware, který monitoruje provádění v Sandboxie. Buster Sandbox Analyzer však obsahuje řadu mechanismů, které takovému sledování zabrání.

Získáte tak sandbox.reg, který obsahuje řádky zavedené malwarem během jeho spouštění. Po provedení analýzy vyberte položku Zrušit analýzu z nabídky Možnosti, aby se vše vrátilo tak, jak bylo. Upozorňujeme, že po této operaci budou všechny protokoly analýzy odstraněny, ale obsah karantény zůstane na svém místě. Při příštím spuštění však program sám nabídne odstranění všeho.

Rozhodli jsme se proto krátce dotknout tohoto tématu.

Sandbox je v podstatě sandboxové softwarové prostředí s rigidním omezené zdroje běžet v tomto prostředí programový kód(zjednodušeně řečeno, program se spustí). Nějakým způsobem je „pískoviště“ takové okleštěné, určené k izolaci pochybných procesů z bezpečnostních důvodů.

Některé z dobrých antivirů a firewallů (ačkoli zpravidla ve své placené verzi) používají tuto metodu bez vašeho vědomí, některé vám umožňují tuto funkci spravovat (protože stále vytváří nadměrnou spotřebu zdrojů), ale existují i ​​programy, které umožňují implementovat podobnou funkcionalitu.

O jednom z nich si dnes povíme.

Bohužel se jedná o shareware, ale stejné bezplatné období vám pomůže tento typ nástroje lépe poznat, což vás možná v budoucnu donutí k podrobnějšímu studiu, které z velké části existuje v bezplatném formulář a poskytuje více funkcí. .

Sandboxie si můžete stáhnout z nebo řekněme . Instalace je téměř elementární, s výjimkou okamžiku, kdy potřebujete nainstalovat ovladač (viz snímek obrazovky níže).

V této fázi je lepší deaktivovat všechny ochranné prvky (tj. stejné antiviry a firewally), jinak, pokud tento krok selže a počítač zamrzne, restartuje se nebo přejde do stavu, bude možná nutné zavést systém v nouzovém režimu a odstranit program bez možnosti dalšího použití .

Po instalaci je ve skutečnosti nutné program spustit. Je možné, že narazíte na výše uvedené upozornění. Není na tom nic špatného, ​​stačí kliknout na „OK“.

Dále vám bude nabídnuta absolvování krátkého kurzu práce s programem, respektive vám řeknou něco málo o tom, jak funguje. Projděte všech šest fází, nejlépe tak, že si pečlivě přečtete, co je napsáno v pokynech, které vám byly poskytnuty.

Stručně řečeno, ve skutečnosti můžete spustit jakýkoli program v izolovaném prostředí. V návodu, pokud jste ho přečetli, je na toto téma docela dobře uvedena metafora, že ve skutečnosti je sandbox kus průhledného papíru umístěný mezi programem a počítačem a smazání obsahu sandboxu je poněkud podobné k vyřazení použitého listu papíru a jeho obsahu, s, což je logické, s následnou výměnou za nový.

Jak nastavit a používat sandboxový program

Nyní se pokusme pochopit, jak s tím pracovat. Pro začátek můžete zkusit spustit řekněme prohlížeč v sandboxu. Chcete-li to provést, ve skutečnosti použijte zástupce, který se objevil na ploše, nebo použijte položky nabídky v hlavním okně programu: " DefaultBox – Spustit v karanténě – Spusťte webový prohlížeč", nebo pokud chcete spustit prohlížeč, který není nainstalován jako výchozí prohlížeč v systému, použijte " Spusťte libovolný program“ a zadejte cestu k prohlížeči (nebo programu).

Poté se prohlížeč ve skutečnosti spustí v „pískovišti“ a jeho procesy uvidíte v okně Sandboxie. Od této chvíle se vše, co se děje, odehrává v, jak bylo opakovaně řečeno, v izolovaném prostředí a například virus, který používá cache prohlížeče jako prvek k pronikání do systému, ve skutečnosti nebude schopen dělat cokoliv, protože po dokončení práce s izolovaným prostředím .. Můžete to vyčistit tak, že vyhodíte, jak říká metafora, napsaný list a přejdete na nový (aniž byste se dotkli integrity počítače jako takového) .

