Безопасный запуск программ.Программа песочница Sandboxie. Инструменты для запуска приложений в виртуальной среде

Можно бесконечно смотреть на огонь, воду и активность программ, изолированных в песочнице. Благодаря виртуализации ты одним кликом можешь отправить результаты этой деятельности - зачастую небезопасной - в небытие.

Впрочем, виртуализация применяется и в исследовательских целях: например, захотелось тебе проконтролировать воздействие свежескомпилированной программы на систему или запустить две разные версии приложения одновременно. Или создать автономное приложение, которое не будет оставлять следов в системе. Вариантов применения песочницы - множество. Не программа диктует свои условия в системе, а ты ей указываешь дорогу и распределяешь ресурсы.

Если тебя не устраивает медлительность процесса, с помощью тулзы ThinApp Converter ты можешь поставить виртуализацию на поток. Инсталляторы будут создаваться на основе указанного тобой конфига.

Вообще, разработчики советуют производить все указанные препарации в стерильных условиях, на свежей ОС, дабы все нюансы установки были учтены. Для этих целей можно использовать виртуальную машину, но, разумеется, это наложит свой отпечаток на скорость работы. VMware ThinApp и без того неслабо грузит системные ресурсы, причем не только в режиме сканирования. Однако, как говорится, медленно, но верно.

BufferZone

• Сайт: www.trustware.com
• Разработчик: Trustware
• Лицензия: freeware

BufferZone контролирует интернет- и программную активность приложений с помощью виртуальной зоны, вплотную приближаясь к файрволам. Другими словами, здесь применяется виртуализация, регулируемая с помощью правил. BufferZone легко срабатывается в связке с браузерами, мессенджерами, почтовыми и P2P-клиентами.

На момент написания статьи разработчики предупреждали о возможных проблемах при работе с Windows 8. Программа способна убить систему, после чего ее придется удалять через безопасный режим. Виной тому драйверы BufferZone, которые вступают в нешуточный конфликт с ОС.

То, что попадает под радар BufferZone, можно отследить в главном разделе Summary. Число ограниченных приложений ты определяешь сам: для этого предназначен список Programs to run inside BufferZone. В него уже включены потенциально небезопасные приложения вроде браузеров и почтовых клиентов. Вокруг окна захваченного приложения появляется красная рамка, что придает уверенность при безопасном серфинге. Хочешь запустить вне зоны - без проблем, контроль можно обойти через контекстное меню.

Помимо виртуальной зоны, есть такое понятие, как зона приватная. В нее можно добавить сайты, на которых требуется соблюдать строжайшую конфиденциальность. Сразу нужно отметить, что функция работает только в Internet Explorer ретро-версий. В более современных браузерах имеются встроенные средства для обеспечения анонимности.

В разделе Policy настраивается политика по отношению к установщикам и обновлениям, а также программам, запущенным с устройств и сетевых источников. В Configurations также смотри дополнительные опции политики безопасности (Advanced Policy). Имеется шесть уровней контроля, в зависимости от чего меняется отношение BufferZone к программам: без защиты (1), автоматический (2) и полуавтоматический (3), уведомления о запуске всех (4) и неподписанных программ (5), максимальная защита (6).

Как видишь, ценность BufferZone состоит в тотальном интернет-контроле. Если тебе нужны более гибкие правила, то любой файрвол тебе в помощь. В BufferZone он также есть, но больше для галочки: позволяет блокировать приложения, сетевые адреса и порты. С практической точки зрения он малоудобен для активного обращения к настройкам.

Evalaze

• Сайт: www.evalaze.de/en/evalaze-oxid/
• Разработчик: Dögel GmbH
• Лицензия: freeware / commercial (2142 евро)

Главная фишка Evalaze заключается в гибкости виртуализированных приложений: их можно запускать со сменных носителей или из сетевого окружения. Программа позволяет создавать полностью автономные дистрибутивы, функционирующие в эмулированной среде файловой системы и реестра.

Главная особенность Evalaze - это удобный мастер, который понятен без чтения мануала. Вначале ты делаешь образ ОС до установки программы, затем инсталлируешь ее, производишь тестовый запуск, настраиваешь. Далее, следуя мастеру Evalaze, анализируешь изменения. Очень напоминает принцип работы деинсталляторов (например, Soft Organizer).

Виртуализированные приложения могут работать в двух режимах: в первом случае операции записи перенаправляются в песочницу, во втором программа сможет записывать и читать файлы в реальной системе. Будет ли программа удалять следы своей деятельности или нет - решать тебе, опция Delete Old Sandbox Automatic к твоим услугам.

Множество интересных фич доступно только в коммерческой версии Evalaze. Среди них - редактирование элементов окружения (таких как файлы и ключи реестра), импорт проектов, настройка режима чтения. Однако лицензия стоит больше двух тысяч евро, что, согласись, несколько превышает психологический ценовой барьер. По аналогично неподъемной цене предлагается использование сервиса онлайн-виртуализации. В качестве утешения на сайте разработчика есть заготовленные виртуальные приложения-образцы .

Cameyo

• Сайт: www.cameyo.com
• Разработчик: Cameyo
• Лицензия: freeware

Беглый осмотр Cameyo наводит на мысль, что функции аналогичны Evalaze и ты в три клика можешь «слепить» дистрибутив с виртуализированным приложением. Упаковщик делает снимок системы, сравнивает его с изменениями после установки софта и создает экосистему для запуска.

