Pokrenite datoteku u mrežnom sandboxu. Sandbox za prozore

Neke masivne aplikacije (kao što su Outpost Security Suite i Online Armor Premium Firewall vatrozidi, kao i izvršne exe i msi datoteke nerazumljivog sadržaja preuzete s Interneta) mogu poremetiti integritet i stabilnost sustava. Njihova instalacija u radni OS može dovesti do pojave BSOD ekrana prilikom učitavanja OS-a, promjena u postavkama preglednika, pa čak i širenja crva i trojanaca, što će vjerojatno rezultirati krađom lozinki od napadača za račune društvenih mreža, web servise ti koristiš, poštanski sandučić itd.

Prethodno smo pisali o popularnim metodama za testiranje novog softvera u člancima o i. U ovom materijalu ćemo govoriti o još jednom jednostavnom, brzom i učinkovit način pokretanje bilo koje aplikacije pod Windowsima u zaštićenom, izoliranom okruženju, a zove se Sandboxie sandbox.

Što je sandbox?

U području računalne sigurnosti, sandbox je posebno namjensko okruženje dizajnirano za sigurno pokretanje aplikacija na računalu. Neki složeni softverski proizvodi uključuju način sigurnog okruženja (sandbox). Takve aplikacije uključuju vatrozid Comodo Internet Sigurnost Antivirus Avast! (plaćena verzija), razvoj na području zaštite podataka tvrtke Kaspersky Lab. Predmet našeg članka-uputa, program Sandboxie, punopravni je alat za opsežno testiranje bilo kojeg programa bez mijenjanja strukture i parametara operativnog sustava. Kako raditi s njim - pročitajte dalje.

Preuzimanje distribucije i instaliranje Sandboxie

Prije početka instalacije, kao i uvijek, trebate preuzeti instalacijski paket na liniji. Iskoristimo službena stranica projekt.

Iako programeri nude plaćene verzije proizvoda za kućnu i uredsku upotrebu, inačica koja se besplatno distribuira sasvim nam je prikladna. Nema vremenskih ograničenja. Jedini nedostatak je mogućnost rada sa samo jednim sandboxom i nedostupnost nekih ne baš kritičnih parametara.

Nakon preuzimanja distribucije, započnimo postupak instalacije. Odvija se u 2 faze. Prvo su stavili knjižnice sustava i izvršne datoteke Sandboxie.

Na završna faza od vas će se tražiti da instalirate upravljački program sustava, koji je srž aplikacije. Upravljački program će raditi zajedno sa servisnim datotekama, vrijeme njegove instalacije će trajati nekoliko trenutaka. Dogovaramo se i idemo dalje.

Prvo lansiranje sandboxa Sandboxie

Kada prvi put pokrenete aplikaciju, zaslon će prikazati popis programa za koje možete poboljšati kompatibilnost sandboxa. Unatoč činjenici da nisu sve aplikacije dostupne u OS-u prikazane na ovom popisu, program sandbox automatski je utvrdio da prema zadanim postavkama ti programi nisu dostupni za upravljanje u Sandboxiju. Suglasni smo s poboljšanjem kompatibilnosti označavanjem svih stavki na popisu i klikom na OK.

Zatim, moramo proći kroz kratki uvod u rad s aplikacijom, gdje se možete upoznati opći princip raditi softverski proizvod, mehanizam za pokretanje web preglednika u zaštićenom načinu rada, kao i funkciju za brisanje sadržaja aktivnog sandboxa. Priručnik je vrlo koncizan, sav njegov sadržaj sveden je na nekoliko pritisaka na tipke za izvođenje najpopularnijih radnji i grafičku ilustraciju s osnovnom metodologijom usluge.

Dakle, kada se priručnik iscrpi, možemo početi raditi u izoliranom okruženju. Aplikaciju možete pokrenuti odabirom odgovarajuće stavke u izborniku “Start” ili klikom na odgovarajuću ikonu u obliku “Aplikacije” (Win 8/8.1).

Alternativni način je dvaput kliknuti na ikonu Sandboxie sandbox na programskoj traci.

Kao rezultat pokretanja programa, na zaslonu će se pojaviti obrazac s aktivnim sandboxom, dostupna korisniku(podsjetimo vas još jednom da u besplatnoj verziji možete kreirati samo jedan sandbox). Gotovo sve operacije se pozivaju iz ove forme.

Pokretanje preglednika u modu sandboxa

Pa, pokrenimo preglednik u zaštićenom načinu rada. Da biste to učinili, možete koristiti prečac na radnoj površini ili desnom tipkom miša kliknuti na DefaultBox i odabrati “Run in sandbox” -> “Launch web browser” iz kontekstnog izbornika. Vrijedno je napomenuti da na ovaj način možete raditi s preglednikom instaliranim na sustavu kao aktivnim prema zadanim postavkama.