Chcete-li vymazat obsah pískoviště (pokud jej nepotřebujete), v hlavním okně programu nebo v zásobníku (zde jsou hodiny a další ikony) použijte položku " DefaultBox – Odebrat obsah".

Pozornost ! Smaže se pouze ta část, která byla napsána a pracovala v izolovaném prostředí, to znamená, že například prohlížeč samotný nebude smazán z počítače, ale přenesen do něj .. mmm .. relativně vzato, kopie procesu , vytvořená mezipaměť, uložená data (jako stažené/vytvořené soubory) atd. budou smazána, pokud je neuložíte.

Chcete-li hlouběji porozumět principu fungování, zkuste několikrát spustit prohlížeč a další software v sandboxu, stáhnout různé soubory a po dokončení práce s tímto sandboxem smazat / uložit obsah a poté například spustit stejný prohlížeč nebo program již přímo v počítači. Věřte, že podstatu pochopíte v praxi lépe, než se dá vysvětlit slovy.

Mimochodem, kliknutím pravým tlačítkem myši na proces v seznamu procesů v okně Sandboxie můžete ovládat přístup k různým druhům počítačových zdrojů obcházením sandboxu výběrem „ Přístup ke zdrojům".

Zhruba řečeno, pokud chcete riskovat a dát například totéž Google Chrome, přímý přístup do libovolné složky v počítači, pak to můžete provést na odpovídající kartě ( Přístup k souboru – přímý/úplný přístup) pomocí tlačítka Přidat.

Je logické, že sandbox je určen nejen a ne tolik pro práci s prohlížečem a procházení všemožných pochybných stránek, ale také pro spouštění aplikací, které se vám zdají podezřelé (zejména např. v práci (kde často), spouštět pochybné soubory z pošty nebo flash disků) a/nebo by neměli mít přístup k hlavním zdrojům počítače a/nebo tam zanechávat zbytečné stopy.

Mimochodem, ten může být dobrým prvkem pro ochranu, tedy pro spuštění aplikace, jejíž data musí být po dokončení práce zcela izolována a smazána.

Samozřejmě není nutné po dokončení mazat data z sandboxu a pracovat s některými programy pouze v izolovaném prostředí (pokrok je zapamatován a existuje možnost rychlé obnovení), ale je na vás, zda to uděláte nebo ne.

Při pokusu o spuštění některých programů můžete narazit na výše uvedený problém. Nebojte se toho, pro začátek stačí jednoduše kliknout na "OK" a v budoucnu otevřít nastavení sandboxu pomocí " DefaultBox – nastavení izolovaného prostoru“ a na záložce „ Přenos souborů“ nastavte o něco větší velikost pro možnost přenosu souborů.

O dalších nastaveních se teď bavit nebudeme, ale pokud vás zajímají, pak si s nimi snadno poradíte sami, jelikož je vše v ruštině, je to mimořádně přehledné a dostupné .. No, pokud máte nějaké dotazy, se jich můžete zeptat v komentářích k tomuto příspěvku.

Na sim možná můžete přejít k doslovu.

Doslov

Ach ano, málem jsme samozřejmě zapomněli, že sandbox spotřebovává zvýšené množství strojových prostředků, protože si ukousne (virtualizuje) část kapacity, čímž samozřejmě vzniká zátěž, která se liší od přímého spouštění. Ale logicky by zabezpečení a/nebo soukromí mohlo stát za to.

Použití sandboxingu, chrootingu nebo virtualizace mimochodem částečně souvisí s metodologií zabezpečení bez antivirů, kterou .

Na sim snad všechno. Jako vždy, pokud máte nějaké dotazy, myšlenky, doplňky atd., uvítejte komentáře k tomuto příspěvku.

