Możesz bez końca patrzeć na ogień, wodę i aktywność programów odizolowanych w piaskownicy. Dzięki wirtualizacji jednym kliknięciem możesz odesłać wyniki tej czynności – często niepewne – w niepamięć.

Jednak wirtualizacja jest również wykorzystywana do celów badawczych: na przykład chciałeś kontrolować wpływ świeżo skompilowanego programu na system lub uruchomić dwa różne wersje aplikacje w tym samym czasie. Lub stwórz samodzielną aplikację, która nie pozostawi żadnych śladów w systemie. Istnieje wiele opcji korzystania z piaskownicy. To nie program dyktuje swoje warunki w systemie, ale Ty wskazujesz mu drogę i przydzielasz zasoby.

Jeśli nie jesteś zadowolony z powolności procesu, używając narzędzia ThinApp Converter możesz uruchomić wirtualizację. Instalatory zostaną utworzone na podstawie określonej konfiguracji.

Ogólnie rzecz biorąc, programiści zalecają wytwarzanie wszystkich tych preparatów w sterylnych warunkach, na świeżym systemie operacyjnym, aby uwzględnić wszystkie niuanse instalacji. Do tych celów możesz użyć maszyny wirtualnej, ale oczywiście pozostawi to ślad na szybkości pracy. VMware ThinApp już teraz mocno obciąża zasoby systemowe i to nie tylko w trybie skanowania. Jednak, jak mówią, powoli, ale pewnie.

Strefa buforowa

• Stronie internetowej: www.trustware.com
• Deweloper: Trustware
• Licencja: darmowy

BufferZone kontroluje aktywność Internetu i oprogramowania aplikacji za pomocą wirtualnej strefy, ściśle zbliżając się do zapór ogniowych. Innymi słowy, wykorzystuje wirtualizację opartą na regułach. BufferZone bezproblemowo współpracuje z przeglądarkami, komunikatorami internetowymi, klientami poczty e-mail i P2P.

W chwili pisania tego tekstu programiści ostrzegali przed możliwymi problemami podczas pracy z systemem Windows 8. Program może zabić system, po czym będzie musiał zostać usunięty w trybie awaryjnym. Wynika to ze sterowników BufferZone, które wchodzą w poważny konflikt z systemem operacyjnym.

Co wchodzi w zakres radaru BufferZone, można śledzić w głównej sekcji Podsumowanie. Liczbę aplikacji objętych ograniczeniami określasz samodzielnie: służy do tego lista Programy do uruchomienia w ramach listy BufferZone. Zawiera już potencjalnie niebezpieczne aplikacje, takie jak przeglądarki i klienci poczty. Wokół okna przechwyconej aplikacji pojawi się czerwona ramka, która zapewni Ci pewność bezpiecznego surfowania. Jeśli chcesz wybiec poza strefę - nie ma problemu, sterowanie można ominąć menu kontekstowe.

Oprócz strefy wirtualnej istnieje coś takiego jak strefa prywatna. Możesz dodać do niego witryny, które wymagają największej poufności. Należy od razu zauważyć, że funkcja działa tylko w Internet Explorer wersje retro. Więcej nowoczesne przeglądarki istnieją wbudowane środki zapewniające anonimowość.

W sekcji Polityka konfiguruje się profil w odniesieniu do instalatorów i aktualizacji, a także programów uruchamianych z urządzeń i źródeł sieciowych. Zobacz także w Konfiguracje opcje dodatkowe polityka bezpieczeństwa (Polityka zaawansowana). Istnieje sześć poziomów kontroli, w zależności od tego, jaki zmienia się stosunek BufferZone do programów: brak ochrony (1), automatyczny (2) i półautomatyczny (3), powiadomienia o uruchomieniu wszystkich (4) i niepodpisanych programów (5 ), maksymalna ochrona (6).

Jak widać, wartością BufferZone jest całkowita kontrola nad Internetem. Jeśli potrzebujesz bardziej elastycznych reguł, pomoże Ci każda zapora. BufferZone też to ma, ale bardziej na pokaz: pozwala blokować aplikacje, adresy sieciowe i porty. Z praktycznego punktu widzenia aktywny dostęp do ustawień nie jest zbyt wygodny.

Oceń

• Stronie internetowej: www.evalaze.de/en/evalaze-oxid/
• Deweloper: Dogel GmbH
• Licencja: darmowe / komercyjne (2142 €)

Główną cechą Evalaze jest elastyczność zwirtualizowanych aplikacji: można je uruchamiać z nośników wymiennych lub z środowisko sieciowe. Program pozwala na tworzenie całkowicie autonomicznych dystrybucji, które działają w emulowanym systemie plików i środowisku rejestru.

Główną cechą Evalaze jest przyjazny dla użytkownika kreator, który jest zrozumiały bez czytania instrukcji. Najpierw tworzysz obraz systemu operacyjnego przed zainstalowaniem programu, następnie instalujesz go, wykonujesz test i konfigurujesz. Następnie, podążając za kreatorem Evalaze, analizujesz zmiany. Jest to bardzo podobne do zasady działania deinstalatorów (np. Soft Organizer).

Zwirtualizowane aplikacje mogą pracować w dwóch trybach: w pierwszym przypadku operacje zapisu są przekierowywane do piaskownicy, w drugim program będzie mógł zapisywać i odczytywać pliki w rzeczywistym systemie. To, czy program usunie ślady swojej aktywności, czy nie, zależy od Ciebie, opcja Usuń starą piaskownicę automatycznie jest do Twojej dyspozycji.

Wiele ciekawych funkcji dostępnych jest tylko w komercyjnej wersji Evalaze. Wśród nich - edycja elementów środowiska (takich jak pliki i klucze rejestru), importowanie projektów, ustawianie trybu odczytu. Jednak licencja kosztuje ponad dwa tysiące euro, co, jak widać, jest nieco wyższa niż psychologiczna bariera cenowa. W podobnie wygórowanej cenie oferowane jest korzystanie z usługi wirtualizacji online. Na pocieszenie strona dewelopera posiada gotowe wirtualne przykładowe aplikacje.

kamei

• Stronie internetowej: www.cameyo.com
• Deweloper: kamei
• Licencja: darmowy

Pobieżne zbadanie Cameyo sugeruje, że funkcje są podobne do Evalaze i można „zaślepić” zestaw dystrybucyjny za pomocą zwirtualizowanej aplikacji za pomocą trzech kliknięć. Program pakujący wykonuje migawkę systemu, porównuje go ze zmianami po zainstalowaniu oprogramowania i tworzy ekosystem do uruchomienia.

Najważniejszą różnicą w stosunku do Evalaze jest to, że program jest całkowicie darmowy i nie blokuje żadnych opcji. Ustawienia są wygodnie skoncentrowane: przełączanie metody wirtualizacji z zapisem na dysk lub w pamięci, wybór trybu izolacji: zapisywanie dokumentów do określonych katalogów, zakaz zapisu lub pełny dostęp. Oprócz tego można dostosować środowisko wirtualne za pomocą edytora plików i kluczy rejestru. Każdy folder ma również jeden z trzech poziomów izolacji, które można łatwo zastąpić.

Możesz określić, jak wyczyścić piaskownicę po wyjściu z aplikacji w trybie offline: usunąć ślady, nie oczyszczać i zapisywać zmiany rejestru w pliku. Dostępna jest również integracja z Explorerem i możliwość powiązania z określonymi typami plików w systemie, czego nie ma nawet w płatnych odpowiednikach Cameyo.

Jednak najciekawszą rzeczą nie jest lokalna część Cameyo, ale program do pakowania online i publiczne aplikacje wirtualne. Wystarczy podać adres URL lub wgrać na serwer instalator MSI lub EXE, określając bitowość systemu, a na wyjściu otrzymasz samodzielny pakiet. Od teraz jest dostępny pod dachem Twojej chmury.