Важнейшее отличие от Evalaze состоит в том, что программа полностью бесплатна и не блокирует ни одной опции. Настройки удобно сосредоточены: переключение способа виртуализации с сохранением на диск или в память, выбор режима изоляции: сохранение документов в указанные директории, запрет на запись или полный доступ. Вдобавок к этому можешь настроить виртуальную среду с помощью редактора файлов и ключей реестра. Каждая папка также имеет один из трех уровней изоляции, который легко переопределить.

Ты можешь указать режим очистки песочницы после выхода из автономного приложения: удаление следов, без очистки и запись изменений реестра в файл. Доступна также интеграция с проводником и возможность привязки к конкретным типам файлов в системе, чего нет даже в платных аналогах Cameyo.

Однако самое интересное - это не локальная часть Cameyo, а онлайн-упаковщик ипубличные виртуальные приложения . Достаточно указать URL или закинуть MSI или EXE-инсталлятор на сервер, указав разрядность системы, - и на выходе получаешь автономный пакет. С этого момента он доступен под крышей твоего облака.

Резюме

Sandboxie будет оптимальным выбором для экспериментов в песочнице. Программа наиболее информативна среди перечисленных инструментов, в ней доступна функция мониторинга. Широкий выбор настроек и неплохие возможности по управлению группой приложений.

Не имеет каких-то уникальных функций, но зато очень проста и безотказна. Любопытный факт: статья писалась внутри этой «песочницы», и по досадной ошибке все изменения ушли в «тень» (читай: астрал). Если бы не Dropbox, на этой странице был бы опубликован совсем другой текст - скорее всего, другого автора.

Evalaze предлагает не комплексный подход виртуализации, а индивидуальный: ты контролируешь запуск конкретного приложения, создав для этого искусственные условия обитания. Здесь есть свои достоинства и недостатки. Впрочем, с учетом урезанности бесплатной версии Evalaze, и достоинства померкнут в твоих глазах.

Cameyo несет в себе некоторый «облачный» привкус: приложение можно скачать с сайта, закинуть на флешку или в Dropbox - это во многих случаях удобно. Правда, наводит на ассоциации с фастфудом: за качество и соответствие содержания описанию ручаться не приходится.

А вот если ты предпочитаешь готовить по рецепту, VMware ThinApp - твой вариант. Это решение для экспертов, которым важен каждый нюанс. Набор уникальных функций дополняется возможностями консоли. Ты можешь конвертировать приложения из командной строки, используя конфиги, сценарии - в индивидуальном и пакетном режиме.

BufferZone представляет собой песочницу с функцией файрвола. Этот гибрид далек от совершенства и актуальности настроек, но для контроля интернет-активности и приложений, защиты от вирусов и прочих угроз BufferZone использовать можно.

Н екоторые массивные приложения (такие, как брендмауэры Outpost Security Suite и Online Armor Premium Firewall, а также скаченные из интернета исполняемые exe- и msi-файлы непонятного содержания) могут нарушить целостность и стабильность системы. Их установка в рабочую ОС может привести к появлению BSOD-экранов при загрузке ОС, изменению параметров браузера, и даже к распространению червей и троянов, что, вполне вероятно, повлечет за собой похищение злоумышленником паролей к аккаунтам соцсетей, используемых вами веб-служб, почтового ящика и пр.

Ранее мы уже писали о популярных методиках тестирования нового ПО в статьях про и . В этом материале мы расскажем о еще одном простом, быстром и эффективном способе запуска любых приложений под Windows в защищенной изолированной среде, и имя ему – песочница Sandboxie.

Что такое песочница?

В области компьютерной безопасности песочницей называют специально выделенную среду, предназначенную для безопасного запуска приложений на ПК. Некоторые комплексные программные продукты включают в свой состав режим безопасной среды (песочницы). К таким приложениям относятся фаерволл Comodo Internet Security, антивирус Avast! (платная версия), разработки в области защиты данных от Лаборатории Касперского. Предмет нашей статьи-инструкции, программа Sandboxie, представляет собой полноценное средство для масштабного тестирования любых программ без внесения изменений в структуру и параметры рабочей операционки. Как с ней работать – читайте дальше.

Скачивание дистрибутива и установка Sandboxie

Прежде, чем приступать к установке, как всегда, нужно скачать инсталляционный пакет в сети. Воспользуемся официальным сайтом проекта.

Хотя разработчики и предлагают платные версии продукта для домашнего и офисного использования, нам вполне подойдет и версия, распространяемая на бесплатной основе. Она не имеет никаких временных ограничений. Единственный минус – это возможность работы только с одной песочницей и недоступность некоторых не слишком критичных параметров.

После загрузки дистрибутива, начнем процедуру инсталляции. Она проходит в 2 фазы. Сперва ставятся системные библиотеки и исполняемые файлы Sandboxie.

На заключительном этапе вам будет предложено установить системный драйвер, представляющий собой ядро приложения. Драйвер будет работать в связке со служебными файлами, время его установки – пару мгновений. Соглашаемся и идем дальше.

