می توانید بی نهایت به آتش، آب و فعالیت برنامه های جدا شده در جعبه شنی نگاه کنید. به لطف مجازی سازی، با یک کلیک می توانید نتایج این فعالیت - اغلب ناامن - را به فراموشی بسپارید.

با این حال، مجازی سازی برای اهداف تحقیقاتی نیز مورد استفاده قرار می گیرد: به عنوان مثال، می خواهید تأثیر یک برنامه تازه کامپایل شده را بر روی سیستم بررسی کنید یا دو مورد را اجرا کنید. نسخه های مختلفبرنامه های کاربردی در همان زمان یا یک برنامه مستقل بسازید که هیچ اثری روی سیستم باقی نگذارد. گزینه های زیادی برای استفاده از sandbox وجود دارد. این برنامه نیست که شرایطش را در سیستم دیکته می کند، بلکه شما راه را به آن نشان می دهید و منابع را تخصیص می دهید.

اگر از کندی فرآیند راضی نیستید، با استفاده از ابزار ThinApp Converter می توانید مجازی سازی را در جریان قرار دهید. نصب کننده ها بر اساس پیکربندی که شما مشخص کرده اید ایجاد می شوند.

به طور کلی، توسعه دهندگان توصیه می کنند که همه این آماده سازی ها را در شرایط استریل، در یک سیستم عامل تازه تولید کنند، به طوری که تمام تفاوت های ظریف نصب در نظر گرفته شود. برای این منظور می توانید از ماشین مجازی استفاده کنید که البته این کار روی سرعت کار اثرگذار خواهد بود. VMware ThinApp در حال حاضر به شدت منابع سیستم را بارگیری می کند و نه تنها در حالت اسکن. با این حال، همانطور که می گویند، به آرامی اما مطمئنا.

منطقه حائل

• سایت اینترنتی: www.trustware.com
• توسعه دهنده:ابزار اعتماد
• مجوز:نرم افزار رایگان

BufferZone اینترنت و فعالیت نرم افزاری برنامه ها را با استفاده از یک منطقه مجازی کنترل می کند که نزدیک به فایروال ها است. به عبارت دیگر، از مجازی سازی قوانین محور استفاده می کند. BufferZone به طور یکپارچه با مرورگرها، پیام رسان های فوری، ایمیل و مشتریان P2P کار می کند.

در زمان نگارش این مقاله، توسعه دهندگان در مورد مشکلات احتمالی هنگام کار با ویندوز 8 هشدار دادند. این برنامه می تواند سیستم را از بین ببرد، پس از آن باید از طریق حالت امن حذف شود. این به دلیل درایورهای BufferZone است که در تضاد جدی با سیستم عامل قرار می گیرند.

آنچه تحت رادار BufferZone قرار می گیرد را می توان در بخش خلاصه اصلی ردیابی کرد. تعداد برنامه های محدود شده را خودتان تعیین می کنید: برنامه هایی که در لیست BufferZone اجرا می شوند برای این منظور در نظر گرفته شده است. در حال حاضر شامل برنامه های بالقوه ناامن مانند مرورگرها و مشتریان پست الکترونیکی. یک حاشیه قرمز در اطراف پنجره برنامه ضبط شده ظاهر می شود، که به شما اطمینان می دهد که با خیال راحت گشت و گذار کنید. اگر می خواهید خارج از منطقه اجرا کنید - مشکلی نیست، کنترل را می توان دور زد منوی زمینه.

علاوه بر منطقه مجازی، چیزی به نام منطقه خصوصی وجود دارد. شما می توانید سایت هایی را به آن اضافه کنید که نیاز به محرمانه ترین موارد دارند. فوراً باید توجه داشت که عملکرد فقط در داخل کار می کند اینترنت اکسپلوررنسخه های یکپارچهسازی با سیستمعامل در بیشتر مرورگرهای مدرنابزارهای داخلی برای اطمینان از ناشناس بودن وجود دارد.

در بخش Policy، این خط‌مشی در رابطه با نصب‌کننده‌ها و به‌روزرسانی‌ها و همچنین برنامه‌های راه‌اندازی شده از دستگاه‌ها و منابع شبکه پیکربندی می‌شود. همچنین به تنظیمات مراجعه کنید گزینه های اضافیسیاست امنیتی (Advanced Policy). شش سطح کنترل وجود دارد که بسته به آن نگرش BufferZone به برنامه ها تغییر می کند: بدون حفاظت (1)، خودکار (2) و نیمه خودکار (3)، اعلان در مورد راه اندازی همه (4) و برنامه های بدون امضا (5). ) حداکثر حفاظت (6).

همانطور که می بینید، مقدار BufferZone کنترل کامل اینترنت است. اگر به قوانین انعطاف پذیرتری نیاز دارید، هر فایروال به شما کمک خواهد کرد. BufferZone نیز دارای آن است، اما بیشتر برای نمایش: به شما امکان می دهد برنامه ها، آدرس های شبکه و پورت ها را مسدود کنید. از نقطه نظر عملی، برای دسترسی فعال به تنظیمات چندان راحت نیست.

اوالاز

• سایت اینترنتی: www.evalaze.de/en/evalaze-oxid/
• توسعه دهنده: Dogel GmbH
• مجوز:نرم افزار رایگان / تجاری (2142 یورو)

ویژگی اصلی Evalaze انعطاف پذیری برنامه های مجازی است: آنها را می توان از رسانه های قابل جابجایی یا از محیط شبکه. این برنامه به شما امکان می دهد توزیع های کاملاً مستقلی را ایجاد کنید که در یک سیستم فایل شبیه سازی شده و محیط رجیستری کار می کنند.

ویژگی اصلی Evalaze یک جادوگر کاربر پسند است که بدون خواندن کتابچه راهنمای کاربر قابل درک است. ابتدا یک تصویر از سیستم عامل قبل از نصب برنامه می سازید، سپس آن را نصب می کنید، یک اجرای آزمایشی انجام می دهید و آن را پیکربندی می کنید. در مرحله بعد، به دنبال جادوگر Evalaze، تغییرات را تجزیه و تحلیل می کنید. این بسیار شبیه به اصل عملکرد حذف کننده ها (به عنوان مثال، Soft Organizer) است.

برنامه های مجازی می توانند در دو حالت کار کنند: در حالت اول، عملیات نوشتن به sandbox هدایت می شود، در حالت دوم، برنامه قادر به نوشتن و خواندن فایل ها در سیستم واقعی خواهد بود. اینکه آیا برنامه آثاری از فعالیت های خود را حذف می کند یا خیر به شما بستگی دارد، گزینه Delete Old Sandbox Automatic در خدمت شماست.

بسیاری از ویژگی های جالب فقط در نسخه تجاری Evalaze موجود است. از جمله - ویرایش عناصر محیط (مانند فایل ها و کلیدهای رجیستری)، وارد کردن پروژه ها، تنظیم حالت خواندن. با این حال، هزینه مجوز بیش از دو هزار یورو است، که، ببینید، تا حدودی بالاتر از مانع قیمت روانی است. با قیمتی مشابه، استفاده از سرویس مجازی سازی آنلاین ارائه می شود. به عنوان یک تسلیت، سایت توسعه دهنده دارای برنامه های نمونه مجازی از پیش ساخته شده است.

کامیو

• سایت اینترنتی: www.cameyo.com
• توسعه دهنده:کامیو
• مجوز:نرم افزار رایگان

بررسی گذرا از Cameyo نشان می دهد که عملکردها مشابه Evalaze هستند و می توانید یک کیت توزیع را با یک برنامه مجازی با سه کلیک "کور" کنید. بسته‌کننده یک عکس فوری از سیستم می‌گیرد، آن را با تغییرات پس از نصب نرم‌افزار مقایسه می‌کند و یک اکوسیستم برای اجرا ایجاد می‌کند.

مهمترین تفاوت با Evalaze این است که برنامه کاملا رایگان است و هیچ گزینه ای را مسدود نمی کند. تنظیمات به راحتی متمرکز می شوند: تغییر روش مجازی سازی با ذخیره در دیسک یا حافظه، انتخاب حالت جداسازی: ذخیره اسناد در فهرست های مشخص شده، ممنوع کردن نوشتن یا دسترسی کامل. علاوه بر این، می توانید محیط مجازی را با استفاده از ویرایشگر فایل و کلیدهای رجیستری شخصی سازی کنید. هر پوشه همچنین دارای یکی از سه سطح جداسازی است که می توان به راحتی آنها را نادیده گرفت.

می‌توانید نحوه پاکسازی سندباکس را پس از خروج از برنامه آفلاین مشخص کنید: حذف ردپاها، بدون پاکسازی، و نوشتن تغییرات رجیستری در یک فایل. همچنین یکپارچه سازی با Explorer و امکان اتصال به انواع خاصی از فایل ها در سیستم موجود است که حتی در آنالوگ های پولی Cameyo وجود ندارد.