Streszczenie

Piaskownica będzie najlepszym wyborem do eksperymentów w piaskownicy. Program jest najbardziej informacyjny spośród wymienionych narzędzi, posiada funkcję monitorowania. Szeroki zakres ustawień i dobre opcje do zarządzania grupą aplikacji.

Nie ma żadnych unikalne funkcje, ale bardzo prosty i bezproblemowy. Ciekawostka: artykuł został napisany w tej „piaskownicy” i przez niefortunny błąd wszystkie zmiany poszły w „cień” (czytaj: astralny). Gdyby nie Dropbox, na tej stronie zostałby opublikowany zupełnie inny tekst – najprawdopodobniej innego autora.

Oceń oferuje nie zintegrowane podejście do wirtualizacji, ale indywidualne: kontrolujesz uruchomienie określonej aplikacji, tworząc do tego sztuczne warunki siedliskowe. Są tutaj zalety i wady. Jednak biorąc pod uwagę ograniczoność darmowej wersji Evalaze, godność zniknie w twoich oczach.

kamei ma pewien „mętny” posmak: aplikację można pobrać ze strony, przesłać na dysk flash USB lub Dropbox - w wielu przypadkach jest to wygodne. To prawda, że ​​kojarzy się to z fast foodem: nie można ręczyć za jakość i zgodność treści z opisem.

Ale jeśli wolisz gotować według przepisu, VMware ThinApp- twoja opcja. To rozwiązanie dla ekspertów, którym zależy na każdym niuansie. Zestaw unikalnych funkcji uzupełniają możliwości konsoli. Możesz konwertować aplikacje z wiersz poleceń, za pomocą configów, skryptów - w trybie indywidualnym i wsadowym.

Strefa buforowa to piaskownica z funkcją zapory. Ta hybryda jest daleka od doskonałych i aktualnych ustawień, ale możesz użyć BufferZone do kontrolowania aktywności i aplikacji internetowych, ochrony przed wirusami i innymi zagrożeniami.

Istnieją dwa główne sposoby bezpiecznego uruchomienia podejrzanego pliku wykonywalnego: pod maszyną wirtualną lub w tak zwanej „piaskownicy” (sandbox). Co więcej, te ostatnie można dostosować za pomocą eleganckiego sposobu analizy plików online, bez uciekania się do specjalistycznych narzędzi i usług online oraz bez użycia dużej ilości zasobów, jak ma to miejsce w przypadku maszyny wirtualnej. Chcę ci o nim opowiedzieć.

OSTRZEŻENIE

Nieprawidłowe użycie opisanej techniki może uszkodzić system i doprowadzić do infekcji! Bądź uważny i ostrożny.

„Piaskownica” do analizy

Osoby zajmujące się bezpieczeństwem komputerowym doskonale znają pojęcie „piaskownicy”. Krótko mówiąc, piaskownica to środowisko testowe, w którym wykonywany jest określony program. Jednocześnie praca jest zorganizowana w taki sposób, że wszystkie akcje programu są monitorowane, wszystkie zmienione pliki i ustawienia są zapisywane, ale w rzeczywistym systemie nic się nie dzieje. Ogólnie rzecz biorąc, możesz uruchamiać dowolne pliki, mając całkowitą pewność, że nie wpłynie to w żaden sposób na wydajność systemu. Takie narzędzia mogą służyć nie tylko do zapewnienia bezpieczeństwa, ale także do analizy działań szkodliwego oprogramowania, które wykonuje po jego uruchomieniu. Mimo to, jeśli istnieje obsada systemu przed rozpoczęciem aktywnych operacji i obraz tego, co się działo w „piaskownicy”, można łatwo śledzić wszystkie zmiany.

Oczywiście w sieci istnieje wiele gotowych serwisów online oferujących analizę plików: Anubis, CAMAS, ThreatExpert, ThreatTrack. Takie usługi wykorzystują różne podejścia i mają swoje zalety i wady, ale można zidentyfikować wspólne główne wady:

Musisz mieć dostęp do Internetu. Konieczne jest oczekiwanie na kolejkę w procesie przetwarzania (w darmowych wersjach). Zazwyczaj pliki utworzone lub zmodyfikowane w czasie wykonywania nie są udostępniane. Nie można kontrolować opcji wykonania (w darmowych wersjach). Nie można ingerować w proces uruchamiania (na przykład klikać przyciski pojawiających się okien). Generalnie nie jest możliwe dostarczenie konkretnych bibliotek potrzebnych do uruchomienia (w darmowych wersjach). Z reguły analizowane są tylko wykonywalne pliki PE.

Takie usługi budowane są najczęściej w oparciu o maszyny wirtualne z zainstalowanymi narzędziami, aż po debuggery jądra. Można je również zorganizować w domu. Jednak systemy te są dość wymagające pod względem zasobów i zajmują dużą ilość miejsca na dysku twardym, a analiza logów debuggera zajmuje dużo czasu. Oznacza to, że są bardzo skuteczne w dogłębnym badaniu niektórych próbek, ale raczej nie będą przydatne w rutynowej pracy, gdy nie ma możliwości załadowania zasobów systemowych i marnowania czasu na analizę. Korzystanie z „piaskownicy” do analizy pozwala obejść się bez ogromnych kosztów zasobów.

Kilka ostrzeżeń

Dzisiaj postaramy się stworzyć własny analizator oparty na piaskownicy, a mianowicie narzędzie Sandboxie. Program ten jest dostępny jako shareware na stronie autora www.sandboxie.com. W naszym badaniu ograniczony Darmowa wersja. Program uruchamia aplikacje w izolowanym środowisku, aby nie wprowadzały złośliwych zmian w rzeczywistym systemie. Ale są tutaj dwa niuanse:

1. Sandboxie umożliwia śledzenie programów tylko na poziomie trybu użytkownika. Cała aktywność złośliwego kodu w trybie jądra nie jest śledzona. Dlatego maksimum, którego można się nauczyć badając rootkity, to sposób, w jaki złośliwe oprogramowanie jest wprowadzane do systemu. Niestety nie jest możliwe przeanalizowanie samego zachowania na poziomie trybu jądra.
2. W zależności od ustawień Sandboxie może blokować dostęp do sieci, zezwalać na pełny dostęp lub dostęp tylko dla niektórych programów. Oczywiste jest, że jeśli złośliwe oprogramowanie potrzebuje dostępu do Internetu w celu normalnego uruchomienia, należy go zapewnić. Z drugiej strony, jeśli masz Pincha leżącego na dysku flash, który uruchamia się, zbiera wszystkie hasła w systemie i wysyła je na ftp do atakującego, to Sandboxie z otwarty dostęp Internet nie uchroni Cię przed stratą poufna informacja! To bardzo ważne i należy o tym pamiętać.

Wstępna konfiguracja piaskownicy

Sandboxie to świetne narzędzie z wieloma opcjami dostosowywania. Wymienię tylko te z nich, które są niezbędne do naszych zadań.