O omogućavanju sigurnog izolirano okruženje simboliziran žutim rubom koji obrubljuje obrazac preglednika.

Kako raditi s njim? Pokretanjem preglednika u sandboxu možete slobodno pristupiti svim, čak i potencijalno opasnim, resursima bez prijetnje zaraze vašeg računala bilo kojim zlonamjernim kodom. Ovaj mod će vam svakako dobro doći ako tražite ključeve za programe, crackove ili ste stavili dijete pod nadzor za računalo i bojite se da bi moglo naštetiti sustavu prelaskom na nesigurne resurse preko bannera ili promjenom postavke preglednika postavljanjem sljedećeg "super jedinstvenog" dodatka. Sve datoteke preuzete pomoću ovog preglednika također neće imati pristup radnom sustavu.

Kada pokušavate preuzeti datoteku pomoću preglednika u sandboxu, obratite pozornost na zaglavlje obrasca za navođenje naziva za spremanje. Naziv takvog obrasca uokviren je s dva simbola #, što znači da će prilikom spremanja objekt biti smješten u Sandboxie Windows ljusku i neće biti dostupan na uobičajenom disk uređaj.

Isto vrijedi i za pokrenute programe.

Prema zadanim postavkama, datoteke preuzete s mreže nude se za smještaj u mapu Radna površina ili Preuzimanja. Ovi su imenici prikladni za sandboxing.

Kako provjeriti je li preuzeta datoteka spremljena u sandbox?

U gornji izbornik Odaberite Pregled i označite opciju Datoteke i mape. Vidjet ćete stablo dostupnih diskova i korisničkih direktorija s kojima možete raditi u zaštićenom načinu rada. Otvorite mapu koja vam je potrebna i provjerite jesu li tamo odgovarajuće datoteke.

Je li moguće izvući datoteku iz sandboxa stavljanjem u sličnu mapu na običnom servisnom pogonu?

Naravno, da biste to učinili, desnom tipkom miša kliknite datoteku koju želite vratiti iu kontekstnom izborniku odaberite "Vrati u istu mapu". Nakon toga, datoteka će biti ekstrahirana.

Također možete dodati nove staze do mapa dostupnih za spremanje tako da ih navedete u obrascu Postavke sandboxa, kategorija Oporavak -> odjeljak Brz oporavak.

Za otvaranje obrasca Sandbox Settings idite na opciju Sandbox u gornjem izborniku, zatim odaberite podstavku DefaultBox i u kontekstnom izborniku koji se pojavi kliknite na element Sandbox Settings.

Kako instalirati novu aplikaciju u sandbox?

Desnom tipkom miša kliknite odgovarajuću distribuciju spremljenu u izoliranom okruženju ili u standardnom OS-u i odaberite "Run in sandbox" iz izbornika

Sljedeće će uslijediti standardni postupak instalacija koja se može riješiti doslovno u tren oka. Jedino upozorenje: ako želite testirati 64-bitni program, prije instalacije dodajte put do mape “C:\Program Files” u postavkama Sandboxie sandboxa, budući da prema zadanim postavkama može postojati samo put do direktorija sustava “C:\Programske datoteke (x86)” . To možete ponovno učiniti u izborniku Quick Recovery. Kako bi promjene stupile na snagu, kliknite gumb "Primijeni" i ponovno pokrenite instalaciju ako je proces već pokrenut.

Kako pokrenuti program u sandboxu?

Korisnik ima dva načina za pokretanje aplikacije u sigurnom okruženju.

Prvi je kontekstni izbornik, poziva se iz stavke Sandbox u glavnom izborniku Sandboxie. Ovdje možete pokrenuti bilo što: od vanjskog klijenta e-pošte do demona konzole dizajniranog za komprimiranje datoteka u alternativni audio format.

Drugi način je korištenje Sandboxie integracije s Windows Explorerom. Da biste to učinili, trebate desnom tipkom miša kliknuti program koji vam je potreban na redovnom radnom disku i odabrati opciju "Pokreni u sandboxu".

Rezultati

Općenito, mora se reći da na 64-bitnim operativnim sustavima najnovija generacija Program ne djeluje baš pouzdano. Povremeno se događaju rušenja, pojavljuju se prozori s obavijesti o pokušaju trenutnog vraćanja pokrenuti procesi. No, uz malo petljanja po postavkama, možete postići da Sandboxie sandbox radi stabilno, učinkovito i bez ikakvih zadrški, a zahvaljujući integraciji s Explorerom, pokretanje aplikacija je glatko i glatko. Zajedno s drugim metodama virtualizacije, ovaj mehanizam izvrstan je alat za otklanjanje pogrešaka i testiranje aplikacija, što je korisno za detaljno proučavanje interakcije softverskog proizvoda s radnim operativnim okruženjem.