Первый запуск песочницы Sandboxie

При первом запуске приложения на экране отобразится список программ, для которых можно улучшить совместимость с песочницей. Несмотря на то, что в этом перечне отображаются далеко не все доступные в ОС приложения, программа песочница автоматически определила, что по умолчанию эти программы не доступны для управления в Sandboxie. Соглашаемся улучшить совместимость, отметив все элементы списка и нажав ОК.

Далее нам предстоит пройти короткое введение для работы с приложением, где можно познакомиться с общим принципом работы программного продукта, механизмом запуска веб-браузера в защищенном режиме, а также функцией удаления содержимого активной песочницы. Руководство очень сжатое, все его содержимое сводится к нескольким нажатиям кнопок для выполнения наиболее востребованных действий и графической иллюстрации с базовой методикой работы сервиса.

Итак, когда мануал исчерпан, можем приступать к работе в изолированной среде. Запустить приложение можно, выбрав соответствующий пункт в меню «Пуск», либо воспользовавшись нажатием на соответствующую пиктограмму в виде «Приложения» (Win 8/8.1).

Альтернативный способ – двойной клик на иконке песочницы Sandboxie в панели задач.

В результате запуска программы на экране появится форма с активной песочницей, доступной пользователю (еще раз напомним, что в бесплатной версии можно создать только одну песочницу). Практически все операции вызываются из этой формы.

Запуск браузера в режиме песочницы

Ну что ж, запустим браузер в защищенном режиме. Для этого можно воспользоваться ярлыком на рабочем столе, либо сделав правый клик на DefaultBox и выбрав в контекстном меню пункт «Запустить в песочнице» -> «Запустить web-браузер». Стоит отметить, что таким образом можно работать с браузером, установленным в системе в качестве активного по умолчанию.

О включении безопасной изолированной среды символизирует желтая грань, окаймляющая браузерную форму.

Как с ней работать? Запустив браузер в песочнице, вы можете свободно заходить на любые, даже потенциально опасные ресурсы без угрозы заражения вашего ПК каким-либо вредоносным кодом. Такой режим наверняка пригодится, если вы ищете ключи для программ, кряки, либо вы под своим присмотром усадили за компьютер ребенка, и опасаетесь, что он может оказать вред системе путем перехода на небезопасные ресурсы через баннеры, или же изменить настройки браузера, поставив очередное «супер-уникальное» дополнение. Все загруженные с помощью этого браузера файлы также не будут иметь доступа к рабочей системе.

При попытке скачать посредством работающего в песочнице браузера какой-либо файл, обратите внимание на заголовок формы для задания имени сохранения. Название такой формы обрамляется двумя символами #, что говорит о том, что при сохранении объект будет помещен в оболочку Sandboxie Windows и не будет доступен на обычном дисковом устройстве.

То же самое касается и запускаемых программ.

По умолчанию, загружаемые из сети файлы предлагается поместить в папку Desktop или Downloads. Эти каталоги подходят для работы с песочницей.

Как убедиться, что скаченный файл в песочнице сохранен?

В верхнем меню выберите пункт Вид и отметьте галочкой опцию Файлы и папки. Перед вами откроется дерево доступных дисков и пользовательских каталогов, с которыми можно работать в защищенном режиме. Откройте нужную вам папку и убедитесь, что соответствующие файлы там есть.

Можно ли извлечь файл из песочницы, поместив его в аналогичную папку на обычном служебном диске?

Разумеется, для этого выполните правый клик на файле для восстановления, и в контекстном меню выберите пункт «Восстановить в ту же папку». После этого файл будет извлечен.

К доступным для сохранения папкам можно добавить и новые пути, указав их на форме Настройки песочницы, категория Восстановление -> раздел Быстрое восстановление.

Чтобы открыть форму Настройки песочницы, зайдите в верхнее меню в опцию Песочница, далее выберите подпункт DefaultBox и в появившемся контекстном меню кликните на элемент Настройки песочницы.

Как установить в песочницу новое приложение?

Щелкните правой кнопкой мыши на соответствующем дистрибутиве, сохраненном в изолированной среде либо в стандартной ОС, и выберите в меню пункт «Запустить в песочнице»

Далее последует штатная процедура инсталляции, с которой можно разобраться буквально в два счета. Единственный нюанс: если вы хотите протестировать 64-разрядную программу, перед установкой добавьте в настройках песочницы Sandboxie путь к папке “C:\Program Files”, поскольку по умолчанию может присутствовать лишь путь к системному каталогу “C:\Program Files (x86)”. Сделать это можно опять же в меню Быстрое восстановление. Для вступления изменений в силу нажмите кнопку «Применить» и перезапустите инсталляцию, если процесс уже запущен.

Как запустить в песочнице программу?

Пользователю доступно два способа запуска приложения в защищенной среде.

Первый – это контекстное меню, вызываемое из пункта Песочница в верхнем меню Sandboxie. Здесь можно запустить что-угодно: от внешнего почтового клиента до консольного демона, предназначенного для сжатия файлов в альтернативный аудио-формат.

Второй способ – это воспользоваться интеграцией Sandboxie с проводником Windows. Для этого нужно выполнить правый клик на нужной вам программе на обычном рабочем дисковом устройстве и выбрать вариант «Запустить в песочнице».