Po zainstalowaniu Sandboxie automatycznie tworzona jest jedna piaskownica. Możesz dodać jeszcze kilka „piaskownic” dla różnych zadań. Dostęp do ustawień piaskownicy można uzyskać za pośrednictwem menu kontekstowego. Z reguły wszystkie parametry, które można zmienić, mają wystarczającą ilość szczegółowy opis po rosyjsku. Opcje wymienione w sekcjach Odzyskiwanie, Odinstalowywanie i Ograniczenia są dla nas szczególnie ważne. Więc:

1. Musisz się upewnić, że nic nie jest wymienione w sekcji „Odzyskiwanie”.
2. W sekcji „Usuń” nie powinny być zaznaczone żadne pola wyboru i / lub dodane foldery i programy. Jeśli parametry są ustawione nieprawidłowo w sekcjach określonych w ust. 1 i 2, może to prowadzić do tego, że złośliwy kod zainfekuje system lub wszystkie dane do analizy zostaną zniszczone.
3. W sekcji „Ograniczenia” musisz wybrać ustawienia odpowiadające Twoim zadaniom. Prawie zawsze konieczne jest ograniczenie dostępu niskiego poziomu i użycia sprzętu do wszystkich uruchomionych programów, aby zapobiec zainfekowaniu systemu przez rootkity. Wręcz przeciwnie, nie należy ograniczać dostępu do uruchamiania i wykonywania, a także odbierania praw, w przeciwnym razie podejrzany kod zostanie wykonany w niestandardowym środowisku. Jednak wszystko, łącznie z dostępem do Internetu, zależy od zadania.
4. Dla jasności i wygody w sekcji „Zachowanie” zaleca się włączenie opcji „Pokaż obramowanie wokół okna” i wybranie koloru, aby wyróżnić programy działające w ograniczonym środowisku.

Podłączamy wtyczki

Za pomocą kilku kliknięć otrzymaliśmy doskonałe izolowane środowisko do bezpiecznego wykonywania kodu, ale nie narzędzie do analizy jego zachowania. Na szczęście autor Sandboxie przewidział możliwość wykorzystania wielu wtyczek do swojego programu. Koncepcja jest dość ciekawa. Dodatki to dynamiczne biblioteki, które są osadzone w procesie piaskownicy i rejestrują lub modyfikują jego wykonanie w określony sposób.

Będziemy potrzebować kilku wtyczek, które są wymienione poniżej.

1. SBIDodatkowy. Ta wtyczka przechwytuje szereg funkcji programu działającego w piaskownicy, aby zablokować następujące funkcje:
   • przegląd wykonywalnych procesów i wątków;
   • dostęp do procesów poza piaskownicą;
   • wywołanie funkcji BlockInput (wejście z klawiatury i myszy);
   • czytanie tytułów aktywnych okien.
2. Antidel. Dodatek przechwytuje funkcje odpowiedzialne za usuwanie plików. Tak więc wszystkie pliki tymczasowe, polecenie usunięcia, które pochodzi z kod źródłowy, nadal pozostają na swoim miejscu.

Jak zintegrować je z piaskownicą? Ponieważ nie zapewnia tego interfejs Sandboxie, będziesz musiał ręcznie edytować plik konfiguracyjny. Utwórz folder Plugins i rozpakuj do niego wszystkie przygotowane wtyczki. Teraz uwaga: Buster Sandbox Analyzer zawiera kilka bibliotek o wspólnej nazwie LOG_API*.dll, które można wstrzyknąć do procesu. Istnieją dwa typy bibliotek: Verbose i Standard. Praktycznie pierwsze pokazy pełna lista Wywołania API wykonywane przez program, w tym dostępy do plików i rejestru, drugie to skrócona lista. Obkurczanie pozwala na przyspieszenie pracy i zmniejszenie kłody, którą następnie trzeba przeanalizować. Osobiście nie boję się dużych logów, ale obawiam się, że niektóre potrzebne informacje zostaną starannie „zredukowane”, dlatego wybieram Verbose. To właśnie tę bibliotekę wstrzykniemy. Aby zapobiec wykrywaniu przez złośliwe oprogramowanie wstrzyknięcia biblioteki po nazwie, zastosujemy najprostszy środek ostrożności: zmień nazwę LOG_API_VERBOSE.dll na inną, na przykład LAPD.dll.

Teraz w głównym oknie Sandboxie wybierz „Konfiguruj -> Edytuj konfigurację”. Otworzy się konfiguracja tekstowa ze wszystkimi ustawieniami programu. Zwróć uwagę na następujące wiersze:

• Parametr FileRootPath w sekcji określa wspólną ścieżkę do folderu piaskownicy, czyli folderu, w którym będą znajdować się wszystkie pliki piaskownicy. U mnie ten parametr wygląda jak FileRootPath=C:\Sandbox\%SANDBOX%, dla Ciebie może się różnić.
• Sekcja nas nie interesuje – pomijamy ją i przewijamy dalej.
• Następnie pojawia się sekcja, której nazwa jest taka sama jak nazwa piaskownicy (niech będzie to BSA). Dodamy wtyczki tutaj: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFomBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Oczywiście ścieżki mogą się różnić. Ale kolejność wstrzykiwanych bibliotek musi być dokładnie taka! Wymóg ten wynika z faktu, że przechwytywanie funkcji musi odbywać się w określonej kolejności, w przeciwnym razie wtyczki nie będą działać. Aby zastosować zmiany, wybierz w głównym oknie Sandboxie: "Konfiguruj -> Odśwież konfigurację".

Teraz skonfigurujmy samą wtyczkę Buster Sandbox Analyzer.

1. Uruchom wtyczkę ręcznie za pomocą pliku bsa.exe z folderu Wtyczki.
2. Wybierz „Opcje -> Tryb analizy –> Ręczny”, a następnie „Opcje -> Opcje programu -> Integracja z Windows Shell -> Dodaj akcję prawym przyciskiem myszy „Uruchom BSA”.

Teraz wszystko jest gotowe do pracy: nasza „piaskownica” jest zintegrowana z systemem.

Przenośna wersja piaskownicy

Oczywiście wielu nie spodoba się fakt, że trzeba coś zainstalować, skonfigurować itp. Ponieważ to wszystko też mi nie przemawia, zrobiłem przenośną wersję narzędzia, którą można uruchomić bez instalacji i konfiguracji, bezpośrednio z Pamięć flash USB. Możesz pobrać tę wersję tutaj: tools.safezone.cc/gjf/Sandboxie-portable.zip . Do uruchomienia piaskownicy wystarczy wykonanie skryptu start.cmd, a pod koniec pracy nie zapomnij wykonać skryptu stop.cmd, który całkowicie wyładuje sterownik i wszystkie komponenty z pamięci, a także zapisze zmiany dokonane podczas pracy w przenośnym.

Nie ma zbyt wielu ustawień dla samego portablizera: jego działanie opiera się głównie na manipulowaniu plikiem Sandboxie.ini.template znajdującym się w folderze Templates. W rzeczywistości ten plik jest plikiem ustawień Sandboxie, który jest odpowiednio przetworzony i przesłany do programu, a po zakończeniu jest nadpisywany z powrotem do szablonów. Jeśli otworzysz ten plik za pomocą Notatnika, prawdopodobnie nie znajdziesz czegoś interesującego. Pamiętaj, aby zwrócić uwagę na wzorzec $(InstallDrive) powtórzony w wielu parametrach ścieżki. Szczególnie interesuje nas parametr FileRootPath. Jeśli to wygląda tak:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Następnie na dysku, na którym znajduje się przenośna Sandboxie, zostaną utworzone piaskownice. Jeśli parametr wygląda tak, na przykład:

FileRootPath=C:\Sandbox\%SANDBOX%

Innymi słowy, określa konkretny dysk systemowy, a następnie na tym dysku zostaną utworzone piaskownice.

Osobiście polecam zawsze tworzyć piaskownice włączone dyski lokalne. Przyspiesza to pracę narzędzia, a po uruchomieniu z dysku flash USB przyspiesza o rzędy wielkości. Jeśli jesteś tak paranoikiem, że chcesz uruchamiać i analizować wszystko na swoich ulubionych nośnikach, które nosisz w sercu, możesz zmienić parametr, ale potem przynajmniej użyć przenośnych dysków twardych, aby wszystko nie hamowało bezbożnie.