با این حال، جالب ترین چیز بخش محلی Cameyo نیست، بلکه بسته بندی آنلاین و برنامه های مجازی عمومی است. کافی است URL را مشخص کنید یا نصب کننده MSI یا EXE را روی سرور آپلود کنید، بیتی بودن سیستم را مشخص کنید و یک بسته مستقل در خروجی دریافت خواهید کرد. از این پس زیر سقف ابر شما در دسترس است.

خلاصه

سندباکسیبهترین انتخاب برای آزمایش در جعبه شنی خواهد بود. این برنامه آموزنده ترین در بین ابزارهای ذکر شده است، دارای عملکرد نظارت است. طیف گسترده ای از تنظیمات و گزینه های خوب برای مدیریت گروهی از برنامه ها.

هیچکدام را ندارد ویژگی های منحصر به فرد، اما بسیار ساده و بدون دردسر. یک واقعیت جالب: مقاله در داخل این "جعبه شن" نوشته شده است، و به دلیل یک اشتباه ناگوار، همه تغییرات به "سایه" (بخوانید: اختری) رفت. اگر Dropbox نبود، یک متن کاملاً متفاوت در این صفحه منتشر می شد - به احتمال زیاد توسط نویسنده دیگری.

اوالازنه یک رویکرد مجازی سازی یکپارچه، بلکه یک رویکرد فردی ارائه می دهد: شما با ایجاد شرایط زیستگاه مصنوعی برای این کار، راه اندازی یک برنامه خاص را کنترل می کنید. در اینجا مزایا و معایبی وجود دارد. با این حال، با در نظر گرفتن محدود بودن نسخه رایگان Evalaze، وقار در چشمان شما محو خواهد شد.

کامیودارای طعم "ابری" خاصی است: برنامه را می توان از سایت بارگیری کرد، در یک درایو فلش USB یا Dropbox بارگذاری کرد - این در بسیاری از موارد راحت است. درست است، این منجر به ارتباط با فست فود می شود: شما نمی توانید کیفیت و مطابقت محتوا را با توضیحات تضمین کنید.

اما اگر ترجیح می دهید طبق دستور غذا بپزید، VMware ThinApp- گزینه شما این یک راه حل برای کارشناسانی است که به هر تفاوت ظریفی اهمیت می دهند. مجموعه ای از ویژگی های منحصر به فرد با قابلیت های کنسول تکمیل می شود. می توانید برنامه ها را از خط فرمان، با استفاده از تنظیمات، اسکریپت ها - در حالت فردی و دسته ای.

منطقه حائلیک سندباکس با عملکرد فایروال است. این ترکیبی از تنظیمات کامل و به‌روز فاصله زیادی دارد، اما می‌توانید از BufferZone برای کنترل فعالیت‌ها و برنامه‌های اینترنتی، محافظت در برابر ویروس‌ها و سایر تهدیدات استفاده کنید.

دو راه اصلی برای اجرای ایمن یک فایل اجرایی مشکوک وجود دارد: تحت یک ماشین مجازی یا در یک به اصطلاح "sandbox" (sandbox). علاوه بر این، مورد دوم را می توان با استفاده از روشی زیبا برای تجزیه و تحلیل فایل آنلاین، بدون توسل به ابزارهای تخصصی و خدمات آنلاین و بدون استفاده از منابع زیادی، مانند یک ماشین مجازی، تطبیق داد. من می خواهم در مورد او به شما بگویم.

هشدار

استفاده نادرست از تکنیک توصیف شده می تواند به سیستم آسیب برساند و منجر به عفونت شود! مراقب و مراقب باشید.

"Sandbox" برای تجزیه و تحلیل

افرادی که با امنیت کامپیوتر سر و کار دارند با مفهوم "جعبه شنی" بسیار آشنا هستند. به طور خلاصه، sandbox یک محیط آزمایشی است که یک برنامه خاص در آن اجرا می شود. در عین حال، کار به گونه ای سازماندهی شده است که تمام اقدامات برنامه نظارت می شود، تمام فایل های تغییر یافته و تنظیمات ذخیره می شوند، اما در سیستم واقعی هیچ اتفاقی نمی افتد. به طور کلی، شما می توانید هر فایلی را با اطمینان کامل اجرا کنید که به هیچ وجه بر عملکرد سیستم تاثیری نخواهد گذاشت. چنین ابزارهایی را می توان نه تنها برای اطمینان از امنیت، بلکه برای تجزیه و تحلیل اقدامات بدافزاری که پس از راه اندازی انجام می دهد، استفاده کرد. با این حال، اگر قبل از شروع عملیات فعال، یک بازیگر از سیستم و یک تصویر از آنچه در "جعبه شنی" اتفاق افتاده وجود داشته باشد، می توانید به راحتی تمام تغییرات را دنبال کنید.

البته، بسیاری از خدمات آنلاین آماده در وب وجود دارد که تجزیه و تحلیل فایل را ارائه می دهند: Anubis، CAMAS، ThreatExpert، ThreatTrack. چنین خدماتی از رویکردهای مختلفی استفاده می کنند و مزایا و معایب خاص خود را دارند، اما معایب اصلی مشترک را می توان شناسایی کرد:

شما باید به اینترنت دسترسی داشته باشید. لازم است منتظر صف در فرآیند پردازش (در نسخه های رایگان) باشید. به طور معمول، فایل هایی که در زمان اجرا ایجاد یا اصلاح می شوند ارائه نمی شوند. امکان کنترل گزینه های اجرا (در نسخه های رایگان) وجود ندارد. تداخل در فرآیند راه اندازی غیرممکن است (به عنوان مثال، روی دکمه های پنجره هایی که ظاهر می شوند کلیک کنید). به طور کلی نمی توان کتابخانه های خاص مورد نیاز برای اجرا (در نسخه های رایگان) را فراهم کرد. به عنوان یک قاعده، فقط فایل های PE قابل اجرا تجزیه و تحلیل می شوند.

چنین سرویس هایی اغلب بر اساس ماشین های مجازی با ابزارهای نصب شده تا اشکال زدایی هسته ساخته می شوند. آنها همچنین می توانند در خانه سازماندهی شوند. با این حال، این سیستم ها از نظر منابع کاملاً نیاز دارند و مقدار زیادی از فضای هارد دیسک را اشغال می کنند و تجزیه و تحلیل گزارش های دیباگر زمان زیادی را می طلبد. این بدان معنی است که آنها در مطالعه عمیق نمونه های خاص بسیار موثر هستند، اما بعید است در کارهای معمولی مفید باشند، زمانی که هیچ راهی برای بارگیری منابع سیستم و اتلاف زمان برای تجزیه و تحلیل وجود ندارد. استفاده از "جعبه ماسهبازی" برای تجزیه و تحلیل به شما امکان می دهد بدون هزینه های منابع عظیم انجام دهید.

یکی دو تا هشدار

امروز ما سعی خواهیم کرد آنالایزر مبتنی بر سندباکس خودمان را بسازیم، یعنی ابزار Sandboxie. این برنامه به عنوان نرم افزار اشتراک گذاری در وب سایت نویسنده www.sandboxie.com موجود است. برای مطالعه ما، محدود است نسخه رایگان. این برنامه برنامه ها را در یک محیط ایزوله اجرا می کند تا تغییرات مخربی در سیستم واقعی ایجاد نکنند. اما در اینجا دو تفاوت وجود دارد:

1. Sandboxie فقط به شما امکان می دهد برنامه ها را در سطح حالت کاربر ردیابی کنید. تمام فعالیت کدهای مخرب در حالت هسته ردیابی نمی شود. بنابراین، حداکثر چیزی که می توان در هنگام مطالعه روت کیت ها یاد گرفت، نحوه ورود بدافزار به سیستم است. متأسفانه، تجزیه و تحلیل خود رفتار در سطح حالت هسته غیرممکن است.
2. بسته به تنظیمات، Sandboxie می‌تواند دسترسی به شبکه را مسدود کند، اجازه دسترسی کامل یا دسترسی را فقط برای برخی برنامه‌ها بدهد. واضح است که اگر بدافزار برای راه اندازی عادی نیاز به دسترسی به اینترنت داشته باشد، باید ارائه شود. از سوی دیگر، اگر Pinch را روی فلش درایو خود دارید که راه اندازی می شود، تمام رمزهای عبور سیستم را جمع آوری می کند و آنها را به ftp برای مهاجم می فرستد، سپس Sandboxie با دسترسی آزاداینترنت از شما در برابر ضرر محافظت نمی کند اطلاعات محرمانه! این بسیار مهم است و باید به خاطر داشت.

راه اندازی اولیه Sandbox

Sandboxie یک ابزار عالی با گزینه های سفارشی سازی زیادی است. من فقط به مواردی از آنها اشاره می کنم که برای وظایف ما ضروری است.