Итоги

В целом, нужно сказать, что на 64-битных операционных системах последнего поколения программа чувствует себя не очень уверенно. Случаются периодические вылеты, появляются окна с уведомлением о попытке немедленного восстановления запущенных процессов. Однако, немного поигравшись с настройками, можно сделать так, чтобы песочница Sandboxie работала стабильно, эффективно и без всяких оговорок, а благодаря интеграции с проводником, запуск приложений проходит гладко и плавно. Наряду с другими методами виртуализации, данный механизм представляет собой отличное средство отладки и тестирования приложений, которое пригодится для детального изучения взаимодействия программного продукта с рабочей операционной средой.

Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

WARNING

Неправильное использование описанной методики может нанести вред системе и привести к заражению! Будь внимателен и осторожен.

«Песочница» для анализа

Люди, которые занимаются компьютерной безопасностью, хорошо знакомы с концепцией «песочницы». Если вкратце, «песочница» - эта тестовая среда, в которой выполняется некая программа. При этом работа налажена таким образом, что все действия программы отслеживаются, все изменяемые файлы и настройки сохраняются, но в реальной системе ничего не происходит. В общем, можешь запускать любые файлы в полной уверенности, что на работоспособность системы это никак не повлияет. Такие инструменты можно использовать не только для обеспечения безопасности, но и для анализа тех действий зловреда, которые он выполняет после запуска. Еще бы, ведь если есть слепок системы до начала активных действий и картина того, что произошло в «песочнице», можно легко отследить все изменения.

Конечно, в Сети есть масса готовых онлайн-сервисов, которые предлагают анализ файлов: Anubis , CAMAS , ThreatExpert , ThreatTrack . Подобные сервисы используют разные подходы и имеют свои достоинства и недостатки, но можно выделить и общие основные минусы:

Необходимо иметь доступ к интернету. Необходимо ждать очереди в процессе обработки (в бесплатных версиях). Как правило, файлы, создаваемые или изменяемые в ходе выполнения, не предоставляются. Невозможно контролировать параметры выполнения (в бесплатных версиях). Невозможно вмешиваться в процесс запуска (например, нажимать на кнопки появляющихся окон). Как правило, невозможно предоставлять специфические библиотеки, необходимые для запуска (в бесплатных версиях). Как правило, анализируются только исполняемые РЕ-файлы.

Такие сервисы чаще всего строятся на основе виртуальных машин с установленным инструментарием, вплоть до отладчиков ядра. Их можно организовать и дома. Однако эти системы достаточно требовательны к ресурсам и занимают большой объем на жестком диске, а анализ логов отладчика уходит много времени. Это значит, что они весьма эффективны при глубоком исследовании определенных образцов, но вряд ли смогут оказаться полезными в рутинной работе, когда нет возможности нагружать ресурсы системы и тратить время на анализ. Использование «песочницы» для анализа позволяет обойтись без огромных затрат ресурсов.

Пара предупреждений

Сегодня мы попробуем сделать свой собственный анализатор на основе «песочницы», а именно утилиты Sandboxie. Эта программа доступна как условно-бесплатная на сайте автора www.sandboxie.com . Для нашего исследования вполне подойдет ограниченная бесплатная версия. Программа запускает приложения в изолированной среде, так что они не производят вредоносных изменений в реальной системе. Но тут есть два нюанса:

1. Sandboxie позволяет отслеживать только программы на уровне user mode. Вся деятельность вредоносного кода в режиме ядра не отслеживается. Поэтому максимум, что удастся узнать при изучении руткитов - это каким образом вредонос внедряется в систему. Проанализировать само поведение на уровне kernel mode, к сожалению, невозможно.
2. В зависимости от настроек Sandboxie может блокировать выход в Сеть, разрешать полный доступ или доступ только для отдельных программ. Понятно, что, если для нормального запуска вредоносу нужен выход в интернет, необходимо его предоставить. С другой стороны, если у тебя на флешке валяется Pinch, который запускается, собирает все пароли в системе и отправляет их на ftp злоумышленнику, то Sandboxie с открытым доступом в интернет не защитит тебя от потери конфиденциальной информации! Это очень важно, и об этом следует помнить.

Первичная настройка Sandboxie

Sandboxie - великолепный инструмент с большим количеством настроек. Упомяну лишь те из них, которые необходимы для наших задач.

После установки Sandboxie автоматически создается одна «песочница». Ты можешь добавить еще несколько «песочниц» под разные задачи. Доступ к настройкам «песочницы» осуществляется через контекстное меню. Как правило, все параметры, которые можно изменять, снабжены достаточно подробным описанием на русском языке. Для нас особенно важны параметры, перечисленные в разделах «Восстановление», «Удаление» и «Ограничения». Итак:

1. Необходимо убедиться, что в разделе «Восстановление» ничего не указано.
2. В разделе «Удаление» не должны быть никаких проставлены галки и/или отмечены добавленные папки и программы. Если неправильно выставить параметры в разделах, указанных в пунктах 1 и 2, это может привести к тому, что вредоносный код заразит систему или все данные для анализа будут уничтожены.
3. В разделе «Ограничения» необходимо выбрать настройки, соответствующие твоим задачам. Практически всегда необходимо ограничивать доступ низкого уровня и использование аппаратных средств для всех выполняемых программ, чтобы не допустить заражения системы руткитами. А вот ограничивать доступ на запуск и выполнение, а также забирать права, наоборот, не стоит, иначе подозрительный код будет выполняться в нестандартной среде. Впрочем, всё, в том числе и наличие доступа к интернету, зависит от задачи.
4. Для наглядности и удобства в разделе «Поведение» рекомендуется включить опцию «Отображать границу вокруг окна» и выбрать цвет для выделения программ, выполняемых в ограниченной среде.