Praktyczne użycie

Wypróbujmy nasze narzędzie na realnym zagrożeniu. Aby nikt nie zarzucał mi olinowania, zrobiłem prostą rzecz: wszedłem na www.malwaredomainlist.com i pobrałem najnowszą, która pojawiła się tam w momencie pisania. Okazało się, że to ładny plik pp.exe z jakiejś zainfekowanej strony. Sama nazwa budzi wielkie nadzieje, poza tym mój program antywirusowy od razu krzyknął na ten plik. Nawiasem mówiąc, wszystkie nasze manipulacje najlepiej wykonywać przy wyłączonym programie antywirusowym, w przeciwnym razie ryzykujemy zablokowanie / usunięcie czegoś z tego, co badamy. Jak badać zachowanie binarnego? Po prostu kliknij kliknij prawym przyciskiem myszy na tym pliku i wybierz opcję Uruchom BSA z menu rozwijanego. Otworzy się okno Buster Sandbox Analyzer. Uważnie przyglądamy się folderowi linii Sandbox, aby to sprawdzić. Wszystkie parametry muszą być zgodne z tymi, które określiliśmy podczas konfigurowania Sandboxie, czyli jeśli piaskownica miała nazwę BSA, a parametr FileRootPath=C:\Sandbox\%SANDBOX% był ustawiony jako ścieżka do folderu, to wszystko powinno wyglądać tak na zrzucie ekranu. Jeśli wiesz dużo o perwersjach i inaczej nazwałeś piaskownicę lub ustawisz parametr FileRootPath na inny dysk lub folder, musisz go odpowiednio zmienić. W przeciwnym razie Buster Sandbox Analyzer nie będzie wiedział, gdzie szukać nowych plików i zmian w rejestrze.

BSA zawiera wiele ustawień do analizy i badania procesu wykonywania binarnych, aż do przechwytywania pakietów sieciowych. Nie krępuj się nacisnąć przycisk Rozpocznij analizę. Okno przełączy się w tryb analizy. Jeśli piaskownica wybrana do analizy z jakiegoś powodu zawiera wyniki poprzedniego badania, narzędzie zaproponuje najpierw jej wyczyszczenie. Wszystko jest gotowe do uruchomienia badanego pliku.

Gotowy? Następnie kliknij prawym przyciskiem myszy badany plik i wybierz „Uruchom w piaskownicy” w menu, które się otworzy, a następnie określ „piaskownicę”, do której dołączyliśmy BSA.

Zaraz po tym w oknie analizatora uruchomią się wywołania API, które zostaną zapisane w plikach logów. Należy pamiętać, że sam Buster Sandbox Analyzer nie wie, kiedy analiza procesu zostanie zakończona, w rzeczywistości kliknięcie przycisku Zakończ analizę służy jako sygnał do zakończenia. Skąd wiesz, kiedy nadszedł czas? Mogą być dwie opcje.

1. Żaden uruchomiony proces nie jest wyświetlany w oknie Sandboxie. Oznacza to, że wykonywanie programu zostało wyraźnie zakończone.
2. Na liście wywołań API nic nowego nie pojawia się od dłuższego czasu lub odwrotnie, to samo jest wyświetlane cyklicznie. W tym samym czasie w oknie Sandboxie działa coś innego. Dzieje się tak, jeśli program jest skonfigurowany do wykonywania rezydentnego lub po prostu się zawiesza. W takim przypadku należy najpierw zakończyć ręcznie, klikając prawym przyciskiem myszy odpowiednią piaskownicę w oknie Sandboxie i wybierając Zakończ programy. Nawiasem mówiąc, podczas analizy mojego pp.exe dokładnie taka sytuacja miała miejsce.

Następnie możesz bezpiecznie wybrać opcję Zakończ analizę w oknie Buster Sandbox Analyzer.

Analiza zachowania

Klikając przycisk Malware Analyzer, natychmiast otrzymamy podsumowanie informacji o wynikach badania. W moim przypadku złośliwość pliku była dość oczywista: podczas wykonywania został utworzony i uruchomiony plik C:\Documents and Settings\Administrator\Dane aplikacji\dplaysvr.exe, który został dodany do automatycznego ładowania (swoją drogą był tym, który nie chciał się zakończyć), nawiązano połączenie z 190.9.35.199 i zmodyfikowano plik hosts. Nawiasem mówiąc, w tym samym czasie tylko pięć silników antywirusowych wykryło plik na VirusTotal, co można zobaczyć w dziennikach, a także na stronie VirusTotal.

Wszystkie informacje o wynikach analizy są dostępne bezpośrednio z menu Viewer w oknie Buster Sandbox Analyzer. Zagnieżdżony jest tu również dziennik wywołań API, który z pewnością przyda się w szczegółowych badaniach. Wszystkie wyniki są przechowywane jako pliki tekstowe w podfolderze Reports folderu Buster Sandbox Analyzer. Szczególnie interesujący jest raport Report.txt (wywoływany przez View Report), który dostarcza rozszerzonych informacji o wszystkich plikach. To właśnie stamtąd dowiadujemy się, że pliki tymczasowe faktycznie były wykonywalne, połączenie weszło na http://190.9.35.199/view.php?rnd=787714, złośliwe oprogramowanie utworzyło określony mutex G4FGEXWkb1VANr itd. Można nie tylko przeglądać raporty, ale także wyodrębnij wszystkie pliki utworzone podczas wykonywania. Aby to zrobić, w oknie Sandboxie kliknij prawym przyciskiem myszy „piaskownicę” i wybierz „Wyświetl zawartość”. Otworzy się okno eksploratora z całą zawartością naszej piaskownicy: folder na dysku zawiera pliki utworzone w dyski fizyczne"piaskownice", a w folderze użytkownika - pliki utworzone w profilu aktywny użytkownik(%profil użytkownika%). Tutaj znalazłem dplaysvr.exe z biblioteką dplayx.dll, tymczasowe pliki tmp i zmodyfikowane plik hosta. Przy okazji okazało się, że dodano do niego następujące wiersze:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Pamiętaj, że zainfekowane pliki leżą w piaskownicy. Jeśli przypadkowo uruchomisz je przez dwukrotne kliknięcie, nic się nie stanie (odpalą w piaskownicy), ale jeśli gdzieś je skopiujesz, a następnie wykonasz… hmm, no cóż, masz pomysł. Tutaj, w folderze, możesz znaleźć zrzut rejestru, który został zmieniony podczas pracy, w postaci pliku RegHive. Ten plik można łatwo przetłumaczyć na bardziej czytelny plik .reg za pomocą następującego skryptu poleceń:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notatnik sandbox.reg

Co instrument może, a czego nie może zrobić?

Powstałe narzędzie może:

• Śledź wywołania interfejsu API działającej aplikacji.
• Monitoruj nowo utworzone pliki i ustawienia rejestru.
• Przechwytuj ruch sieciowy, gdy aplikacja jest uruchomiona.
• Wykonywanie podstawowej analizy plików i ich zachowania (wbudowany analizator behawioralny, analiza hashów na VirusTotal, analiza z wykorzystaniem PEiD, ExeInfo i ssdeep itp.).
• dostać trochę Dodatkowe informacje uruchamiając programy pomocnicze (np. Process Monitor) w „piaskownicy” wraz z analizowanym.

To narzędzie nie może:

• Analizuj złośliwe oprogramowanie działające w trybie jądra (wymagające instalacji sterownika). Możliwe jest jednak zidentyfikowanie mechanizmu instalacji sterownika (zanim zostanie on faktycznie zaimplementowany w systemie).
• Analizuj złośliwe oprogramowanie, które monitoruje wykonanie w Sandboxie. Jednak Buster Sandbox Analyzer zawiera szereg mechanizmów zapobiegających takiemu śledzeniu.