Je mylné se domnívat, že zabudovaná ochrana operačního systému, antiviru nebo firewallu zcela ochrání před malwarem. Poškození však nemusí být tak zřejmé jako v případě virů: několik aplikací může zpomalit Windows a vést k různým druhům anomálií. Postupem času se projeví důsledky nekontrolovaných procesů ze strany „amatérského“ softwaru a nepomáhá již odinstalace, vymazání registrů a další způsoby čištění.

V takových situacích mohou hrát výbornou službu sandboxové programy, kterým je věnována tato recenze. Princip fungování sandboxů je částečně srovnatelný s virtuální stroje(Oracle VM VirtualBox a další, Virtualizace VMware). Díky virtualizaci jsou všechny procesy iniciované programem prováděny v sandboxu – izolovaném prostředí s přísnou kontrolou systémových prostředků.

Tento způsob izolace kódu se poměrně aktivně používá v antivirovém softwaru (KIS 2013, avast!), v programech, jako je Google Chrome (Flash funguje v sandboxu). Neměli bychom však usuzovat, že programy sandbox jsou úplnou zárukou bezpečnosti. Toto je pouze jeden z účinných doplňkových prostředků k ochraně OS (systém souborů, registr) před vnějšími vlivy.

Stránky již zveřejnily přehled programu pro tvorbu virtuální prostředí- Dnes se bude uvažovat o jiných aplikacích v širším slova smyslu: nejde jen o desktopová řešení, ale také o cloudové služby, které zlepšují nejen bezpečnost, ale i anonymitu, umožňují spouštění z výměnného média, z jiného počítače.

Sandboxie

Vývojář Ronen Tzur přirovnává činnost programu Sandboxie k neviditelné vrstvě nanesené na papír: můžete na ni umístit libovolné nápisy; když je ochrana odstraněna, list zůstane neporušený.

Existují 4 hlavní způsoby, jak používat sandboxy v Sandboxie:

• Bezpečné surfování po internetu
• Zlepšení soukromí
• Zabezpečená e-mailová korespondence
• Udržování OS v původním stavu

Poslední bod znamená, že v karanténě můžete instalovat a spouštět libovolné klientské aplikace – prohlížeče, IM messengery, hry – bez ovlivnění systému. Sandboxie řídí přístup k souborům, diskovým zařízením, klíčům registru, procesům, ovladačům, portům a dalším potenciálně nezabezpečeným zdrojům.

Za prvé, SandboxIE je užitečný v tom, že umožňuje uživateli flexibilně konfigurovat sandboxy a oprávnění pomocí prostředí Sandboxie Control. Zde jsou prostřednictvím kontextové a hlavní nabídky dostupné hlavní operace:

• Spouštění a zastavování programů řízených Sandboxie
• Prohlížení souborů v karanténě
• Obnovení souborů, které potřebujete, z karantény
• Smazání všech prací nebo vybraných souborů
• Vytváření, odstraňování a konfigurace sandboxů

Chcete-li spustit program v karanténě, stačí přetáhnout spustitelný soubor do okna Ovládání Sandboxie, do karantény vytvořené ve výchozím nastavení. Jsou i jiné způsoby – například jídelníček Průzkumník Windows nebo oznamovací oblast. Okno programu spuštěného v emulovaném prostředí bude mít v názvu žluté ohraničení a značku hash (#).

Pokud při práci s programem v sandboxu potřebujete uložit výsledky na disk, je zadán jakýkoli požadovaný zdroj - soubory budou umístěny do složky sandbox, zatímco zadanou adresu, mimo pískoviště, nebude. Chcete-li "skutečný" přenos souborů z karantény, měli byste použít možnost obnovení. Existují dva typy - rychlé nebo okamžité, v obou případech je před spuštěním programu v sandboxu potřeba nakonfigurovat složky pro obnovu ("Nastavení pískoviště - Obnova").