پس از نصب Sandboxie، یک سندباکس به طور خودکار ایجاد می شود. می توانید چند "جعبه شنی" دیگر برای کارهای مختلف اضافه کنید. تنظیمات Sandbox از طریق منوی زمینه قابل دسترسی هستند. به عنوان یک قاعده، تمام پارامترهای قابل تغییر به اندازه کافی ارائه می شوند توصیف همراه با جزئیاتدر روسی. گزینه های ذکر شده در بخش های Recovery، Uninstall و Restrictions برای ما اهمیت ویژه ای دارند. بنابراین:

1. باید مطمئن شوید که چیزی در بخش "بازیابی" ذکر نشده باشد.
2. در بخش "حذف"، هیچ گونه چک باکس و/یا پوشه و برنامه اضافه شده علامت گذاری نشده باشد. اگر پارامترها به اشتباه در بخش های مشخص شده در پاراگراف 1 و 2 تنظیم شوند، این می تواند منجر به این واقعیت شود که کد مخرب سیستم را آلوده می کند یا تمام داده های تجزیه و تحلیل از بین می رود.
3. در بخش "محدودیت ها" باید تنظیماتی را انتخاب کنید که با وظایف شما مطابقت دارد. تقریباً همیشه لازم است که دسترسی سطح پایین و استفاده از سخت افزار را به همه برنامه های در حال اجرا محدود کنید تا از آلوده شدن سیستم روت کیت ها جلوگیری شود. اما برعکس، نباید دسترسی به راه اندازی و اجرا و همچنین سلب حقوق را محدود کنید، در غیر این صورت کد مشکوک در یک محیط غیر استاندارد اجرا می شود. با این حال، همه چیز، از جمله در دسترس بودن دسترسی به اینترنت، به کار بستگی دارد.
4. برای وضوح و راحتی، در بخش "رفتار"، توصیه می شود گزینه "نمایش حاشیه اطراف پنجره" را فعال کنید و رنگی را برای برجسته کردن برنامه های در حال اجرا در یک محیط محدود انتخاب کنید.

ما افزونه ها را به هم وصل می کنیم

با چند کلیک، ما یک محیط ایزوله عالی برای اجرای ایمن کد دریافت کردیم، اما نه ابزاری برای تجزیه و تحلیل رفتار آن. خوشبختانه نویسنده Sandboxie امکان استفاده از تعدادی افزونه را برای برنامه خود فراهم کرده است. مفهوم بسیار جالب است. افزونه ها کتابخانه های پویایی هستند که در یک فرآیند sandbox تعبیه شده اند و اجرای آن را به روشی خاص ثبت یا تغییر می دهند.

ما به چند پلاگین نیاز داریم که در زیر لیست شده است.

1. SBIExtra. این افزونه تعدادی از توابع را برای برنامه ای که در جعبه ماسهبازی اجرا می شود قطع می کند تا ویژگی های زیر را مسدود کند:
   • بررسی اجمالی فرآیندها و موضوعات اجرایی؛
   • دسترسی به فرآیندهای خارج از sandbox؛
   • فراخوانی تابع BlockInput (ورودی صفحه کلید و ماوس)؛
   • خواندن عناوین ویندوزهای فعال
2. آنتی دل. افزونه توابع مسئول حذف فایل ها را قطع می کند. بنابراین، تمام فایل های موقت، دستور حذف از آن می آید کد منبع، همچنان در جای خود باقی مانده است.

چگونه آنها را در sandbox ادغام کنیم؟ از آنجایی که این مورد توسط رابط Sandboxie ارائه نشده است، باید فایل پیکربندی را به صورت دستی ویرایش کنید. یک پوشه Plugins ایجاد کنید و تمام افزونه های آماده شده را در آن باز کنید. اکنون توجه کنید: Buster Sandbox Analyzer شامل چندین کتابخانه با نام مشترک LOG_API*.dll است که می توانند به فرآیند تزریق شوند. دو نوع کتابخانه وجود دارد: Verbose و Standard. اولین نمایش عملا لیست کاملتماس‌های API که توسط برنامه انجام می‌شود، شامل دسترسی‌های فایل و رجیستری، دومین فهرست کوتاه‌شده است. کوچک کردن به شما امکان می دهد سرعت کار را افزایش دهید و لاگ را کاهش دهید، که سپس باید تجزیه و تحلیل شود. من شخصاً از سیاهههای مربوط بزرگ نمی ترسم، اما می ترسم که برخی از اطلاعات ضروری با دقت "کاهش" یابد، بنابراین Verbose را انتخاب می کنم. این کتابخانه است که ما تزریق خواهیم کرد. برای اینکه بدافزار نتواند تزریق یک کتابخانه را با نام خود تشخیص دهد، ساده‌ترین احتیاط را اعمال می‌کنیم: نام LOG_API_VERBOSE.dll را به چیز دیگری، به عنوان مثال، LAPD.dll تغییر دهید.

اکنون در پنجره اصلی Sandboxie، "Configure -> Edit Configuration" را انتخاب کنید. یک پیکربندی متن با تمام تنظیمات برنامه باز می شود. به خطوط زیر توجه کنید:

• پارامتر FileRootPath در قسمت مسیر مشترک پوشه sandbox را مشخص می کند، که پوشه ای است که همه فایل های sandbox در آن قرار می گیرند. برای من، این پارامتر شبیه FileRootPath=C:\Sandbox\%SANDBOX است، ممکن است برای شما متفاوت باشد.
• این بخش برای ما جالب نیست - از آن می گذریم و بیشتر پیمایش می کنیم.
• سپس بخشی می آید که نام آن با نام جعبه شنی یکی است (بگذارید BSA باشد). ما افزونه‌ها را در اینجا اضافه می‌کنیم: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD. dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

مسیرها البته ممکن است متفاوت باشد. اما ترتیب کتابخانه های تزریقی باید دقیقاً همین باشد! این نیاز به این دلیل است که رهگیری توابع باید به ترتیب مشخص شده انجام شود، در غیر این صورت پلاگین ها کار نخواهند کرد. برای اعمال تغییرات، در پنجره اصلی Sandboxie: "Configure -> Reload Configuration" را انتخاب کنید.

حالا بیایید خود افزونه Buster Sandbox Analyzer را پیکربندی کنیم.

1. افزونه را به صورت دستی با استفاده از فایل bsa.exe از پوشه Plugins اجرا کنید.
2. "Options -> Analysis mode -> Manual" و سپس "Options -> Program Options -> Windows Shell Integration -> Add-click right action "Run BSA" را انتخاب کنید.

اکنون همه چیز برای کار آماده است: "جعبه ماسه ای" ما در سیستم یکپارچه شده است.

نسخه قابل حمل سندباکس

البته، بسیاری از این واقعیت خوششان نمی آید که شما نیاز به نصب، پیکربندی و غیره دارید. از آنجایی که همه اینها برای من جذاب نیست، من یک نسخه قابل حمل از ابزار را ساختم که می تواند بدون نصب و پیکربندی مستقیماً از یک برنامه اجرا شود. فلش درایو USB. می‌توانید این نسخه را از اینجا دانلود کنید: tools.safezone.cc/gjf/Sandboxie-portable.zip. برای راه اندازی سند باکس کافی است اسکریپت start.cmd را اجرا کنید و در پایان کار اجرای اسکریپت stop.cmd را فراموش نکنید که درایور و تمامی اجزاء را به طور کامل از حافظه تخلیه می کند و همچنین ذخیره می کند. تغییرات ایجاد شده در حین کار در پرتابل

تنظیمات زیادی برای خود پورتابلیزر وجود ندارد: کار آن عمدتاً بر اساس دستکاری فایل Sandboxie.ini.template واقع در پوشه Templates است. در واقع این فایل یک فایل تنظیمات Sandboxie است که به درستی پردازش شده و به برنامه منتقل می شود و پس از اتمام آن دوباره به Templates بازنویسی می شود. اگر این فایل را با Notepad باز کنید، بعید است که چیز جالبی پیدا کنید. حتماً به الگوی $(InstallDrive) که در تعدادی از پارامترهای مسیر تکرار می شود توجه کنید. ما به خصوص به پارامتر FileRootPath علاقه مند هستیم. اگر به این شکل است:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

سپس جعبه‌های سند بر روی دیسکی که Sandboxie قابل حمل در آن قرار دارد ایجاد می‌شود. اگر پارامتر به این شکل باشد، برای مثال:

FileRootPath=C:\Sandbox\%SANDBOX%

به عبارت دیگر، یک درایو سیستمی خاص را مشخص می کند، سپس جعبه های سند روی این درایو ایجاد می شود.

من شخصاً توصیه می‌کنم همیشه جعبه‌های شنی را روی آن ایجاد کنید درایوهای محلی. این کار کار ابزار را سرعت می بخشد و هنگامی که از یک درایو فلش USB راه اندازی می شود، سرعت آن با دستورات بزرگی افزایش می یابد. اگر آنقدر پارانوئید هستید که می خواهید همه چیز را در رسانه مورد علاقه خود که در قلب خود دارید اجرا و تجزیه و تحلیل کنید، می توانید پارامتر را تغییر دهید، اما حداقل بعد از آن از هارد دیسک های قابل حمل استفاده کنید تا همه چیز بی خدا ترمز نکند.