Подключаем плагины

В несколько кликов мы получили отличную изолированную среду для безопасного выполнения кода, но не инструмент для анализа его поведения. К счастью, автор Sandboxie предусмотрел возможность использования целого ряда плагинов для своей программы. Концепция довольно интересна. Аддоны представляют собой динамические библиотеки, внедряемые в выполняемый в «песочнице» процесс и определенным образом регистрирующие или модифицирующие его выполнение.

Нам понадобится несколько плагинов, которые перечислены ниже.

1. SBIExtra . Этот плагин осуществляет перехват ряда функций для выполняемой в песочнице программы, чтобы блокировать следующие возможности:
   • обзор исполняемых процессов и потоков;
   • доступ к процессам вне пределов «песочницы»;
   • вызов функции BlockInput (ввод с клавиатуры и мыши);
   • считывание заголовков активных окон.
2. Antidel . Аддон перехватывает функции, отвечающие за удаление файлов. Таким образом, все временные файлы, команда на удаление которых поступает от исходного кода, все равно остаются на своих местах.

Как интегрировать их в «песочницу»? Поскольку это не предусмотрено средствами интерфейса Sandboxie, редактировать файл конфигурации придется вручную. Создаем папку Plugins и распаковываем в нее все подготовленные плагины. Теперь внимание: в состав Buster Sandbox Analyzer входит несколько библиотек с общим именем LOG_API*.dll, которые могут инжектироваться в процесс. Есть два типа библиотек: Verbose и Standard. Первый отображает практически полный список вызовов API, выполняемых программой, включая обращения к файлам и реестру, второй - сокращенный список. Сокращение позволяет ускорить работу и уменьшить журнал, который затем придется анализировать. Лично я не боюсь больших логов, зато опасаюсь того, что какая-нибудь нужная инфа будет заботливо «сокращена», поэтому выбираю Verbose. Именно эту библиотеку мы и будем инжектировать. Чтобы зловред не смог заметить инжект библиотеки по ее имени, применим простейшую меру предосторожности: сменим имя LOG_API_VERBOSE.dll на любое другое, например LAPD.dll.

Теперь в главном окне Sandboxie выбираем «Настроить -> Редактировать конфигурацию». Откроется текстовый конфиг со всеми настройками программы. Сразу обращаем внимание на следующие строки:

• Параметр FileRootPath в разделе указывает общий путь к папке изолированной среды, то есть к папке, где будут находиться все файлы «песочницы». У меня этот параметр имеет вид FileRootPath=C:\Sandbox\%SANDBOX%, у тебя он может отличаться.
• Раздел нас не интересует - его пропускаем и листаем дальше.
• Затем идет раздел, имя которого совпадает с названием «песочницы» (пусть это будет BSA). Сюда мы и будем добавлять плагины:InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD.dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пути, конечно, могут отличаться. Но порядок инжектируемых библиотек обязательно должен быть именно таким! Это требование связано с тем, что перехват функций должен осуществляться именно в указанном порядке, иначе плагины работать не будут. Чтобы применить изменения, выбираем в главном окне Sandboxie: «Настроить -> Перезагрузить конфигурацию».

Теперь настроим сам плагин Buster Sandbox Analyzer.

1. Запускаем плагин вручную, воспользовавшись файлом bsa.exe из папки Plugins.
2. Выбираем «Options -> Analysis mode –> Manual» и далее «Options -> Program Options -> Windows Shell Integration -> Add right-click action «Run BSA»».

Теперь всё готово для работы: наша «песочница» интегрирована в систему.

Portable-версия «песочницы»

Безусловно, многим не понравится, что надо что-то устанавливать, настраивать и т. д. Так как меня всё это тоже не прельщает, я сделал портабельную версию инструмента, который можно запускать без установки и настройки, прямо с флешки. Скачать такую версию можно здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip . Для запуска «песочницы» достаточно выполнить скрипт start.cmd, а по окончании работы не забыть выполнить скрипт stop.cmd, который полностью выгрузит драйвер и все компоненты из памяти, а также сохранит внесенные в ходе работы изменения в портабеле.

Настроек у самого портабелизатора совсем не много: его работа в основном основана на манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates. По сути, этот файл представляет собой файл настроек Sandboxie, который должным образом обрабатывается и передается программе, а по окончании работы перезаписывается обратно в Templates. Если открыть этот файл «Блокнотом», то ты вряд ли найдешь что-то интересное. Нужно обязательно обратить внимание на шаблон $(InstallDrive), повторяющийся в ряде параметров пути. Особенно нас интересует параметр FileRootPath. Если он имеет следующий вид:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

То «песочницы» будут создаваться на диске, где находится портабельная Sandboxie. Если же параметр имеет, например, такой вид:

FileRootPath=C:\Sandbox\%SANDBOX%

Иначе говоря в нем указан определенный системный диск, то «песочницы» будут создаваться на этом диске.