Podrobnější nastavení přístupu se nachází v sekcích „Omezení“ a „Přístup ke zdrojům“. Mohou být vyžadovány, pokud aplikaci nelze spustit bez určitých oprávnění (vyžaduje určitou systémovou knihovnu, ovladač atd.). V "Omezení" se ve vztahu k programům nebo skupinám konfiguruje přístup k internetu, k hardwaru, objektům IPC a také nízkoúrovňový přístup. V "Přístup ke zdrojům" - příslušné nastavení pro soubory, adresáře, registr a další systémové prostředky.

Také v nastavení Sandboxie je důležitá sekce "Aplikace", která obsahuje skupiny programů, kterým je udělen přístup k zadaným zdrojům. Zpočátku jsou všechny položky seznamu zakázány, chcete-li použít změny pro konkrétní aplikaci, musíte ji označit v seznamu a kliknout na tlačítko "Přidat".

Je tedy možné vytvářet sandboxy s různými parametry. Je povoleno klonovat konfiguraci existujícího sandboxu, proto při vytváření nového z rozevíracího seznamu vyberte prostředí, ze kterého chcete nastavení přenést.

souhrn

S aplikací Sandboxie můžete vytvářet virtuální prostředí libovolné konfigurace, bez omezení uživatele. Sandboxie poskytuje velké množství nastavení jak pro jednotlivé aplikace, tak pro sandboxy.

[+] Flexibilní konfigurace každého sandboxu
[+] Vytváření pravidel pro skupinu aplikací
[-] Nemůžete vytvářet distribuce
[-] Žádný průvodce nastavením

Vyhodnotit

Je symbolické, že Evalaze pochází z programu Thinstall 2007, aktuálně VMware.

Evalaze není mezi sandboxovacími programy tak známý jako Sandboxie, ale má řadu zajímavých funkcí, které jej odlišují od řady podobných řešení. Díky virtualizaci lze aplikace spouštět v samostatném prostředí z libovolného počítače bez ohledu na dostupnost ovladačů, knihoven nebo novějších verzí spouštěné aplikace. To žádné nevyžaduje přednastavení ani dodatečné konfigurační soubory nebo knihovny nebo klíče registru.

Evalaze nevyžaduje instalaci, jedno upozornění: potřebujete Microsoft . NET Framework verze 2.0 nebo vyšší. V bezplatné verzi i v profesionální edici je k dispozici průvodce nastavením virtualizace a neomezený počet virtuálních aplikací. Zkušební verzi si můžete stáhnout ze stránek vývojářů pouze na vyžádání (viz e-mail vývojářů na stránce).

Výslednou konfiguraci lze uložit do projektu. Od začátku do konce trvá proces nastavení virtuální aplikace déle než například Sandboxie, ale je konzistentnější a přímočařejší.

Je třeba poznamenat dva další funkce Evalaze, která bude pravděpodobně zajímat vývojáře softwaru, testery: pracuje s virtuálním souborovým systémem a virtuálním registrem. Tato samostatná prostředí Evalaze lze upravovat podle vlastního uvážení přidáním souborů, adresářů, klíčů nezbytných pro fungování konkrétního virtuálního programu.

Také v Evalaze můžete nastavit přidružení ihned po spuštění: virtuální aplikace ihned po spuštění vytvoří potřebná přidružení k souborům v OS.

souhrn

Program, pomocí kterého můžete vytvářet samostatné aplikace, které jsou vhodné pro použití v nejrůznějších situacích, což obecně usnadňuje migraci, kompatibilitu, bezpečnost. Bohužel, bezplatná verze je prakticky k ničemu, zajímavá je pouze pro velmi povrchní studium funkcí Evalaze.

[-] Špatně funkční zkušební verze
[−] Vysoká cena Pro verze
[+] Existuje průvodce nastavením
[+] Virtuální souborový systém a registr

Virtuální schránka Enigma

Program Enigma Virtual Box je navržen pro spouštění aplikací v izolovaném virtuálním prostředí. Seznam podporovaných formátů zahrnuje dll, ocx (knihovny), avi, mp3 (multimédia), txt, doc (dokumenty) atd.