W ten sposób otrzymasz sandbox.reg, który zawiera wiersze wprowadzone przez złośliwe oprogramowanie podczas jego wykonywania. Po wykonaniu analizy wybierz opcję Anuluj analizę z menu Opcje, aby przywrócić wszystko bez zmian. Należy pamiętać, że po tej operacji wszystkie dzienniki analizy zostaną usunięte, ale zawartość piaskownicy pozostanie na swoim miejscu. Jednak przy następnym uruchomieniu sam program zaproponuje usunięcie wszystkiego.

Postanowiliśmy więc krótko poruszyć ten temat.

W istocie piaskownica to środowisko oprogramowania w piaskownicy ze sztywnymi ograniczone zasoby biegać w tym środowisku kod programu(po prostu uruchamianie programu). W pewnym sensie „piaskownica” jest tak uproszczoną, mającą na celu izolowanie podejrzanych procesów ze względów bezpieczeństwa.

Niektóre dobre antywirusy i zapory ogniowe (choć z reguły w wersji płatnej) korzystają z tej metody bez Twojej wiedzy, niektóre pozwalają na zarządzanie tą funkcjonalnością (ponieważ nadal powoduje nadmierne zużycie zasobów), ale są też programy, które pozwalają wdrożyć podobną funkcjonalność.

Porozmawiamy o jednym z nich dzisiaj.

Niestety jest to shareware, ale ten sam okres bezpłatny pozwoli lepiej poznać tego typu narzędzie, co być może popchnie w przyszłości do bardziej szczegółowego badania, które w większości istnieje w darmowym formularz i zapewnia więcej funkcji.

Możesz pobrać Sandboxie z lub, powiedzmy, . Instalacja jest prawie elementarna, z wyjątkiem momentu, w którym musisz zainstalować sterownik (patrz zrzut ekranu poniżej).

Na tym etapie lepiej jest wyłączyć wszelkie elementy ochrony (tj. te same programy antywirusowe i zapory), w przeciwnym razie, jeśli ten krok się nie powiedzie, a komputer zawiesi się, uruchomi się ponownie lub przejdzie, może być konieczne uruchomienie w trybie awaryjnym i usunięcie program bez możliwości dalszego użytkowania.

W rzeczywistości po instalacji program musi zostać uruchomiony. Możliwe, że napotkasz powiadomienie pokazane powyżej. Nie ma w tym nic złego, wystarczy kliknąć „OK”.

Następnie zostaniesz zaproszony na krótki kurs pracy z programem, a raczej opowiedzą ci trochę o tym, jak to działa. Przejdź przez wszystkie sześć etapów, najlepiej poprzez uważne przeczytanie tego, co jest napisane w dostarczonych instrukcjach.

Krótko mówiąc, możesz uruchomić dowolny program w odizolowanym środowisku. W instrukcji, jeśli ją przeczytałeś, dość dobrze podana jest metafora na temat, że w rzeczywistości piaskownica to kawałek przezroczystego papieru umieszczany między programem a komputerem, a usuwanie zawartości piaskownicy jest nieco podobne do wyrzucenia zużytej kartki papieru i jej zawartości, z, co jest logiczne, późniejszą wymianą na nową.

Jak skonfigurować i korzystać z programu sandbox

Teraz spróbujmy zrozumieć, jak z nim pracować. Na początek możesz spróbować uruchomić, powiedzmy, przeglądarkę w piaskownicy. Aby to zrobić, użyj skrótu, który pojawił się na pulpicie, lub użyj elementów menu w głównym oknie programu: " DefaultBox - Uruchom w piaskownicy - Uruchom przeglądarkę internetową" lub jeśli chcesz uruchomić przeglądarkę, która nie jest zainstalowana jako domyślna przeglądarka w systemie, użyj " Uruchom dowolny program” i określ ścieżkę do przeglądarki (lub programu).

Po tym w rzeczywistości przeglądarka zostanie uruchomiona w „piaskownicy”, a jej procesy zobaczysz w oknie Sandboxie. Od tego momentu wszystko, co się dzieje, odbywa się, jak już wielokrotnie mówiono, w izolowanym środowisku i np. wirus, który wykorzystuje pamięć podręczną przeglądarki jako element do penetracji systemu, w rzeczywistości nie będzie w stanie tak naprawdę rób cokolwiek, bo po zakończeniu pracy ze środowiskiem izolowanym.. można go posprzątać wyrzucając, jak mówi metafora, zapisany arkusz i przechodząc do nowego (nie naruszając integralności komputera jako takiego) .

Aby wyczyścić zawartość piaskownicy (jeśli jej nie potrzebujesz), w głównym oknie programu lub w zasobniku (tutaj zegar i inne ikony) użyj elementu " DefaultBox - Usuń zawartość".

Uwaga ! Tylko ta część, która została napisana i pracowała w odizolowanym środowisku zostanie usunięta, czyli np. sama przeglądarka nie zostanie usunięta z komputera, ale przeniesiona do niego.. mmm.. relatywnie rzecz biorąc kopia procesu , utworzona pamięć podręczna, zapisane dane (takie jak pobrane/utworzone pliki) itp. zostaną usunięte, jeśli ich nie zapiszesz.

Aby lepiej zrozumieć zasadę działania, spróbuj kilka razy uruchomić przeglądarkę i inne oprogramowanie w piaskownicy, pobrać różne pliki i usunąć/zapisać zawartość po zakończeniu pracy z tą piaskownicą, a następnie np. uruchomić ta sama przeglądarka lub program już bezpośrednio na komputerze. Uwierz mi, lepiej zrozumiesz esencję w praktyce, niż można to wyjaśnić słowami.

Nawiasem mówiąc, klikając prawym przyciskiem myszy proces na liście procesów okna Sandboxie, możesz kontrolować dostęp do różnego rodzaju zasobów komputera z pominięciem piaskownicy, wybierając " Dostęp do zasobów".

Z grubsza mówiąc, jeśli chcesz zaryzykować i dać np. to samo Google Chrome, bezpośredni dostęp do dowolnego folderu na komputerze, możesz to zrobić w odpowiedniej zakładce ( Dostęp do plików — dostęp bezpośredni/pełny) za pomocą przycisku Dodaj.

Logiczne jest, że sandbox jest przeznaczony nie tylko i nie tyle do pracy z przeglądarką i przeglądania wszelkiego rodzaju podejrzanych witryn, ale także do uruchamiania aplikacji, które wydają się Tobie podejrzane (szczególnie na przykład w pracy (gdzie często), uruchamiać podejrzane pliki z poczty lub dysków flash) i/lub nie powinny mieć dostępu do głównych zasobów komputera i/lub pozostawiać tam niepotrzebnych śladów.

Nawiasem mówiąc, te ostatnie mogą być dobrym elementem ochrony, czyli uruchomienia dowolnej aplikacji, której dane muszą zostać całkowicie odizolowane i usunięte po zakończeniu pracy.

Oczywiście nie jest konieczne usuwanie danych z piaskownicy po zakończeniu i praca z niektórymi programami tylko w izolowanym środowisku (postęp jest zapamiętywany i istnieje możliwość szybka rekonwalescencja), ale od Ciebie zależy, czy to zrobisz, czy nie.

Podczas próby uruchomienia niektórych programów możesz napotkać powyższy problem. Nie bój się tego, wystarczy na początek po prostu kliknąć „OK”, a w przyszłości otworzyć ustawienia piaskownicy za pomocą „ DefaultBox - ustawienia piaskownicy" i w zakładce " Transfer plików" ustaw nieco większy rozmiar opcji transferu plików.