Sandboxie je bez sumnje najpoznatiji sandbox softver.
Ovaj program koristi klasičan način zaštita odredio korisnik Aplikacija se nalazi u posebnom izoliranom okruženju, zbog čega aplikacija ne može utjecati na rad samog sustava. Najzanimljivije je to što je Sandboxie posebno dizajniran za korištenje s preglednikom Internet Explorer, koji je jedini od svih glavnih meta cyber kriminalaca. Međutim, danas Sandboxie radi s gotovo svim aplikacijama u Windows okruženju.

Značajka Sandboxiea po kojoj se razlikuje od mnogih drugih poznati programi ove vrste, moguće je kreirati neograničen broj "pješčanika". Unatoč tome što korisnik može jednostavno napraviti popis svojih aplikacija koje će raditi samo u njima. Prema zadanim postavkama, sam program će stvoriti sandbox pod nazivom DefaultBox, tako da možete sigurno raditi s Sandboxie odmah nakon instalacije. Da biste pregledali dokument ili program u zaštićenom okruženju SandBoxie, morate odabrati stavku "Pokreni u sandboxu", koja se nalazi u Windows kontekstualnom izborniku.

Ako u budućnosti budete trebali izraditi dodatne sandboxove, trebate reći programu da otvori datoteke i aplikacije u drugom zaštićenom okruženju koje ste stvorili. Samo trebate odabrati stavku izbornika "Start" " Start izbornik Sandboxie" i zamijenite "sandbox" koji će program ubuduće koristiti prema zadanim postavkama.

Sandbox možete pokrenuti ne samo iz kontekstnog izbornika, već i iz samog prozora sandboxie sandboxa. Da biste to učinili, samo desnom tipkom miša kliknite odabrani "sandbox" i odaberite prava naredba(ovaj izbornik također je dostupan kada kliknete na ikonu Sandboxie u traci sustava).

Također, kako biste ubrzali odabir aplikacije, možete koristiti naredbu "Pokreni web preglednik", "Pokreni mail klijent", koji može pokrenuti aplikacije koje su prema zadanim postavkama u sustavu. Pomoću kontekstnog izbornika sandboxa možete izvoditi razne druge naredbe, na primjer, klikom miša zatvoriti sve aplikacije koje su u izoliranom okruženju, možete dodatno pregledati sadržaj i potpuno ga izbrisati.

Kako bi se brzo identificirao program koji radi u sandboxu, postoji dodatna naredba“Prozor u pješčaniku?”, kada se koristi, na ekranu se pojavljuje križić, a usmjeravanjem na željeni prozor možete brzo dobiti informacije o pokrenutom programu.

Ako se sandbox pokrene sa zadanim parametrima, tada ovaj alat neće biti potreban, jer se ikona [#] odmah pojavljuje u naslovu pored naziva aplikacije. Ako se u zaglavlju pojavi ikona, tada trebate onemogućiti aplikaciju i promijeniti postavke samog sandboxa. U naslov prozora moguće je dodati naziv vašeg “pješčanika”, te oko prozora postaviti okvir u boji u željenoj boji, što će vam pomoći da brzo odredite pripada li mu.

Gledajući druge postavke sandboxa, možete brzo i fleksibilno konfigurirati pristup i dopuštenja za različite resurse. Dakle, možete brzo postaviti parametre pristupa određene datoteke i mape kojima će pristup biti zabranjen. Koji im programi mogu pristupiti samo za čitanje i dostupnost postavki za rad s registrom sustava.

Ako je potrebno, u postavkama možete odabrati aplikacije koje će se u njemu pokretati. Oni. kada pokrenete datoteku koju navedete, Sandboxie će presresti u hodu aktivirana aplikacija a ne dati priliku da rade kao i obično. Program vam omogućuje da odredite ne samo pojedinačno korištene datoteke, već i mape iz kojih će se, kada pokrenete druge aplikacije, pokrenuti u instaliranom sigurno okruženje. Potonji se može koristiti za pokretanje sumnjivih programa, koji ste preuzeli s interneta.

Ako ste upoznati s funkcionalnošću i značajkama instaliranim na vašem računalu, onda vjerojatno znate zašto vam je potreban tako prekrasan alat kao što je Sandbox. U pravilu je ovaj modul uključen u najpoznatije antivirusne programe, na primjer Avast. Sandbox, ili kako se još kaže sandbox, je softverski modul koji vam omogućuje pokretanje bilo koje aplikacije u strogo izoliranom okruženju. glavni zadatak Sandbox je osigurati maksimalnu sigurnost računalo prilikom pokretanja potencijalno opasnih aplikacija ili posjećivanja zaraženih web stranica.