Enigma Virtual Box modeluje virtuální prostředí kolem aplikace následovně. Před spuštěním aplikace se spustí zavaděč Virtual Box, který načte informace nezbytné pro fungování programu: knihovny a další komponenty - a poskytne je aplikaci místo systémových. Výsledkem je, že program funguje autonomně s ohledem na OS.

Konfigurace sandboxů Sandboxie nebo Evalaze obvykle trvá asi 5 minut, Virtual Box také na první pohled nezahrnuje zdlouhavou konfiguraci. V dokumentaci je použití programu vlastně obsaženo v jedné větě.

Pouze 4 karty - "Soubory", "Registr", "Kontejnery" a ve skutečnosti "Možnosti". Musíte vybrat spustitelný soubor, určit umístění konečného výsledku a zahájit zpracování. Později se ale ukazuje, že virtuální prostředí je potřeba vytvořit samostatně. K tomu jsou určeny tři navazující sekce „Soubory“, „Registr“ a „Kontejnery“, kam se manuálně doplňují potřebné údaje. Poté můžete kliknout na zpracování, spustit výstupní soubor a zkontrolovat výkon programu.

souhrn

V Enigma Virtual Box tedy nedochází k analýze OS před a po instalaci aplikace, jako je tomu u Evalaze. Důraz se přesouvá směrem k vývoji – proto je Virtual Box spíše užitečný pro testování, kontrolu kompatibility, vytváření umělých podmínek pro běh programu. Virtualizace neznámých aplikací způsobí potíže, protože uživatel bude nucen specifikovat všechny odkazy programu sám.

[-] Nedostatek pohodlného nastavení
[+] Zdroje používané programem lze určit nezávisle

cameyo

Cameyo nabízí virtualizaci aplikací ve třech oblastech: obchod, vývoj, osobní použití. V druhém případě lze sandbox použít k udržení operačního systému v „čistém“ stavu, ukládání a spouštění aplikací na vyměnitelné médium a cloudové služby. Kromě toho je na portálu cameyo.com publikováno několik stovek již nakonfigurovaných virtuálních aplikací, což také šetří čas uživatele.

Kroky pro vytvoření virtuální aplikace jsou podobné jako u Enigma Virtual Box: nejprve se vytvoří snímek systému před instalací a poté po ní. Změny mezi těmito stavy se berou v úvahu při vytváření sandboxu. Na rozdíl od Virtual Box se však Cameyo synchronizuje se vzdáleným serverem a publikuje aplikaci cloudové úložiště. Díky tomu lze aplikace spouštět na jakémkoli počítači s přístupem k účtu.

Prostřednictvím knihovny (Library) si můžete stáhnout oblíbené systémové aplikace (Public Virtual Apps) pro následné spuštění: archivátory, prohlížeče, přehrávače a dokonce i antiviry. Při spuštění jste vyzváni, abyste vybrali spustitelný soubor a uvedli, zda funguje stabilně nebo ne (což zřejmě nějak zohledňují moderátoři galerie Cameyo).

Další zajímavou funkcí je vytvoření virtuální aplikace prostřednictvím . Instalační program lze stáhnout z počítače nebo můžete zadat adresu URL souboru.

Proces převodu trvá podle prohlášení 10 až 20 minut, ale často je čekací doba několikanásobně kratší. Po dokončení je na email zasláno upozornění s odkazem na publikovaný balíček.

E-mailové upozornění na vytvoření distribuce

Se všemi vymoženostmi cloudu je třeba poznamenat dvě věci důležité momenty. Za prvé: každý program je čas od času aktualizován a v knihovně jsou spíše zastaralé kopie. Druhým aspektem je, že aplikace přidané uživateli mohou porušovat licenci konkrétního programu. To je třeba pochopit a vzít v úvahu při vytváření vlastních distribucí. A do třetice, nikdo nemůže zaručit, že virtuální aplikace zveřejněná v galerii nebyla upravena útočníkem.