Лично я рекомендую всегда создавать песочницы на локальных дисках. Это ускоряет работу инструмента, а при запуске с флешки - ускоряет на порядки. Если же тебя настолько замучила паранойя, что хочется всё запускать и анализировать на любимом носителе, который ты носишь у сердца, то параметр можно поменять, но тогда хотя бы используй портабельные жесткие диски, чтобы всё безбожно не тормозило.

Практическое применение

Попробуем наш инструмент на реальной угрозе. Чтобы никто не упрекнул меня в подтасовке, я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее, что там появилось на момент написания статьи. Это оказался премилый файл pp.exe с какого-то зараженного сайта. Одно только название внушает большие надежды, кроме того, на этот файл сразу заорал мой антивирус. К слову, все наши манипуляции лучше производить при отключенном антивирусе, иначе мы рискуем заблокировать/удалить что-нибудь из того, что исследуем. Как изучить поведения бинарника? Просто нажимаем правой кнопкой на этот файл и выбираем в выпавшем меню пункт Run BSA. Откроется окно Buster Sandbox Analyzer. Внимательно смотрим в строку Sandbox folder to check. Все параметры должны совпадать с теми, которые мы указали при настройке Sandboxie, то есть если песочница получила название BSA, а в качестве пути к папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то вс,ёе должно быть как на скриншоте. Если же ты знаешь толк в извращениях и назвал песочницу по-другому или настроил параметр FileRootPath на другой диск или папку, его нужно изменить соответствующим образом. В противном случае Buster Sandbox Analyzer не будет знать, где искать новые файлы и изменения в реестре.

BSA включает в себя массу настроек по анализу и изучению процесса выполнения бинарника, вплоть до перехвата сетевых пакетов. Смело нажимай кнопку Start Analysis. Окно перейдет в режим анализа. Если песочница, выбранная для анализа, по каким-то причинам содержит результаты предыдущего исследования, утилита предложит предварительно ее очистить. Все готово к запуску исследуемого файла.

Готов? Тогда нажми на изучаемый файл правой кнопкой мыши и в открывшемся меню выбери «Запустить в песочнице», после чего укажи ту «песочницу», к которой мы прикрутили BSA.

Сразу после этого в окне анализатора побегут API-вызовы, которые будут фиксироваться в лог-файлах. Обрати внимание, что сам Buster Sandbox Analyzer не знает, когда завершится анализ процесса, фактически сигналом к окончанию служит именно твое жмакание на кнопку Finish Analysis. Как же узнать, что время уже наступило? Тут может быть два варианта.

1. В окне Sandboxie не отображается ни один выполняемый процесс. Это означает, что выполнение программы явно завершилось.
2. В списке API-вызовов долгое время не появляется ничего нового или, наоборот, одно и то же выводится в циклической последовательности. При этом в окне Sandboxie что-то еще выполняется. Такое бывает, если программа настроена на резидентное выполнение или попросту зависла. В этом случае ее необходимо вначале завершить вручную, нажав правой кнопкой в окне Sandboxie на соответствующую «песочницу» и выбрав «Завершить программы». Кстати, при анализе моего pp.exe произошла именно такая ситуация.

После этого можно смело выбирать Finish Analysis в окне Buster Sandbox Analyzer.

Анализ поведения

Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:\Documents and Settings\Администратор\Application Data\dplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу http://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user - файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Что умеет и не умеет инструмент

Полученный инструмент умеет:

• Отслеживать API-вызовы запущенного приложения.
• Отслеживать новые создаваемые файлы и параметры реестра.
• Перехватывать сетевой трафик при выполнении приложения.
• Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
• Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.

Этот инструмент не может:

• Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
• Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

Таким образом, ты получишь sandbox.reg, в котором указаны строки, внесенные зловредом в ходе выполнения. После выполнения анализа выбери в меню Options пункт Cancel analysis, чтобы вернуть всё как было. Учти, что после этой операции все журналы анализа будут удалены, но содержимое «песочницы» останется на месте. Впрочем, при следующем запуске программа сама предложит все удалить.

То мы решили кратенько затронуть эту тему.

По сути "песочница" представляет собой изолированную программную среду с жестко ограниченными ресурсами для выполнения в рамках этой среды программного кода (говоря просто, - запуска программ). В некотором роде "песочница" это такая себе урезанная , предназначенная для изоляции сомнительных процессов в целях безопасности.

Некоторая часть хороших антивирусов и фаерволлов (правда, как правило, в платном своём варианте) используют этот метод без Вашего ведома, некоторые позволяют управлять этим функционалом (т.к всё таки он создает излишнее ресурсопотребление), но так же существуют и программы, которые позволяют реализовывать подобный функционал.

Об одной из таковых мы сегодня и поговорим.

Sandboxie - обзор, настройка и загрузка

Как Вы поняли из заголовка и подзаголовка, мы будем вести речь о программе Sandboxie .

К сожалению, она условно-бесплатная, но тот же бесплатный период поможет Вам познакомится с этим типом инструментов поближе, что, возможно, в дальнейшем таки подтолкнет Вас к более подробному изучению , которая, в большинстве своём, существует в бесплатном виде и предоставляет больше возможностей.