استفاده عملی

بیایید ابزار خود را روی یک تهدید واقعی امتحان کنیم. به طوری که هیچ کس مرا به دلیل تقلب سرزنش نکرد، من یک کار ساده انجام دادم: به www.malwaredomainlist.com رفتم و آخرین موردی را که در زمان نوشتن در آنجا ظاهر شد را دانلود کردم. معلوم شد که یک فایل pp.exe زیبا از برخی سایت های آلوده است. این نام به تنهایی امیدهای زیادی را القا می کند، علاوه بر این، آنتی ویروس من بلافاصله سر این فایل فریاد زد. به هر حال، تمام دستکاری های ما به بهترین وجه با خاموش بودن آنتی ویروس انجام می شود، در غیر این صورت خطر مسدود کردن / حذف چیزی از آنچه در حال تحقیق هستیم وجود دارد. چگونه رفتار یک باینری را مطالعه کنیم؟ فقط کلیک کنید کلیک راستروی این فایل و از منوی کشویی Run BSA را انتخاب کنید. پنجره Buster Sandbox Analyzer باز می شود. ما به دقت به پوشه Sandbox خط نگاه می کنیم تا بررسی کنیم. همه پارامترها باید با پارامترهایی مطابقت داشته باشند که هنگام راه اندازی Sandboxie مشخص کردیم، یعنی اگر جعبه ایمنی BSA نام داشت و پارامتر FileRootPath=C:\Sandbox\%SANDBOX% به عنوان مسیر پوشه تنظیم شده بود، پس همه چیز باید به این صورت باشد. روی اسکرین شات اگر چیزهای زیادی در مورد انحرافات می دانید و نام جعبه شنی را متفاوت می دانید یا پارامتر FileRootPath را روی درایو یا پوشه دیگری تنظیم می کنید، باید آن را مطابق با آن تغییر دهید. در غیر این صورت، Buster Sandbox Analyzer نمی داند کجا برای فایل های جدید و تغییرات رجیستری جستجو کند.

BSA شامل تنظیمات زیادی برای تجزیه و تحلیل و مطالعه فرآیند اجرای باینری، تا رهگیری بسته های شبکه است. با خیال راحت دکمه Start Analysis را فشار دهید. پنجره به حالت تحلیل تغییر می کند. اگر جعبه شنی انتخاب شده برای تجزیه و تحلیل به دلایلی حاوی نتایج یک مطالعه قبلی باشد، ابزار ابتدا پیشنهاد می کند آن را پاک کند. همه چیز برای راه اندازی پرونده در دست بررسی آماده است.

آماده؟ سپس بر روی فایل مورد مطالعه کلیک راست کرده و در منوی باز شده گزینه Run in sandbox را انتخاب کنید، سپس "sandbox" را که BSA را به آن متصل کرده ایم، مشخص کنید.

بلافاصله پس از آن، تماس های API در پنجره تحلیلگر اجرا می شود که در فایل های گزارش ثبت می شود. لطفا توجه داشته باشید که Buster Sandbox Analyzer خود نمی داند که تجزیه و تحلیل فرآیند چه زمانی کامل می شود، در واقع کلیک شما بر روی دکمه Finish Analysis به عنوان یک سیگنال برای پایان عمل می کند. چگونه می دانید که زمان آن فرا رسیده است؟ ممکن است دو گزینه وجود داشته باشد.

1. هیچ فرآیند در حال اجرا در پنجره Sandboxie نشان داده نمی شود. این بدان معناست که اجرای برنامه صراحتاً خاتمه یافته است.
2. برای مدت طولانی هیچ چیز جدیدی در لیست فراخوانی های API ظاهر نمی شود، یا برعکس، همان چیز در یک توالی چرخه ای نمایش داده می شود. در همان زمان، چیز دیگری در پنجره Sandboxie در حال اجرا است. این اتفاق می افتد اگر برنامه برای اجرای مقیم پیکربندی شده باشد یا به سادگی هنگ شود. در این حالت، ابتدا باید با کلیک راست بر روی sandbox مربوطه در پنجره Sandboxie و انتخاب End Programs به صورت دستی خاتمه داده شود. به هر حال، هنگام تجزیه و تحلیل pp.exe من، دقیقاً این وضعیت رخ داد.

پس از آن، می توانید با خیال راحت Finish Analysis را در پنجره Buster Sandbox Analyzer انتخاب کنید.

تجزیه و تحلیل رفتار

با کلیک بر روی دکمه Malware Analyzer بلافاصله اطلاعات خلاصه ای از نتایج مطالعه بدست می آوریم. در مورد من، مخرب بودن فایل کاملا مشهود بود: در حین اجرا، فایل C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe ایجاد و راه اندازی شد که به بارگذاری خودکار اضافه شد (به هر حال، این بود. او که نمی خواست خودش را خاتمه دهد)، با 190.9.35.199 ارتباط برقرار شد و فایل هاست اصلاح شد. به هر حال، در همان زمان، تنها پنج موتور ضد ویروس فایل را در VirusTotal شناسایی کردند، همانطور که از گزارش ها و همچنین در وب سایت VirusTotal مشاهده می شود.

تمام اطلاعات مربوط به نتایج تجزیه و تحلیل را می توان مستقیماً از منوی Viewer در پنجره Buster Sandbox Analyzer مشاهده کرد. گزارش تماس API نیز در اینجا قرار داده شده است که مطمئناً در تحقیقات دقیق مفید خواهد بود. همه نتایج به عنوان ذخیره می شود فایل های متنیدر زیر پوشه Reports پوشه Buster Sandbox Analyzer. گزارش Report.txt (که از طریق View Report فراخوانی می‌شود)، که اطلاعات گسترده‌ای را در مورد همه فایل‌ها ارائه می‌کند، مورد توجه خاص است. از آنجاست که می آموزیم که فایل های موقت واقعاً قابل اجرا بودند، اتصال به http://190.9.35.199/view.php?rnd=787714 رفت، بدافزار یک mutex خاص G4FGEXWkb1VANr و غیره ایجاد کرد. شما نه تنها می توانید مشاهده کنید. گزارش می دهد، بلکه تمام فایل های ایجاد شده در حین اجرا را نیز استخراج می کند. برای انجام این کار، در پنجره Sandboxie، روی "sandbox" کلیک راست کرده و "View Contents" را انتخاب کنید. یک پنجره کاوشگر با تمام محتویات جعبه شنی ما باز می شود: پوشه درایو حاوی فایل های ایجاد شده در آن است دیسک های فیزیکی"جعبه های ماسه ای"، و در پوشه کاربر - فایل های ایجاد شده در نمایه کاربر فعال(٪مشخصات کاربر٪). در اینجا من dplaysvr.exe را با کتابخانه dplayx.dll، فایل های موقت tmp و اصلاح شده پیدا کردم. فایل میزبان. به هر حال، معلوم شد که خطوط زیر به آن اضافه شده است:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

به خاطر داشته باشید که فایل های آلوده در جعبه شنی قرار دارند. اگر به طور تصادفی آنها را با دوبار کلیک راه اندازی کنید، هیچ اتفاقی نمی افتد (آنها در sandbox راه اندازی می شوند)، اما اگر آنها را در جایی کپی کنید و سپس آنها را اجرا کنید ... هوم، خوب، ایده را دریافت می کنید. در اینجا، در پوشه، می توانید یک Dump رجیستری را که در حین کار تغییر کرده است، در قالب یک فایل RegHive پیدا کنید. این فایل را می توان به راحتی با استفاده از اسکریپت دستور زیر به یک فایل .reg قابل خواندن تر ترجمه کرد:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

آنچه ابزار می تواند و نمی تواند انجام دهد

ابزار به دست آمده می تواند:

• تماس های API یک برنامه در حال اجرا را ردیابی کنید.
• فایل های جدید ایجاد شده و تنظیمات رجیستری را نظارت کنید.
• هنگام اجرای برنامه، ترافیک شبکه را ضبط کنید.
• انجام تجزیه و تحلیل اولیه فایل ها و رفتار آنها (آنالیزگر رفتاری داخلی، تجزیه و تحلیل در VirusTotal توسط هش، تجزیه و تحلیل با استفاده از PEiD، ExeInfo و ssdeep و غیره).
• مقداری دریافت کنید اطلاعات تکمیلیبا اجرای برنامه های کمکی (مثلاً Process Monitor) در "sandbox" به همراه برنامه مورد تجزیه و تحلیل.