Nicméně, když už mluvíme o zabezpečení, Cameyo má 4 aplikační režimy:

• Datový režim: program může ukládat soubory do složky Dokumenty a na plochu
• Izolovaný: schopnost psát souborový systém a žádný registr
• Úplný přístup: bezplatný přístup k systému souborů a registru
• Přizpůsobte si tuto aplikaci: úprava spouštěcí nabídky, výběr místa pro uložení programu atd.

souhrn

Pohodlná cloudová služba, kterou lze připojit na jakýkoli počítač a která vám umožní rychle vytvářet přenosné aplikace. Nastavení sandboxů je minimalizováno, ne vše je transparentní s antivirovou kontrolou a zabezpečením obecně – v této situaci však mohou výhody kompenzovat nevýhody.

[+] Synchronizace sítě
[+] Přístup k vlastním aplikacím
[+] Vytvářejte virtuální aplikace online
[-] Chybějící nastavení sandboxu

Spoon.net

Spoon Tools je sada nástrojů pro vytváření virtuálních aplikací. Kromě toho, že je to profesionální prostředí, spoon.net si zaslouží pozornost jako cloudová služba, která se integruje s Desktopem a umožňuje vám rychle vytvářet sandboxy.

Chcete-li se integrovat s pracovní plochou, musíte se zaregistrovat na serveru spoon.net a nainstalovat speciální widget. Po registraci získá uživatel možnost stahovat virtuální aplikace ze serveru prostřednictvím pohodlného shellu.

Widget přináší čtyři funkce:

• Vytvářejte sandboxy pro soubory a aplikace
• Uspořádání na ploše pomocí zástupců, nabídka rychlého spuštění
• Bezpečné testování nových aplikací, spouštění starších verzí nad novými
• Vrátit zpět změny provedené karanténou

Rychlý přístup k widgetu spoon.net je možný pomocí klávesové zkratky Alt + Win. Shell obsahuje vyhledávací řetězec v kombinaci - konzole. Vyhledává aplikace v počítači a na webové službě.

Organizace plochy je velmi pohodlná: můžete ji přetáhnout na virtuální plochu požadované soubory, který se bude synchronizovat s spool.net. Nové sandboxy lze vytvořit pouhými dvěma kliknutími.

Co se týče nastavení sandboxů, Spoon samozřejmě nemůže konkurovat Sandboxie nebo Evalaze z toho důvodu, že ve Spoon prostě neexistují. Nelze nastavit omezení, převést „běžnou“ aplikaci na virtuální. Pro tyto účely je určen komplex Spoon Studio.

souhrn

Lžíce je „nejzataženější“ skořápka, se kterou se dá pracovat virtuální aplikace a zároveň co nejméně přizpůsobitelné. Tento produkt osloví uživatele, kterým nejde ani tak o bezpečnost práce pomocí virtualizace, ale o pohodlí při práci potřebné programy všude.

[+] Integrace widgetů s pracovní plochou
[+] Rychlé tvoření pískoviště
[-] Chybějící nastavení pro omezení virtuálních programů

kontingenční tabulka

Program/služba	Sandboxie	Vyhodnotit	Virtuální schránka Enigma	cameyo	Spoon.net
Vývojář	Sandboxie Holdings LLC	Dogel GmbH	Tým vývojářů Enigma Protector	cameyo	Spoon.net
Licence	Shareware (13 EUR a více)	Freeware/Shareware (69,95 EUR)	Freeware	Freeware	Zdarma (základní účet)
Přidávání aplikací do karantény	+	−	−	−	−
Personalizace (vytvoření zkratky, integrace menu)	+	+	−	+	+
Průvodce nastavením	−	+	+	+	−
Tvorba nových virtuálních aplikací	−	+	+	+	−
Online synchronizace	−	−	−	+	+
Nastavení oprávnění sandboxu	+	+	+	+	−
Analýza změn při vytváření sandboxu	+	+	−	+	−