Далее Вам предложат пройти краткий курс по работе с программой, точнее немного расскажут о том как оно работает. Пройдите все шесть этапов, желательно, внимательно читая написанное в предоставленной Вам инструкции.

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Если говорить кратко, то по сути, Вы можете запустить любую программу в рамках изолированной среды. В инструкции, если Вы её таки читали, достаточно хорошо приведена метафора на тему того, что по сути, песочница представляет собой кусок прозрачной бумаги, помещенной между программой и компьютером и удаление содержимого песочницы чем-то похоже на отбрасывание использованного листа бумаги и его содержимого, с, что логично, последующей заменой на новый.

Как настроить и использовать программу-песочницу

Теперь давайте попробуем понять как с этим работать. Для начала Вы можете попробовать запустить, скажем, браузер, в "песочнице". Чтобы это сделать, собственно, либо воспользуйтесь ярлыком, который появился у Вас на рабочем столе, либо используйте в главном окне программы, элементы меню: "DefaultBox - Запустить в песочнице - Запустить Web-браузер ", либо, если Вы хотите запустить браузер, который не установлен в системе как браузер по умолчанию, то используйте пункт "Запустить любую программу " и укажите путь к браузеру (или программе).

После этого, собственно, браузер будет запущен в "песочнице" и Вы увидите его процессы в окне Sandboxie . С этого момента всё происходящее происходит в, как уже неоднократно говорилось, изолированной среде и, допустим, вирус, использующий кеш браузера как элемент для проникновения в систему, собственно, не сможет толком ничего сделать, т.к по завершению работы с изолированной средой.. Вы можете её очистить, выкинув, как говорилось в метафоре, исписанный лист и перейдя к новому (при этом никак не трогая целостность компьютера как такового).

Для очистки содержимого песочницы (если оно Вам не нужно), в главном окне программе или в трее (это где часы и прочие иконки) используйте пункт "DefaultBox - Удалить содержимое ".

Внимание ! Удалится лишь та часть , что писалась и работала в изолированной среде, т.е, допустим, сам браузер, удалён с компьютера не будет, а вот перенесенная в него.. ммм.. условно говоря, копия процесса, созданный кеш, сохраненные данные (вроде скаченных/созданных файлов) и тп, будут удалены, если Вы их не сохраните.

Чтобы глубже понять принцип работы, попробуйте несколько раз позапускать браузер и другой софт в песочнице, скачивая различные файлы и удаляя/сохраняя содержимое по завершению работы с этой самой песочницей, а потом, допустим, запуская тот же браузер или программу уже непосредственно на компьютере. Поверьте, Вы поймете суть на практике лучше, чем её можно объяснить словами.

Кстати говоря, по нажатию на правую кнопку мышки на процессе в списке процессов окна Sandboxie Вы можете управлять доступом к разного рода ресурсам компьютера в в обход песочницы, выбрав пункт "Доступ к ресурсам ".

Грубо говоря, если Вы хотите рискнуть и дать, например, тому же Google Chrome, прямой доступ к какой-либо папке на компьютере, то Вы можете сделать это на соответствующей вкладке (Доступ к файлам - Прямой/полный доступ ) с использованием кнопки "Добавить ".

Логично, что песочница предназначена не только и не столько для работы с браузером и хождению по разного рода сомнительным сайтам, но и для запуска приложений, которые кажутся Вам подозрительными (особенно, например, на работе (где зачастую ), запускают сомнительные файлы из почты или флешек) и/или, не должны иметь доступа к основным ресурсам компьютера и/или оставлять там лишних следов.

Кстати говоря, последнее может быть хорошим элементом для защиты , т.е для запуска какого-либо приложения, данные которого, должны быть начисто изолированы и удалены по завершению работы.

Конечно данные из песочницы не обязательно удалять по завершению и работать с некоторыми программами только в изолированной среде (прогресс запоминается и существует возможность быстрого восстановления), но делать это или нет, - дело Ваше.

При попытке запуска некоторых программ Вы можете столкнуться с вышепоказанной проблемой. Не стоит её пугаться, достаточно, для начала, просто нажать в "ОК ", а, в дальнейшем, открыть настройки песочницы методом "DefaultBox - Настройки песочницы " и на вкладке "Перенос файлов " задать чуть больший размер для опции переноса файлов.

О других настройках мы сейчас говорить не будем, но, если они Вам интересны, то Вы легко можете разобраться с ними самостоятельно, благо всё на русском языке, предельно понятно и доступно.. Ну, а если возникнут вопросы, то Вы можете задать их в комментариях к этой записи.

На сим, пожалуй, можно переходить к послесловию.

Послесловие

Ах да, чуть не забыли, само собой, что песочница потребляет повышенное количество ресурсов машины, т.к откусывает (виртуализирует) часть мощностей, что, естественно, создаёт нагрузку, отличную от запуска напрямую. Но, логично, что безопасность и/или конфиденциальность может того стоит.

Кстати говоря, использование песочниц, chroot или виртуализации, частично относится к методологиии безантивирусной безопасности, которой мы .

На сим, пожалуй, всё. Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.