این ابزار نمی تواند:

• بدافزار در حال اجرا در حالت هسته (نیاز به نصب درایور) را تجزیه و تحلیل کنید. با این حال، می توان مکانیسم نصب درایور را شناسایی کرد (قبل از اینکه واقعاً در سیستم پیاده سازی شود).
• بدافزاری را که بر اجرا در Sandboxie نظارت می‌کند، تجزیه و تحلیل کنید. با این حال، Buster Sandbox Analyzer شامل تعدادی مکانیسم برای جلوگیری از چنین ردیابی است.

بنابراین، sandbox.reg را دریافت خواهید کرد که حاوی خطوط معرفی شده توسط بدافزار در هنگام اجرای آن است. پس از انجام تجزیه و تحلیل، مورد لغو تجزیه و تحلیل را از منوی گزینه ها انتخاب کنید تا همه چیز به حالت قبل برگردد. لطفاً توجه داشته باشید که پس از این عملیات، همه گزارش‌های تجزیه و تحلیل حذف می‌شوند، اما محتویات sandbox در جای خود باقی می‌مانند. با این حال، دفعه بعد که خود برنامه را شروع می کنید، پیشنهاد می کند همه چیز را حذف کنید.

بنابراین تصمیم گرفتیم به طور خلاصه به این موضوع بپردازیم.

در اصل، sandbox یک محیط نرم افزار sandboxed با سفت و سخت است منابع محدودبرای اجرا در این محیط کد برنامه(به زبان ساده، برنامه راه اندازی می شود). به نوعی، "جعبه شنی" یک جعبه شنی است که برای جداسازی فرآیندهای مشکوک برای اهداف امنیتی طراحی شده است.

برخی از آنتی ویروس ها و فایروال های خوب (اگرچه معمولاً در نسخه پولی آنها) بدون اطلاع شما از این روش استفاده می کنند، برخی به شما امکان می دهند این عملکرد را مدیریت کنید (زیرا همچنان مصرف بیش از حد منابع را ایجاد می کند) اما برنامه هایی نیز وجود دارند که اجازه می دهند عملکرد مشابه را پیاده سازی کنید.

امروز در مورد یکی از آنها صحبت خواهیم کرد.

متأسفانه، این نرم افزار اشتراکی است، اما همان دوره رایگان به شما کمک می کند تا این نوع ابزار را بهتر بشناسید، که ممکن است شما را به مطالعه دقیق تری سوق دهد، که در بیشتر موارد، رایگان وجود دارد و ویژگی های بیشتری را ارائه می دهد. .

می توانید Sandboxie را از یا مثلاً دانلود کنید. نصب تقریباً ابتدایی است، به جز برای لحظه ای که باید درایور را نصب کنید (به تصویر زیر مراجعه کنید).

در این مرحله، بهتر است هر عنصر حفاظتی (یعنی همان آنتی ویروس ها و فایروال ها) را غیرفعال کنید، در غیر این صورت، اگر این مرحله ناموفق بود، و کامپیوتر متوقف شد، راه اندازی مجدد یا وارد شد، ممکن است لازم باشد به حالت ایمن بوت شوید و آن را حذف کنید. برنامه بدون امکان استفاده بیشتر .

پس از نصب، در واقع برنامه باید راه اندازی شود. این امکان وجود دارد که با اعلان نشان داده شده در بالا مواجه شوید. هیچ مشکلی با آن وجود ندارد، فقط روی "OK" کلیک کنید.

در مرحله بعد، به شما پیشنهاد می شود که یک دوره کوتاه در مورد کار با برنامه بگذرانید، یا بهتر است بگوییم، آنها کمی در مورد نحوه عملکرد آن به شما خواهند گفت. هر شش مرحله را ترجیحاً با مطالعه دقیق آنچه در دستورالعمل های ارائه شده به شما نوشته شده است، طی کنید.

به طور خلاصه، در واقع، شما می توانید هر برنامه ای را در یک محیط ایزوله اجرا کنید. در دستورالعمل ها، اگر آن را مطالعه کرده باشید، استعاره ای کاملاً خوب در مورد این موضوع ارائه شده است که در واقع سندباکس یک تکه کاغذ شفاف است که بین برنامه و رایانه قرار داده شده است و حذف محتویات sandbox تا حدودی مشابه است. برای دور انداختن یک ورق کاغذ استفاده شده و محتویات آن، که منطقی است، جایگزینی بعدی با یک کاغذ جدید.

نحوه راه اندازی و استفاده از برنامه sandbox

حالا بیایید سعی کنیم نحوه کار با آن را درک کنیم. برای شروع، می توانید مثلاً یک مرورگر را در جعبه شنی اجرا کنید. برای انجام این کار، در واقع یا از میانبری که روی دسکتاپ شما ظاهر می شود استفاده کنید یا از آیتم های منو در پنجره اصلی برنامه استفاده کنید: DefaultBox - اجرا در Sandbox - مرورگر وب را راه اندازی کنید"، یا اگر می خواهید مرورگری را راه اندازی کنید که به عنوان مرورگر پیش فرض در سیستم نصب نشده است، از " استفاده کنید هر برنامه ای را اجرا کنیدو مسیر مرورگر (یا برنامه) را مشخص کنید.

پس از آن، در واقع، مرورگر در "sandbox" راه اندازی می شود و شما فرآیندهای آن را در پنجره Sandboxie مشاهده خواهید کرد. از این لحظه به بعد، هر اتفاقی که می افتد، همانطور که بارها گفته شد، در یک محیط ایزوله رخ می دهد و به عنوان مثال، ویروسی که از کش مرورگر به عنوان عنصری برای نفوذ به سیستم استفاده می کند، در واقع واقعاً نمی تواند هر کاری انجام دهید، زیرا پس از اتمام کار با محیط ایزوله .. می توانید با بیرون انداختن برگه نوشته شده و رفتن به صفحه جدید (در حالی که به یکپارچگی رایانه دست نزنید) آن را پاک کنید. .

برای پاک کردن محتویات جعبه شنی (اگر به آن نیاز ندارید)، در پنجره اصلی برنامه یا در سینی (این جایی است که ساعت و نمادهای دیگر) از آیتم استفاده کنید. DefaultBox - حذف محتوا".

توجه! فقط قسمتی که در یک محیط ایزوله نوشته شده و کار کرده است حذف می شود، یعنی مثلاً خود مرورگر از رایانه حذف نمی شود بلکه به آن منتقل می شود.. mmm.. نسبتاً یک کپی از فرآیند ، حافظه پنهان ایجاد شده، داده های ذخیره شده (مانند فایل های دانلود شده/ایجاد شده) و غیره حذف می شوند اگر آنها را ذخیره نکنید.

برای درک عمیق تر از اصل کار، سعی کنید مرورگر و نرم افزارهای دیگر را چندین بار در sandbox اجرا کنید، فایل های مختلف را دانلود کنید و پس از اتمام کار با این جعبه سند، محتویات را حذف / ذخیره کنید و سپس به عنوان مثال، همان مرورگر یا برنامه مستقیماً روی رایانه. باور کنید در عمل بهتر از آن چیزی که در کلمات قابل توضیح باشد، اصل را درک خواهید کرد.

به هر حال، با کلیک بر روی دکمه سمت راست ماوس بر روی یک فرآیند در لیست فرآیندهای پنجره Sandboxie، می توانید با انتخاب "دسترسی به انواع منابع رایانه را در دور زدن جعبه شنی کنترل کنید." دسترسی به منابع".

به طور کلی، اگر می خواهید ریسک کنید و مثلا همان را بدهید گوگل کروم، دسترسی مستقیم به هر پوشه ای در رایانه داشته باشید، سپس می توانید آن را در برگه مربوطه انجام دهید ( دسترسی به فایل - دسترسی مستقیم / کامل) با استفاده از دکمه افزودن.

منطقی است که sandbox نه تنها و نه چندان برای کار با مرورگر و مرور انواع سایت های مشکوک، بلکه برای راه اندازی برنامه هایی که برای شما مشکوک به نظر می رسند (به ویژه، به عنوان مثال، در محل کار (جایی که اغلب) در نظر گرفته شده است. فایل های مشکوک را از ایمیل یا درایوهای فلش اجرا کنید) و/یا نباید به منابع اصلی رایانه دسترسی داشته باشد و/یا ردهای غیر ضروری را در آنجا باقی بگذارد.

به هر حال، دومی می تواند عنصر خوبی برای محافظت باشد، یعنی برای راه اندازی هر برنامه ای، که داده های آن باید به طور کامل جدا شده و پس از اتمام کار حذف شوند.

البته لازم نیست پس از اتمام، داده ها را از sandbox حذف کنید و با برخی از برنامه ها فقط در یک محیط ایزوله کار کنید (پیشرفت به خاطر سپرده می شود و امکان وجود دارد. بهبودی سریع)، اما این به شما بستگی دارد که آن را انجام دهید یا نه.