Při práci na PC spouštíme a stahujeme spoustu souborů: programy, knihy, články. To způsobí, že se do systému dostane malware a viry. Dokonce i na oficiální zdroje existují takové soubory. Jak se před tím chránit. Sandboxie pomůže. to dobrá cesta zbavit se reklam, panelů nástrojů, škodlivého softwaru. Pojďme se blíže podívat na to, jak si Sandboxie stáhnout na PC a pracovat s ním.

co to je

Sandboxie je specializovaný software, který vytváří prostředí na PC, kde aplikace nemá přístup k nastavení PC. Pokud se do PC dostane virus, nezíská přístup k systémovým souborům, aby v nich změnil informace. Když opustíte sandbox, všechny soubory budou odstraněny.

Důležité» Ke spouštění podezřelých aplikací použijte Sandboxie.

K čemu se používá

Vytváří v systému vyhrazené prostředí. Ke změnám souvisejícím s provozem programu dochází pouze ve speciálním izolovaném prostředí (sandbox). V případě potřeby může být. Spusťte jakoukoli aplikaci bez obav z poškození operačního systému. Například spusťte prohlížeč v karanténě, procházejte weby beze strachu, že dostanete virus.

Sandboxie zlepšuje zabezpečení při návštěvě stránek, zejména těch s pochybným obsahem.

Jak stáhnout

Sandboxie je ke stažení na: https://www.sandboxie.com/ . Klikněte na odkaz „Klikněte sem“. Aplikace je shareware, po třiceti dnech práce vás požádá o přechod na placený případ použití. Navzdory tomu bude většina funkcí aplikace dostupná zdarma. Deaktivována bude pouze funkce vícenásobné izolace. Sandboxie pro Windows 7 a starší si můžete stáhnout na: https://www.sandboxie.com/AllVersions.

Chcete-li pracovat ve Windows 10, stáhněte si Sandboxie v5 nebo novější.

Sandbox pro Windows 10

Spusťte instalační soubor "exe" tak, že na něj dvakrát kliknete levým tlačítkem myši. Instalace bude zahájena. Chcete-li stáhnout Sandboxie v ruštině, vyberte příslušnou položku v okně, které se objeví.
Instalace je jednoduchá, nezpůsobí potíže ani začínajícím uživatelům. Aplikace bude dostupná z nabídky "Start" - "Programy". Bude také umístěn v systémové liště.
Na „Desktop“ bude přidán zástupce, kliknutím na který se otevře výchozí prohlížeč.

Nastavení

Druhý způsob

Klepněte pravým tlačítkem myši na zástupce aplikace a poté na "Spustit".
Aplikace poběží v izolovaném prostředí. Při najetí myší se zobrazí barevný rámeček.

Zvažte praktický příklad

Zotavení

Během provozu se soubory ukládají do adresářů. Nejsou viditelné, dokud aplikaci nepovolíte, aby je přenesla. Toto je "Obnova". Jak to nastavit, to bylo rozebráno o něco výše v článku. Jak se zotavit?

Okamžité zotavení

Doporučuji použít tuto metodu, protože funkce je volána automaticky při vytváření souborů. Po uložení se zobrazí okno „Okamžité obnovení“.

Existuje ekvivalent Sandboxie? Případně se podívejte do programů jako Shadow User a Shadow Defender. Ale pokud potřebujete software pro ovládání aplikací, nevidím smysl jeho výměny.

Závěr

Použijte Sandboxie ke spouštění programů v izolovaném prostředí bez poškození systému ak bezpečnému surfování na internetu. Na rozdíl od běžného spouštění programu spotřebovává aplikace více systémových prostředků. Stahování proto trvá déle, ale bezpečnost za to stojí. Systém nedostane nebezpečné součásti, které mohou poškodit práci. Použijte Sandboxie k testování a spouštění pochybných aplikací.