Nie będziemy teraz rozmawiać o innych ustawieniach, ale jeśli Cię interesują, możesz łatwo sobie z nimi poradzić, ponieważ wszystko jest w języku rosyjskim, jest bardzo jasne i dostępne. Cóż, jeśli masz jakieś pytania, ty może zapytać ich w komentarzach do tego wpisu.

Być może na symulatorze możesz przejść do posłowia.

Posłowie

O tak, prawie zapomnieliśmy oczywiście, że sandbox zużywa zwiększoną ilość zasobów maszyny, ponieważ odgryza (wirtualizuje) część pojemności, co oczywiście tworzy obciążenie, które różni się od bezpośredniego uruchamiania. Ale logicznie rzecz biorąc, bezpieczeństwo i/lub prywatność mogą być tego warte.

Nawiasem mówiąc, korzystanie z sandboxingu, chrootowania lub wirtualizacji jest częściowo związane z wolną od wirusów metodologią bezpieczeństwa, którą my .

Na sim może wszystko. Jak zawsze, jeśli macie jakieś pytania, przemyślenia, uzupełnienia itp., zapraszamy do komentowania tego posta.

Błędem jest zakładanie, że wbudowana ochrona systemu operacyjnego, antywirusa lub zapory całkowicie ochroni przed złośliwym oprogramowaniem. Jednak szkoda może nie być tak oczywista, jak w przypadku wirusów: kilka aplikacji może spowolnić system Windows i prowadzić do różnego rodzaju anomalii. Z biegiem czasu odczuwalne są konsekwencje niekontrolowanych procesów ze strony „amatorskiego” oprogramowania, a dezinstalacja, usuwanie kluczy rejestru i inne metody czyszczenia już nie pomagają.

W takich sytuacjach programy sandbox, którym poświęcona jest ta recenzja, mogą odegrać doskonałą usługę. Zasada działania piaskownic jest częściowo porównywalna do wirtualne maszyny(Oracle VM VirtualBox i inne, VMware Virtualization). Dzięki wirtualizacji wszystkie procesy inicjowane przez program wykonywane są w sandboksie - wyizolowanym środowisku ze ścisłą kontrolą zasobów systemowych.

Ta metoda izolacji kodu jest dość aktywnie wykorzystywana w oprogramowaniu antywirusowym (KIS 2013, avast!), w programach takich jak Google Chrome (Flash działa w piaskownicy). Nie należy jednak wnioskować, że programy sandbox są całkowitą gwarancją bezpieczeństwa. To tylko jeden ze skutecznych dodatkowych środków ochrony systemu operacyjnego (systemu plików, rejestru) przed wpływami zewnętrznymi.

Serwis opublikował już przegląd programu do tworzenia wirtualne środowisko- . Dzisiaj rozważane będą inne aplikacje, w szerszym znaczeniu: to nie tylko rozwiązania desktopowe, ale także usługi w chmurze, które poprawiają nie tylko bezpieczeństwo, ale także anonimowość, umożliwiając uruchamianie z nośników wymiennych, z innego komputera.

Piaskownica

Deweloper Ronen Tzur porównuje działanie programu Sandboxie do niewidzialnej warstwy nałożonej na papier: możesz umieścić na niej dowolne napisy; po usunięciu zabezpieczenia arkusz pozostanie nienaruszony.

Istnieją 4 główne sposoby korzystania z piaskownicy w Sandboxie:

• Bezpieczne surfowanie po Internecie
• Poprawa prywatności
• Bezpieczna korespondencja e-mail
• Utrzymywanie systemu operacyjnego w oryginalnym stanie

Ostatni punkt sugeruje, że możesz instalować i uruchamiać dowolne aplikacje klienckie w piaskownicy - przeglądarki, komunikatory, gry - bez wpływu na system. Sandboxie kontroluje dostęp do plików, urządzeń dyskowych, kluczy rejestru, procesów, sterowników, portów i innych potencjalnie niebezpiecznych źródeł.

Przede wszystkim SandboxIE jest przydatny, ponieważ pozwala użytkownikowi elastycznie konfigurować piaskownice i uprawnienia za pomocą powłoki Sandboxie Control. Tutaj, poprzez menu kontekstowe i główne, dostępne są główne operacje:

• Uruchamianie i zatrzymywanie programów kontrolowanych przez Sandboxie
• Przeglądanie plików w piaskownicy
• Przywracanie potrzebnych plików z piaskownicy
• Usuwanie całej pracy lub wybranych plików
• Tworzenie, usuwanie i konfigurowanie piaskownic

Aby uruchomić program w piaskownicy, po prostu przeciągnij plik wykonywalny do okna Sandboxie Control, do domyślnie utworzonej piaskownicy. Są inne sposoby - na przykład menu Eksplorator Windows lub obszar powiadomień. Okno programu działającego w emulowanym środowisku będzie miało żółtą ramkę i znak krzyża (#) w tytule.

Jeśli podczas pracy z programem piaskownicy musisz zapisać wyniki na dysku, określone jest dowolne żądane źródło - pliki zostaną umieszczone w folderze piaskownicy, natomiast podany adres, poza piaskownicą, nie będzie. Aby „prawdziwe” przesyłać pliki z piaskownicy, należy użyć opcji przywracania. Istnieją dwa ich rodzaje - szybkie lub natychmiastowe, w obu przypadkach przed uruchomieniem programu w piaskownicy należy skonfigurować foldery do odzyskiwania ("Ustawienia piaskownicy - Odzyskiwanie").

Bardziej szczegółowe ustawienia dostępu znajdują się w sekcjach „Ograniczenia” i „Dostęp do zasobów”. Mogą być wymagane, jeśli aplikacja nie może działać bez pewnych uprawnień (wymaga określonej biblioteki systemowej, sterownika itp.). W „Ograniczeniach” w odniesieniu do programów lub grup konfigurowany jest dostęp do Internetu, sprzętu, obiektów IPC, a także dostęp niskopoziomowy. W "Dostępie do zasobów" - odpowiednie ustawienia plików, katalogów, rejestru i innych zasobów systemowych.

Również w ustawieniach Sandboxie znajduje się ważna sekcja "Aplikacje", która zawiera grupy programów, dla których przyznany jest dostęp do określonych zasobów. Początkowo wszystkie elementy listy są wyłączone; aby zastosować zmiany dla określonej aplikacji, należy ją zaznaczyć na liście i kliknąć przycisk „Dodaj”.

Dzięki temu możliwe jest tworzenie piaskownic o różnych parametrach. Dozwolone jest sklonowanie konfiguracji istniejącej piaskownicy, w tym celu tworząc nową, z rozwijanej listy wybierz środowisko, z którego chcesz przenieść ustawienia.

Streszczenie

Dzięki aplikacji Sandboxie możesz tworzyć wirtualne środowiska o dowolnej konfiguracji, bez ograniczeń użytkownika. Sandboxie zapewnia dużą liczbę ustawień zarówno dla poszczególnych aplikacji, jak i piaskownic.

[+] Elastyczna konfiguracja każdej piaskownicy
[+] Tworzenie reguł dla grupy aplikacji
[-] Nie możesz tworzyć dystrybucji
[-] Brak kreatora konfiguracji

Oceń

Symboliczne jest, że Evalaze wywodzi się z programu Thinstall 2007, obecnie VMware.

Evalaze nie jest tak dobrze znany jak Sandboxie wśród programów sandboxingowych, ale posiada szereg ciekawych funkcji, które odróżniają go od wielu podobnych rozwiązań. Dzięki wirtualizacji aplikacje mogą być uruchamiane w autonomicznym środowisku z dowolnego komputera, niezależnie od dostępności sterowników, bibliotek czy nowszych wersji uruchamianej aplikacji. To nie wymaga żadnych wstępne ustawienie, ani dodatkowe pliki konfiguracyjne lub biblioteki lub klucze rejestru.