هنگامی که می خواهید برخی از برنامه ها را اجرا کنید، ممکن است با مشکل بالا مواجه شوید. از آن نترسید، برای شروع، کافی است به سادگی روی "OK" کلیک کنید و در آینده با استفاده از " تنظیمات sandbox را باز کنید. DefaultBox - تنظیمات Sandboxو در برگه "انتقال فایل" اندازه کمی بزرگتر را برای گزینه انتقال فایل تنظیم کنید.

ما اکنون در مورد تنظیمات دیگر صحبت نمی کنیم، اما اگر آنها مورد علاقه شما هستند، می توانید به راحتی با آنها مقابله کنید، زیرا همه چیز به زبان روسی است، بسیار واضح و در دسترس است.. خوب، اگر سوالی دارید، می توانید می توانید از آنها در نظرات مربوط به این ورودی بپرسید.

در سیم کارت، شاید بتوانید به بعد از آن بروید.

پس گفتار

اوه بله، ما تقریباً فراموش کردیم، البته، که sandbox مقدار بیشتری از منابع ماشین را مصرف می کند، زیرا بخشی از ظرفیت را گاز می گیرد (مجازی می کند)، که البته، باری ایجاد می کند که با راه اندازی مستقیم متفاوت است. اما، منطقا، امنیت و/یا حریم خصوصی ممکن است ارزشش را داشته باشد.

در ضمن، استفاده از sandboxing، chrooting یا مجازی سازی تا حدی به روش امنیتی بدون آنتی ویروس مرتبط است که ما .

در سیم کارت، شاید همه چیز. مثل همیشه، اگر شما هر گونه سوال، نظر، اضافات و غیره دارید، خوشحال می شوید که در مورد این پست نظر دهید.

این اشتباه است که فرض کنیم محافظت داخلی سیستم عامل، آنتی ویروس یا فایروال کاملاً در برابر بدافزار محافظت می کند. با این حال، آسیب ممکن است به اندازه ویروس ها آشکار نباشد: چندین برنامه می توانند سرعت ویندوز را کاهش دهند و منجر به انواع ناهنجاری ها شوند. با گذشت زمان، عواقب فرآیندهای کنترل نشده از جانب نرم افزار "آماتور" خود را احساس می کند و حذف نصب، حذف کلیدهای رجیستری و سایر روش های تمیز کردن دیگر کمکی نمی کند.

در چنین شرایطی، برنامه های سندباکس، که این بررسی به آنها اختصاص دارد، می توانند خدمات بسیار خوبی را ارائه دهند. اصل عملکرد جعبه های ماسه ای تا حدی قابل مقایسه است ماشین های مجازی(Oracle VM VirtualBox و دیگران، VMware Virtualization). به لطف مجازی سازی، تمام فرآیندهای آغاز شده توسط برنامه در یک جعبه ماسه ای اجرا می شوند - یک محیط ایزوله با کنترل دقیق منابع سیستم.

این روش جداسازی کد به طور فعال در نرم افزارهای ضد ویروس (KIS 2013، avast!)، در برنامه هایی مانند Google Chrome (فلش در sandbox کار می کند) استفاده می شود. با این حال، نباید به این نتیجه رسید که برنامه های sandbox تضمین کامل امنیت هستند. این تنها یکی از ابزارهای اضافی مؤثر برای محافظت از سیستم عامل (سیستم فایل، رجیستری) در برابر تأثیرات خارجی است.

سایت قبلاً یک نمای کلی از برنامه برای ایجاد منتشر کرده است محیط مجازی- . امروزه، برنامه‌های کاربردی دیگری به معنای وسیع‌تر در نظر گرفته می‌شوند: اینها نه تنها راه‌حل‌های دسکتاپ، بلکه سرویس‌های ابری هستند که نه تنها امنیت، بلکه ناشناس بودن را نیز بهبود می‌بخشند و امکان اجرا از رسانه‌های قابل جابجایی، از رایانه دیگری را فراهم می‌کنند.

سندباکسی

توسعه دهنده Ronen Tzur عملکرد برنامه Sandboxie را با یک لایه نامرئی که روی کاغذ اعمال می شود مقایسه می کند: می توانید هر کتیبه ای را روی آن قرار دهید. هنگامی که محافظ برداشته می شود، ورق دست نخورده باقی می ماند.

4 روش اصلی برای استفاده از sandbox در Sandboxie وجود دارد:

• گشت و گذار امن در اینترنت
• بهبود حریم خصوصی
• مکاتبات ایمیلی امن
• حفظ سیستم عامل در حالت اولیه

آخرین نکته نشان می‌دهد که می‌توانید هر برنامه مشتری را در sandbox نصب و اجرا کنید - مرورگرها، پیام‌رسان‌های فوری، بازی‌ها - بدون تأثیر بر سیستم. Sandboxie دسترسی به فایل‌ها، دستگاه‌های دیسک، کلیدهای رجیستری، فرآیندها، درایورها، پورت‌ها و سایر منابع بالقوه ناامن را کنترل می‌کند.

اول از همه، SandboxIE از این جهت مفید است که به کاربر اجازه می‌دهد تا با استفاده از پوسته Sandboxie Control، جعبه‌های ایمنی و امتیازات را به‌طور انعطاف‌پذیر پیکربندی کند. در اینجا، از طریق زمینه و منوی اصلی، عملیات اصلی در دسترس هستند:

• شروع و توقف برنامه های کنترل شده توسط Sandboxie
• مشاهده فایل ها در داخل یک جعبه شنی
• بازیابی فایل های مورد نیاز از sandbox
• حذف تمام فایل های کار یا انتخاب شده
• ایجاد، حذف و پیکربندی جعبه های ماسه ای

برای اجرای برنامه در sandbox، کافی است فایل اجرایی را به پنجره Sandboxie Control بکشید، به داخل sandbox ایجاد شده به طور پیش فرض. راه های دیگری نیز وجود دارد - به عنوان مثال، منو Windows Explorerیا منطقه اطلاع رسانی پنجره برنامه ای که در یک محیط شبیه سازی شده اجرا می شود دارای یک حاشیه زرد و یک علامت هش (#) در عنوان خواهد بود.

اگر هنگام کار با یک برنامه sandboxed، باید نتایج را در دیسک ذخیره کنید، هر منبع مورد نظر مشخص شده است - فایل ها در پوشه sandbox قرار می گیرند، در حالی که آدرس مشخص شده، خارج از جعبه شنی، این کار را نمی کند. برای انتقال "واقعی" فایل ها از sandbox، باید از گزینه restore استفاده کنید. دو نوع از آنها وجود دارد - سریع یا فوری، در هر دو مورد، قبل از شروع برنامه در sandbox، باید پوشه ها را برای بازیابی پیکربندی کنید ("Sandbox Settings - Recovery").

تنظیمات دسترسی دقیق تر در بخش "محدودیت ها" و "دسترسی به منابع" قرار دارند. در صورتی که برنامه نتواند بدون امتیازات خاصی اجرا شود (به یک کتابخانه سیستم خاص، درایور و غیره نیاز دارد) ممکن است مورد نیاز باشد. در "محدودیت ها"، در رابطه با برنامه ها یا گروه ها، دسترسی به اینترنت، سخت افزار، اشیاء IPC و همچنین دسترسی سطح پایین پیکربندی شده است. در "دسترسی به منابع" - تنظیمات مناسب برای فایل ها، دایرکتوری ها، رجیستری و سایر منابع سیستم.

همچنین در تنظیمات Sandboxie یک بخش مهم "برنامه ها" وجود دارد که شامل گروه هایی از برنامه ها است که دسترسی به منابع مشخص شده برای آنها اعطا می شود. در ابتدا، همه موارد لیست غیرفعال می شوند؛ برای اعمال تغییرات برای یک برنامه خاص، باید آن را در لیست علامت گذاری کنید و روی دکمه "افزودن" کلیک کنید.

بنابراین، می توان جعبه های شنی با پارامترهای مختلف ایجاد کرد. مجاز است پیکربندی یک جعبه شنی موجود را کلون کنید، برای این کار، هنگام ایجاد یک جعبه جدید، از لیست کشویی، محیطی را که می خواهید تنظیمات را از آن منتقل کنید، انتخاب کنید.

خلاصه

با برنامه Sandboxie، می توانید محیط های مجازی با هر پیکربندی، بدون محدودیت کاربر ایجاد کنید. Sandboxie تعداد زیادی تنظیمات را هم برای برنامه های جداگانه و هم برای جعبه های ماسه ای فراهم می کند.

[+] پیکربندی انعطاف پذیر هر جعبه ماسهبازی
[+] ایجاد قوانین برای گروهی از برنامه ها
[-] شما نمی توانید توزیع ایجاد کنید
[-] بدون جادوگر راه اندازی

اوالاز

نمادین است که Evalaze از برنامه Thinstall 2007، در حال حاضر VMware، سرچشمه می گیرد.