Так называемая песочница (англ. sandbox) – это относительно новая функция в условно-бесплатных пакетах антивируса Avast! Pro и Avast! Internet Security. Это особая модель безопасности, благодаря которой пользователь может посещать веб-сайты и запускать разнообразные приложения, находясь при этом в безопасной среде. Данная функция помогает избежать вирусов при случайном переходе на потенциально . При попадании на вредоносный ресурс браузер будет автоматически помещен в «песочницу», а посему заражение компьютера будет предотвращено.

В бесплатных версиях антивируса Avast! «песочница» отсутствует.

Новую функцию можно также запускать самостоятельно при включении посторонних программ, кажущихся вам подозрительными или ненадежными. Просто запустите программу в «песочнице», и вы узнаете, действительно ли она представляет опасность, или ваши опасения беспочвенны. При проверке программы ваша система будет находиться под защитой «Аваст». «Песочницей» часто пользуются при проверке софта, скачанного из интернета.

Как воспользоваться «песочницей»

Для того чтобы запустить сомнительное приложение или выйти в интернет через «песочницу», кликните на запросе «запустить виртуализированный процесс». После этого перейдите к нужной вам программе на компьютере. Браузер или приложение запустятся в новом специальном окне, обрамленном красной рамкой, указывающей на то, что программа успешно запущена из «песочницы».

Во вкладке «расширенные настройки» вы можете назначить приложения, которые не нужно виртуализировать, а также те, которые следует запускать из «песочницы» всегда.

Характерная особенность «песочницы» – возможность встраивания в контекстное меню. Чтобы подключить данную опцию, в окне «Параметры» установите флажок напротив графы «встроить в контекстное меню, запускаемое правым щелчком мыши». Опцию можно сделать доступной как для всех пользователей, так и для пользователей, обладающих правами администратора. С ее помощью вы сможете запускать любое приложение в «песочнице», всего лишь кликнув по ярлыку правой кнопкой мыши и выбрав команду «запустить с ».

Обратите внимание: если вы щелкнете правой кнопкой мыши по приложению, помещенному в «песочницу», в открывшемся контекстном меню вы можете выбрать команду однократного запуска вне «песочницы» либо удаления приложения из нее.

Интернет и компьютерные технологии полностью захватили современный мир. Сейчас почти у каждого человека есть электронный девайс, с помощью которого он в любое время и в любом месте может найти необходимую информацию в Интернете или пообщаться с друзьями по чату. Но не стоит забывать, что иногда за этим таится и скрытая угроза – вирусы и вредоносные файлы, созданные и запущенные в глобальную сеть для заражения данных пользователей. Помимо стандартных антивирусов были созданы программы-«песочницы», помогающие предотвратить их доступ в компьютер.

Назначение и принцип программы

Программы-«песочницы» предназначены для обеспечения безопасности компьютера во время серфинга в интернете или исполнения разнообразных программ. Говоря более простым языком, можно сказать, что эта программа представляет собой некое ограниченное виртуальное пространство, в котором и осуществляются все действия пользователя. Программа, которую запустили в то время, как работает «песочница», работает только в этой среде и, если -либо вредоносный вирус, то его доступ к системным файлам блокируется.

Плюсы «песочницы»

Пожалуй, первое достоинство этого приложения можно вынести из абзаца выше – оно ограничивает доступ вредоносных файлов в систему. Даже если вирусы, например, трояны или черви, были подхвачены во время серфинга в интернете, но в это время пользователь работал при включенной «песочнице», вирусы не проникнут никуда более, а при очистке «песочницы» и вовсе будут удалены с компьютера без следа. Кроме того, такие программы помогают ускорять компьютер. Так как в большинстве своем деятельность «песочницы» связана с работой в браузерах, каждый раз запуская его (Google Chrome, Opera, Mozilla Firefox), перед пользователем будет открываться абсолютно чистый и будто заново установленный браузер, который не имеет обычно тормозящего мусора – «кэша».

Минусы «песочницы»

Таковые тоже имеются, и самым главным является удаление личных данных, будь то закладки, сохраненные при работе в интернете страницы или даже история. Программа не настроена на то, чтобы распознавать, что именно является вредным для устройства, поэтому при очистке с нее безвозвратно удаляются абсолютно все данные. Пользователю надо это учитывать и при необходимости синхронизировать нужные закладки или использовать специальные приложения, предназначенные для сохранения подобных данных.

На настоящий момент существует много наименований подобных программ, среди известных можно выделить такие, как Sandboxie, Comodo Internet Security и др. Каждый выбирает ту, которая ему приходится более удобной и понятной. В любом случае не стоит забывать и о минусах этих программ и использовать их аккуратно.

Avast – это одна из антивирусных программ. Установка и регистрация ее максимально просты. Есть версии для ПК и мобильных устройств. При этом лицензию на первый год использования можно получить абсолютно бесплатно. Avast предлагает разные дополнительные опции защиты. Также здесь реализована возможность добавления исключений.

Вам понадобится

• Компьютер, мобильное устройство, интернет.

Инструкция

Внутри экрана файловой системы нажмите кнопку «Настройки», далее выберите вкладку «Исключения». Нажав на «Обзор», вы увидите содержимое жесткого диска. Осуществите выбор исключений, отметив нужные папки или файлы двойным щелчком и нажав на ОК. Подтвердите свой выбор в следующем окне, еще раз нажав на ОК.