Evalaze nie wymaga instalacji, jedno zastrzeżenie: potrzebujesz Microsoft . NET Framework wersja 2.0 lub nowsza. W wersji darmowej, jak również w wersji profesjonalnej dostępny jest kreator konfiguracji wirtualizacji oraz nieograniczona liczba aplikacji wirtualnych. Wersję próbną można pobrać ze strony programistów tylko na żądanie (patrz e-mail programistów na stronie).

Powstałą konfigurację można zapisać w projekcie. Od początku do końca proces instalacji aplikacji wirtualnej trwa dłużej niż, powiedzmy, Sandboxie, ale jest bardziej spójny i prosty.

Należy zwrócić uwagę na dwa dodatkowe funkcje Evalaze, który prawdopodobnie zainteresuje programistów, testerów: pracuje z wirtualnym systemem plików i wirtualnym rejestrem. Te samodzielne środowiska Evalaze można edytować według własnego uznania, dodając pliki, katalogi, klucze niezbędne do działania konkretnego programu wirtualnego.

Również w Evalaze możesz skonfigurować skojarzenia od razu: wirtualna aplikacja natychmiast utworzy niezbędne skojarzenia z plikami w systemie operacyjnym po uruchomieniu.

Streszczenie

Program, za pomocą którego można tworzyć samodzielne aplikacje, które są wygodne w użyciu w różnych sytuacjach, co ogólnie ułatwia migrację, kompatybilność, bezpieczeństwo. Niestety, darmowa wersja jest praktycznie bezużyteczna, jest interesująca tylko dla bardzo powierzchownego badania funkcji Evalaze.

[-] Słabo funkcjonalna wersja próbna
[−] Wysoka cena Wersje profesjonalne
[+] Jest kreator konfiguracji
[+] Wirtualny system plików i rejestr

Wirtualne pudełko Enigmy

Program Enigma Virtual Box jest przeznaczony do uruchamiania aplikacji w izolowanym środowisku wirtualnym. Lista obsługiwanych formatów obejmuje dll, ocx (biblioteki), avi, mp3 (multimedia), txt, doc (dokumenty) itp.

Enigma Virtual Box modeluje środowisko wirtualne wokół aplikacji w następujący sposób. Przed uruchomieniem aplikacji uruchamiany jest program ładujący Virtual Box, który odczytuje informacje niezbędne do działania programu: biblioteki i inne komponenty - i dostarcza je do aplikacji zamiast systemowych. W rezultacie program działa autonomicznie w stosunku do systemu operacyjnego.

Konfiguracja sandboxów Sandboxie lub Evalaze zajmuje zwykle około 5 minut.Na pierwszy rzut oka Virtual Box również nie wymaga długiej konfiguracji. W dokumentacji wykorzystanie programu zawarte jest właściwie w jednym zdaniu.

Tylko 4 zakładki - "Pliki", "Rejestr", "Kontenery" i faktycznie "Opcje". Musisz wybrać plik wykonywalny, określić lokalizację końcowego wyniku i rozpocząć przetwarzanie. Ale później okazuje się, że wirtualne środowisko trzeba tworzyć niezależnie. W tym celu przeznaczone są trzy sąsiadujące sekcje „Pliki”, „Rejestr” i „Kontenery”, w których niezbędne dane są dodawane ręcznie. Następnie możesz kliknąć przetwarzanie, uruchomić plik wyjściowy i sprawdzić wydajność programu.

Streszczenie

Tym samym w Enigma Virtual Box nie ma analizy systemu operacyjnego przed i po zainstalowaniu aplikacji, jak ma to miejsce w przypadku Evalaze. Nacisk kładziony jest na rozwój - dlatego Virtual Box przydaje się raczej do testowania, sprawdzania kompatybilności, tworzenia sztucznych warunków do uruchomienia programu. Wirtualizacja nieznanych aplikacji spowoduje utrudnienia, ponieważ użytkownik będzie zmuszony samodzielnie określić wszystkie łącza programu.

[-] Brak dogodnego ustawienia
[+] Zasoby wykorzystywane przez program można określić niezależnie

kamei

Cameyo oferuje wirtualizację aplikacji w trzech obszarach: biznes, rozwój, użytek osobisty. W tym drugim przypadku piaskownica może służyć do utrzymywania systemu operacyjnego w stanie „czystym”, przechowywania i uruchamiania aplikacji nośniki wymienne i usługi w chmurze. Ponadto na portalu cameyo.com publikowanych jest kilkaset już skonfigurowanych wirtualnych aplikacji, co również oszczędza czas użytkownika.

Kroki tworzenia wirtualnej aplikacji są podobne do Enigma Virtual Box: najpierw tworzona jest migawka systemu przed instalacją, a następnie po niej. Zmiany między tymi stanami są brane pod uwagę podczas tworzenia piaskownicy. Jednak w przeciwieństwie do Virtual Box, Cameyo synchronizuje się ze zdalnym serwerem i publikuje aplikację do magazyn w chmurze. Dzięki temu aplikacje mogą być uruchamiane na dowolnym komputerze z dostępem do konta.

Za pośrednictwem biblioteki (Biblioteki) można pobrać popularne aplikacje systemowe (Public Virtual Apps) do późniejszego uruchomienia: archiwizatory, przeglądarki, odtwarzacze, a nawet antywirusy. Podczas uruchamiania pojawia się monit o wybranie pliku wykonywalnego i wskazanie, czy działa stabilnie, czy nie (co najwyraźniej jest w jakiś sposób brane pod uwagę przez moderatorów galerii Cameyo).

Inną ciekawą funkcją jest tworzenie wirtualnej aplikacji poprzez . Instalator można pobrać z komputera lub podać adres URL pliku.

Proces konwersji według oświadczeń trwa od 10 do 20 minut, ale często czas oczekiwania jest kilkukrotnie krótszy. Po zakończeniu na e-mail wysyłane jest powiadomienie z linkiem do opublikowanego pakietu.

Powiadomienie e-mail o utworzeniu dystrybucji

Biorąc pod uwagę wszystkie udogodnienia w chmurze, należy zwrócić uwagę na dwie rzeczy ważne chwile. Po pierwsze: każdy program jest od czasu do czasu aktualizowany, aw bibliotece są raczej nieaktualne egzemplarze. Drugim aspektem jest to, że aplikacje dodawane przez użytkowników mogą naruszać licencję konkretnego programu. Należy to zrozumieć i wziąć pod uwagę podczas tworzenia dystrybucji niestandardowych. I po trzecie, nikt nie może zagwarantować, że wirtualna aplikacja zamieszczona w galerii nie została zmodyfikowana przez atakującego.

Mówiąc jednak o bezpieczeństwie, Cameyo ma 4 tryby aplikacji:

• Tryb danych: program może zapisywać pliki w folderze Dokumenty i na Pulpicie
• Odosobniony: umiejętność pisania do system plików i brak rejestru
• Pełny dostęp: bezpłatny dostęp do systemu plików i rejestru
• Dostosuj tę aplikację: modyfikując menu uruchamiania, wybierając miejsce przechowywania programu itp.

Streszczenie

Wygodna usługa w chmurze, z którą można się połączyć na dowolnym komputerze, umożliwiając szybkie tworzenie aplikacji przenośnych. Konfigurowanie piaskownic jest zminimalizowane, nie wszystko jest przejrzyste w przypadku skanowania antywirusowego i ogólnie bezpieczeństwa - jednak w tej sytuacji zalety mogą zrekompensować wady.