Evalaze به اندازه Sandboxie در بین برنامه های sandboxing شناخته شده نیست، اما دارای تعدادی ویژگی جالب است که آن را از تعدادی راه حل مشابه متمایز می کند. به لطف مجازی‌سازی، برنامه‌ها را می‌توان در یک محیط مستقل از هر رایانه‌ای بدون توجه به در دسترس بودن درایورها، کتابخانه‌ها یا نسخه‌های جدیدتر برنامه در حال راه‌اندازی اجرا کرد. این هیچ نیازی ندارد از پیش تنظیم، و نه اضافی فایل های پیکربندییا کتابخانه ها یا کلیدهای رجیستری.

Evalaze نیازی به نصب ندارد، یک هشدار: شما به مایکروسافت نیاز دارید. چارچوب خالصنسخه 2.0 یا بالاتر در نسخه رایگان و همچنین در نسخه حرفه ای، یک جادوگر راه اندازی مجازی سازی و تعداد نامحدودی از برنامه های مجازی موجود است. فقط در صورت درخواست می توانید نسخه آزمایشی را از سایت توسعه دهندگان دانلود کنید (به ایمیل توسعه دهندگان در سایت مراجعه کنید).

پیکربندی حاصل را می توان در یک پروژه ذخیره کرد. از ابتدا تا انتها، فرآیند راه اندازی برنامه مجازی بیشتر از مثلاً Sandboxie طول می کشد، اما سازگارتر و ساده تر است.

لازم به ذکر است دو ویژگی های اضافی Evalaze، که احتمالاً مورد علاقه توسعه دهندگان نرم افزار، آزمایش کنندگان خواهد بود: با یک سیستم فایل مجازی و یک رجیستری مجازی کار می کند. این محیط های مستقل Evalaze را می توان به صلاحدید شما با افزودن فایل ها، دایرکتوری ها، کلیدهای لازم برای عملکرد یک برنامه مجازی خاص ویرایش کرد.

همچنین در Evalaze، می‌توانید انجمن‌های خارج از جعبه را تنظیم کنید: برنامه مجازی بلافاصله پس از راه‌اندازی، پیوندهای لازم را با فایل‌های موجود در سیستم‌عامل ایجاد می‌کند.

خلاصه

برنامه‌ای که با آن می‌توانید برنامه‌های کاربردی مستقلی ایجاد کنید که برای استفاده در انواع موقعیت‌ها راحت هستند، که به طور کلی مهاجرت، سازگاری، امنیت را تسهیل می‌کند. افسوس، نسخه رایگان عملا بی فایده است، فقط برای مطالعه بسیار سطحی عملکردهای Evalaze جالب است.

[-] نسخه آزمایشی با عملکرد ضعیف
[−] قیمت بالانسخه های حرفه ای
[+] یک جادوگر راه اندازی وجود دارد
[+] سیستم فایل مجازی و رجیستری

جعبه مجازی انیگما

برنامه Enigma Virtual Box برای اجرای برنامه ها در یک محیط مجازی ایزوله طراحی شده است. لیست فرمت های پشتیبانی شده شامل dll، ocx (کتابخانه ها)، avi، mp3 (چند رسانه ای)، txt، doc (اسناد) و غیره است.

Enigma Virtual Box محیط مجازی اطراف اپلیکیشن را به صورت زیر مدلسازی می کند. قبل از شروع برنامه، بارگذار Virtual Box فعال می شود، که اطلاعات لازم برای کار برنامه را می خواند: کتابخانه ها و سایر مؤلفه ها - و آنها را به جای سیستم ها در اختیار برنامه قرار می دهد. در نتیجه، برنامه به طور مستقل با توجه به سیستم عامل کار می کند.

پیکربندی Sandboxie یا Evalaze معمولاً حدود 5 دقیقه طول می‌کشد. در نگاه اول، Virtual Box همچنین شامل پیکربندی طولانی نیست. در مستندات، استفاده از برنامه در واقع در یک جمله گنجانده شده است.

فقط 4 تب - "Files"، "Registry"، "Containers" و، در واقع، "Options". شما باید یک فایل اجرایی را انتخاب کنید، محل نتیجه نهایی را مشخص کنید و پردازش را شروع کنید. اما بعداً مشخص شد که محیط مجازی باید به طور مستقل ایجاد شود. برای این کار، سه بخش مجاور "Files"، "Registry" و "Containers" در نظر گرفته شده است که داده های لازم به صورت دستی اضافه می شود. پس از آن، می توانید روی پردازش کلیک کنید، فایل خروجی را اجرا کنید و عملکرد برنامه را بررسی کنید.

خلاصه

بنابراین، در Enigma Virtual Box هیچ تحلیل سیستم عامل قبل و بعد از نصب برنامه وجود ندارد، همانطور که در مورد Evalaze وجود دارد. تاکید به سمت توسعه معطوف شده است - بنابراین، Virtual Box برای آزمایش، بررسی سازگاری، ایجاد شرایط مصنوعی برای اجرای یک برنامه مفید است. مجازی سازی برنامه های ناشناخته مشکلاتی را ایجاد می کند، زیرا کاربر مجبور می شود تمام پیوندهای برنامه را به تنهایی مشخص کند.

[-] عدم تنظیم مناسب
[+] منابع استفاده شده توسط برنامه را می توان به طور مستقل تعیین کرد

کامیو

Cameyo مجازی سازی اپلیکیشن ها را در سه حوزه تجاری، توسعه، استفاده شخصی ارائه می دهد. در مورد دوم، sandbox را می توان برای نگه داشتن سیستم عامل در حالت "تمیز"، ذخیره و اجرای برنامه ها استفاده کرد. رسانه قابل جابجاییو خدمات ابری علاوه بر این، چند صد برنامه مجازی از قبل پیکربندی شده در پورتال cameyo.com منتشر شده است که باعث صرفه جویی در وقت کاربر می شود.

مراحل ایجاد یک برنامه مجازی مشابه Enigma Virtual Box است: ابتدا یک عکس فوری از سیستم قبل از نصب و سپس بعد از آن ایجاد می شود. هنگام ایجاد جعبه شنی، تغییرات بین این حالت ها در نظر گرفته می شود. با این حال، برخلاف Virtual Box، Cameyo با یک سرور راه دور همگام‌سازی می‌شود و برنامه را در فضای ذخیره ابری. به لطف این، برنامه ها را می توان در هر رایانه ای با دسترسی به حساب کاربری اجرا کرد.

از طریق کتابخانه (کتابخانه) می توانید برنامه های محبوب سیستمی (برنامه های مجازی عمومی) را برای راه اندازی بعدی بارگیری کنید: بایگانی ها، مرورگرها، پخش کننده ها و حتی آنتی ویروس ها. هنگام راه‌اندازی، از شما خواسته می‌شود یک فایل اجرایی را انتخاب کنید و مشخص کنید که آیا پایدار کار می‌کند یا نه (که ظاهراً به نوعی توسط مدیران گالری Cameyo در نظر گرفته شده است).

یکی دیگر از ویژگی های جالب ایجاد یک اپلیکیشن مجازی از طریق . نصب کننده را می توان از رایانه بارگیری کرد یا می توانید URL فایل را مشخص کنید.

فرآیند تبدیل، طبق اظهارات، از 10 تا 20 دقیقه طول می کشد، اما اغلب زمان انتظار چندین برابر کمتر است. پس از تکمیل، یک اعلان با لینک بسته منتشر شده به ایمیل ارسال می شود.

اعلان ایمیل در مورد ایجاد توزیع

با تمام امکانات ابری، دو نکته قابل توجه است لحظات مهم. اول: هر برنامه هر از گاهی به روز می شود و نسخه های نسبتاً قدیمی در کتابخانه وجود دارد. جنبه دوم این است که برنامه های اضافه شده توسط کاربران ممکن است مجوز یک برنامه خاص را نقض کنند. این باید هنگام ایجاد توزیع های سفارشی درک شود و در نظر گرفته شود. و سوم، هیچ کس نمی تواند تضمین کند که برنامه مجازی ارسال شده در گالری توسط یک مهاجم اصلاح نشده است.

با این حال، صحبت از امنیت، Cameyo دارای 4 حالت کاربردی است:

• حالت داده: برنامه می تواند فایل ها را در پوشه Documents و روی دسکتاپ ذخیره کند
• جدا شده: توانایی نوشتن به سیستم فایلو بدون رجیستری
• دسترسی کامل: دسترسی رایگان به سیستم فایل و رجیستری
• سفارشی کردن این برنامه: تغییر منوی راه اندازی، انتخاب محل ذخیره برنامه و غیره.

خلاصه

یک سرویس ابری راحت که می تواند در هر رایانه ای به آن متصل شود و به شما امکان می دهد تا به سرعت برنامه های قابل حمل ایجاد کنید. راه اندازی جعبه های ماسه ای به حداقل رسیده است، همه چیز با اسکن ویروس و به طور کلی امنیت شفاف نیست - با این حال، در این شرایط، مزایا می توانند معایب را جبران کنند.

[+] همگام سازی شبکه
[+] دسترسی به برنامه های کاربردی سفارشی
[+] برنامه های مجازی را به صورت آنلاین ایجاد کنید
[-] عدم وجود تنظیمات جعبه شنی

Spoon.net

Spoon Tools مجموعه ای از ابزارها برای ایجاد اپلیکیشن های مجازی است. علاوه بر اینکه یک محیط حرفه ای است، spoon.net به عنوان یک سرویس ابری که با دسکتاپ ادغام می شود، سزاوار توجه است و به شما امکان می دهد به سرعت جعبه های ماسه ای ایجاد کنید.

برای ادغام با دسکتاپ، باید در سرور spoon.net ثبت نام کرده و یک ویجت مخصوص نصب کنید. پس از ثبت نام، کاربر این فرصت را پیدا می کند که برنامه های مجازی را از طریق یک پوسته مناسب از سرور بارگیری کند.

چهار ویژگی ارائه شده توسط ویجت:

• برای فایل ها و برنامه ها جعبه های شنی ایجاد کنید
• مرتب کردن دسکتاپ با میانبرها، منوی راه اندازی سریع
• تست ایمن برنامه های جدید، اجرای نسخه های قدیمی در بالای برنامه های جدید
• لغو تغییرات ایجاد شده توسط sandbox

دسترسی سریع به ویجت spoon.net از طریق میانبر صفحه کلید Alt + Win امکان پذیر است. پوسته شامل یک رشته جستجو، در ترکیب - کنسول است. برنامه ها را در رایانه و وب سرویس جستجو می کند.

سازماندهی دسکتاپ بسیار راحت است: می توانید به دسکتاپ مجازی بکشید و رها کنید فایل های مورد نیاز، که با spool.net همگام می شود. جعبه های شنی جدید را می توان تنها با دو کلیک ایجاد کرد.

البته از نظر راه اندازی سندباکس، Spoon نمی تواند با Sandboxie یا Evalaze رقابت کند به این دلیل که به سادگی در Spoon وجود ندارند. شما نمی توانید محدودیت ایجاد کنید، یک برنامه "معمولی" را به یک برنامه مجازی تبدیل کنید. مجموعه Spoon Studio برای این اهداف در نظر گرفته شده است.

خلاصه

قاشق "ابری ترین" پوسته ای است که می توان با آن کار کرد برنامه های مجازیو در عین حال کمترین قابلیت شخصی سازی را دارد. این محصول برای کاربرانی جذاب خواهد بود که نه به امنیت کار از طریق مجازی سازی، بلکه به راحتی کار با آن اهمیت می دهند. برنامه های لازمهر کجا.

[+] ادغام ویجت با دسکتاپ
[+] ایجاد سریعجعبه های شنی
[-] عدم وجود تنظیمات برای محدود کردن برنامه های مجازی

جدول محوری

برنامه/سرویس	سندباکسی	اوالاز	جعبه مجازی انیگما	کامیو	Spoon.net
توسعه دهنده	Sandboxie Holdings LLC	Dogel GmbH	تیم توسعه دهندگان Enigma Protector	کامیو	Spoon.net
مجوز	اشتراک‌افزار (+13 یورو)	نرم افزار رایگان/شیرافزار (69.95 یورو)	نرم افزار رایگان	نرم افزار رایگان	رایگان (حساب اصلی)
افزودن برنامه ها به sandbox	+	−	−	−	−
شخصی سازی (ایجاد میانبر، ادغام منو)	+	+	−	+	+
Setup Wizard	−	+	+	+	−
ایجاد اپلیکیشن های مجازی جدید	−	+	+	+	−
همگام سازی آنلاین	−	−	−	+	+
تنظیم امتیازات Sandbox	+	+	+	+	−
تجزیه و تحلیل تغییرات هنگام ایجاد جعبه شنی	+	+	−	+	−

هنگام کار بر روی رایانه شخصی، فایل های زیادی را راه اندازی و دانلود می کنیم: برنامه ها، کتاب ها، مقالات. این باعث می شود که بدافزارها و ویروس ها وارد سیستم شوند. حتی در منابع رسمیچنین فایل هایی وجود دارد چگونه از خود در برابر این محافظت کنید. Sandboxie کمک خواهد کرد. آی تی راه خوباز شر تبلیغات، نوار ابزار، نرم افزارهای مخرب خلاص شوید. بیایید نگاهی دقیق تر به نحوه دانلود Sandboxie در رایانه شخصی و کار با آن بیندازیم.

آنچه هست

Sandboxie یک نرم افزار تخصصی است که محیطی را در رایانه شخصی ایجاد می کند که برنامه نتواند به تنظیمات رایانه شخصی دسترسی پیدا کند. اگر ویروسی وارد رایانه شخصی شده باشد، به فایل های سیستم برای تغییر اطلاعات موجود در آنها دسترسی نخواهد داشت. وقتی از جعبه شنی خارج می‌شوید، همه فایل‌ها حذف می‌شوند.

مهم» از Sandboxie برای راه اندازی برنامه های مشکوک استفاده کنید.

برای چه استفاده می شود

یک محیط اختصاصی در سیستم ایجاد می کند. تغییرات مربوط به عملکرد برنامه فقط در یک محیط جدا شده خاص (sandbox) رخ می دهد. در صورت لزوم می تواند باشد. هر برنامه ای را بدون ترس از آسیب رساندن به سیستم عامل اجرا کنید. به عنوان مثال، یک مرورگر را در جعبه شنی اجرا کنید، سایت ها را بدون ترس از ابتلا به ویروس مرور کنید.

Sandboxie هنگام بازدید از سایت ها، به ویژه آنهایی که محتوای مشکوک دارند، امنیت را بهبود می بخشد.

نحوه دانلود

Sandboxie را می توانید در: https://www.sandboxie.com/ دانلود کنید. روی پیوند "اینجا کلیک کنید" کلیک کنید. برنامه اشتراک‌افزار است، پس از سی روز کار از شما می‌خواهد به یک مورد استفاده پولی تغییر دهید. با وجود این، اکثر ویژگی های اپلیکیشن به صورت رایگان در دسترس خواهند بود. فقط ویژگی چند ایزوله غیرفعال خواهد شد. می توانید Sandboxie را برای ویندوز 7 و بالاتر از این آدرس دانلود کنید: https://www.sandboxie.com/AllVersions.

برای کار بر روی ویندوز 10، Sandboxie نسخه 5 یا جدیدتر را دانلود کنید.

Sandbox برای ویندوز 10

فایل نصبی "exe" را با دوبار کلیک کردن روی آن با دکمه سمت چپ ماوس اجرا کنید. نصب آغاز خواهد شد. برای دانلود Sandboxie به زبان روسی، مورد مناسب را در پنجره ظاهر شده انتخاب کنید.
نصب ساده است، حتی برای کاربران تازه کار مشکلی ایجاد نمی کند. برنامه از منوی "شروع" - "برنامه ها" در دسترس خواهد بود. همچنین در سینی سیستم قرار خواهد گرفت.
یک میانبر به "Desktop" اضافه می شود که با کلیک بر روی آن، مرورگر پیش فرض باز می شود.

تنظیمات

راه دوم

روی میانبر برنامه کلیک راست کرده و سپس روی Run کلیک کنید.
برنامه در یک محیط ایزوله اجرا خواهد شد. هنگامی که ماوس را روی آن قرار می دهید، یک قاب رنگی ظاهر می شود.

یک مثال عملی را در نظر بگیرید

بهبود

در حین کار، فایل ها در دایرکتوری ها ذخیره می شوند. تا زمانی که به برنامه اجازه انتقال آنها را ندهید، قابل مشاهده نیستند. این "ترمیم" است. نحوه تنظیم آن کمی بالاتر در مقاله مورد بحث قرار گرفت. چگونه ریکاوری کنیم؟

بهبودی فوری

من توصیه می کنم از این روش استفاده کنید زیرا در حین ایجاد فایل ها، تابع به طور خودکار فراخوانی می شود. پس از ذخیره، پنجره "بازیابی فوری" ظاهر می شود.

آیا معادل Sandboxie وجود دارد؟ روش دیگر، به برنامه هایی مانند Shadow User و Shadow Defender نگاه کنید. اما اگر برای کنترل برنامه‌ها به نرم‌افزار نیاز دارید، من نمی‌دانم آن را جایگزین کنم.

نتیجه

از Sandboxie برای اجرای برنامه ها در یک محیط ایزوله بدون آسیب به سیستم و گشت و گذار ایمن در اینترنت استفاده کنید. بر خلاف راه اندازی یک برنامه معمولی، یک برنامه کاربردی منابع سیستم بیشتری را مصرف می کند. بنابراین، دانلود بیشتر طول می کشد، اما امنیت ارزش آن را دارد. سیستم اجزای خطرناکی که می تواند به کار آسیب برساند دریافت نمی کند. از Sandboxie برای آزمایش و اجرای برنامه های مشکوک استفاده کنید.