[+] Synchronizacja sieci
[+] Dostęp do niestandardowych aplikacji
[+] Twórz wirtualne aplikacje online
[-] Brak ustawień piaskownicy

Spoon.net

Spoon Tools to zestaw narzędzi do tworzenia wirtualnych aplikacji. Oprócz tego, że jest środowiskiem profesjonalnym, spoon.net zasługuje na uwagę jako usługa w chmurze, która integruje się z Desktopem, umożliwiając szybkie tworzenie piaskownic.

Aby zintegrować się z Pulpitem należy zarejestrować się na serwerze spoon.net i zainstalować specjalny widget. Po rejestracji użytkownik otrzymuje możliwość pobierania wirtualnych aplikacji z serwera za pośrednictwem wygodnej powłoki.

Cztery funkcje wniesione przez widżet:

• Twórz piaskownice dla plików i aplikacji
• Porządkowanie pulpitu za pomocą skrótów, menu szybkiego uruchamiania
• Bezpieczne testowanie nowych aplikacji, uruchamianie starszych wersji na nowych
• Cofnij zmiany wprowadzone przez piaskownicę

Szybki dostęp do widżetu spoon.net jest możliwy za pomocą skrótu klawiaturowego Alt + Win. Powłoka zawiera ciąg wyszukiwania, w połączeniu - konsolę. Wyszukuje aplikacje na komputerze iw serwisie internetowym.

Organizacja pulpitu jest bardzo wygodna: możesz przeciągać i upuszczać na wirtualny pulpit wymagane pliki, który zsynchronizuje się ze spool.net. Nowe piaskownice można utworzyć za pomocą zaledwie dwóch kliknięć.

Oczywiście, jeśli chodzi o zakładanie piaskownic, Spoon nie może konkurować z Sandboxie czy Evalaze z tego powodu, że w Spoon po prostu ich nie ma. Nie możesz ustawić ograniczeń, przekonwertować „zwykłą” aplikację na wirtualną. Do tego celu przeznaczony jest kompleks Spoon Studio.

Streszczenie

Łyżka to „najmętniejsza” skorupa do pracy aplikacje wirtualne i jednocześnie najmniej konfigurowalny. Produkt ten przypadnie do gustu użytkownikom, którym zależy nie tyle na bezpieczeństwie pracy poprzez wirtualizację, co na wygodzie pracy z nim niezbędne programy wszędzie.

[+] Integracja widżetów z pulpitem
[+] Szybkie tworzenie piaskownice
[-] Brak ustawień ograniczających programy wirtualne

Stół obrotowy

Program/usługa	Piaskownica	Oceń	Wirtualne pudełko Enigmy	kamei	Spoon.net
Deweloper	Sandboxie Holdings LLC	Dogel GmbH	Zespół programistów Enigma Protector	kamei	Spoon.net
Licencja	Shareware (ponad 13 EUR)	Freeware/Shareware (69,95 €)	Oprogramowanie bezpłatne	Oprogramowanie bezpłatne	Bezpłatnie (konto podstawowe)
Dodawanie aplikacji do piaskownicy	+	−	−	−	−
Personalizacja (tworzenie skrótów, integracja menu)	+	+	−	+	+
Kreator konfiguracji	−	+	+	+	−
Tworzenie nowych aplikacji wirtualnych	−	+	+	+	−
Synchronizacja online	−	−	−	+	+
Ustawianie przywilejów piaskownicy	+	+	+	+	−
Analiza zmian podczas tworzenia piaskownicy	+	+	−	+	−

Pracując na komputerze, uruchamiamy i pobieramy wiele plików: programy, książki, artykuły. Powoduje to przedostanie się do systemu złośliwego oprogramowania i wirusów. Nawet na oficjalne zasoby są takie pliki. Jak się przed tym uchronić. Sandboxie pomoże. to dobry sposób pozbyć się reklam, pasków narzędzi, złośliwego oprogramowania. Przyjrzyjmy się bliżej, jak pobrać Sandboxie na komputer i pracować z nim.

Co to jest

Sandboxie to specjalistyczne oprogramowanie, które tworzy środowisko na komputerze, w którym aplikacja nie może uzyskać dostępu do ustawień komputera. Jeśli wirus dostał się do komputera, nie uzyska on dostępu do plików systemowych w celu zmiany zawartych w nich informacji. Po wyjściu z piaskownicy wszystkie pliki zostaną usunięte.

Ważne» Użyj Sandboxie do uruchamiania podejrzanych aplikacji.

Do czego służy

Tworzy dedykowane środowisko w systemie. Zmiany związane z działaniem programu zachodzą tylko w specjalnym izolowanym środowisku (sandbox). Może być w razie potrzeby. Uruchom dowolną aplikację bez obawy o uszkodzenie systemu operacyjnego. Na przykład uruchom przeglądarkę w piaskownicy, przeglądaj witryny bez obawy o zarażenie się wirusem.

Sandboxie poprawia bezpieczeństwo podczas odwiedzania witryn, zwłaszcza tych o wątpliwej treści.

Jak pobrać

Sandboxie można pobrać pod adresem: https://www.sandboxie.com/. Kliknij link „Kliknij tutaj”. Aplikacja jest shareware, po trzydziestu dniach pracy poprosi Cię o przejście na płatny przypadek użycia. Mimo to większość funkcji aplikacji będzie dostępna za darmo. Wyłączona zostanie tylko funkcja wielokrotnej izolacji. Sandboxie dla systemu Windows 7 i starszego można pobrać ze strony: https://www.sandboxie.com/AllVersions.

Aby pracować w systemie Windows 10, pobierz Sandboxie v5 lub nowszy.

Piaskownica dla Windows 10

Uruchom plik instalacyjny "exe", klikając go dwukrotnie lewym przyciskiem myszy. Rozpocznie się instalacja. Aby pobrać Sandboxie w języku rosyjskim, wybierz odpowiednią pozycję w wyświetlonym oknie.
Instalacja jest prosta, nie sprawi trudności nawet początkującym użytkownikom. Aplikacja będzie dostępna z menu „Start” - „Programy”. Będzie również znajdować się w zasobniku systemowym.
Skrót zostanie dodany do „Pulpitu”, kliknięcie którego otworzy domyślną przeglądarkę.

Ustawienia

Drugi sposób

Kliknij prawym przyciskiem skrót aplikacji, a następnie „Uruchom”.
Aplikacja będzie działać w izolowanym środowisku. Po najechaniu kursorem pojawi się kolorowa ramka.

Rozważ praktyczny przykład

Powrót do zdrowia

Podczas pracy pliki są przechowywane w katalogach. Nie są widoczne, dopóki nie zezwolisz aplikacji na ich przeniesienie. To jest „Przywrócenie”. Jak to skonfigurować, zostało omówione nieco wyżej w artykule. Jak odzyskać?

Natychmiastowe Odzyskiwanie

Zalecam korzystanie z tej metody, ponieważ funkcja jest wywoływana automatycznie podczas tworzenia plików. Po zapisaniu pojawi się okno „Natychmiastowe przywracanie”.

Czy istnieje odpowiednik Sandboxie? Alternatywnie zajrzyj do programów takich jak Shadow User i Shadow Defender. Ale jeśli potrzebujesz oprogramowania do sterowania aplikacjami, to nie widzę sensu go zastępować.

Wniosek

Użyj Sandboxie, aby uruchamiać programy w odizolowanym środowisku bez szkody dla systemu i bezpiecznie surfować po Internecie. W przeciwieństwie do zwykłego uruchamiania programu, aplikacja zużywa więcej zasobów systemowych. Dlatego pobieranie trwa dłużej, ale bezpieczeństwo jest tego warte. System nie otrzyma niebezpiecznych komponentów, które mogą zaszkodzić pracy. Użyj Sandboxie do testowania i uruchamiania podejrzanych aplikacji.