Mora se reći da ova metoda nije bez nedostataka - na primjer, kada se pokreće sandbox modul istog Avasta, neke aplikacije rade u siguran način možda neće raditi ispravno, au nekim slučajevima čak i uzrokovati zamrzavanje antivirusnog programa.

Osim toga, ovo nije baš zgodno, pogotovo kada se morate brzo prebaciti s jednog načina na drugi. Za one koji nisu zadovoljni ovom situacijom, možemo preporučiti jednostavniji i brza odluka- korisnost Sandboxie- sandbox program.

Maleno je, malo je, sitno je prikladan program sa sučeljem na ruskom jeziku omogućuje vam stvaranje virtualnih područja u kojima možete pokrenuti gotovo sve aplikacije.

U ovom slučaju, rezultati svih onih koji su pokrenuti Sandboxie programi bit će spremljene u posebne, posebno određene mape, bez utjecaja na rad operacijski sustav općenito, čime je štiti od moguće štete viruse ili promjene konfiguracije.

Sandboxie se također može koristiti kao sredstvo anonimnog surfanja internetom u smislu da nakon zatvaranja preglednika na računalu korisnika neće ostati nikakvi tragovi posjećenih stranica.


Rad u Sandboxiju je vrlo jednostavan. Tijekom instalacije, uslužni program od vas može tražiti da konfigurirate kompatibilnost s određenim programima.

Sve ostale postavke, osim mogućnosti integracije Sandboxiea u kontekstni izbornik Explorera, mogu se ostaviti nepromijenjene.

Usput, osim globalne postavke, također je moguće promijeniti parametre samog sandboxa. Baš kao i općenite, preporuča se da ove postavke ostavite kao zadane.

Sandbox program Sandboxie podržava izradu nekoliko zasebnih sandboxova, au svakom od njih možete pokrenuti više aplikacija.

Programi koji se izvode u istom sandboxu mogu lako razmjenjivati ​​podatke, ali aplikacije iz različitih virtualna područja bit će izolirani jedan od drugog, kao i od operativnog sustava u cjelini. Prema zadanim postavkama, uslužni program koristi jedno sandbox pod nazivom " Zadana kutija«.

Na primjer, otvorimo neku aplikaciju u Sandboxiju, recimo obični Notepad. Može biti, uređivač teksta a ne najbolji primjer za demonstraciju, ali ovaj trenutak zapravo nije važno.

Idi na izbornik " Pješčanik» → « Zadana kutija» → « Trčanje u sandboxu» → « ...bilo koji program" Nakon toga otvorit će vam se mali pravokutni prozorčić u koji možete unijeti naziv programa, u našem slučaju to je notepad.exe, ili prelistati tako da navedete put do aplikacije koju želite otvoriti s radne površine. Također ga možete pokrenuti putem izbornika Start.

Zanimljivo je da vam Sandboxie omogućuje pokretanje čak i aplikacija s različitim profilima koji inače ne bi dopuštali stvaranje kopija u memoriji.

Imajte na umu da programi koji se izvode u pješčanom okruženju imaju malo izmijenjena radna zaglavlja prozora, a također i kada pokazivač miša prijeđete preko gornji dio cijelo rubno područje bit će istaknuto žuta boja. Nema ništa strašno u tome, ne brinite, tako treba biti.

Dakle, kopirajmo i zalijepimo dio teksta u Notepad i pokušajmo spremiti datoteku. U početku će Sandboxie od vas zatražiti da dokument spremite u direktorij programa, ali zanemarimo ovaj prijedlog i spremimo ga u HDD D.

Međutim, ako tada želite pogledati ovu datoteku i otići na pogon D, neće biti tamo. Točnije, bit će skriven, a da biste ga vratili, otvorite ga u izborniku “ Pogled"poglavlje" Datoteke i mape", pronađite na padajućem popisu potrebna datoteka i odaberite željenu radnju u kontekstnom izborniku.

To je zapravo cijeli posao ovog prekrasnog uslužnog programa. Sve je vrlo jednostavno. Popis svih pokrenutih Sandboxie aplikacije mogu se vidjeti u radnom prozoru uslužnog programa.

U dodatne mogućnosti Sandboxie uključuje postavke korisničkog računa, automatsko dovršavanje programe, određujući način rada bilo koga Windows aplikacije, kao i neke druge opcije.

Uslužni program Sandboxie je lagan i troši minimalno resursi sustava i uopće ne ometa rad drugih aplikacija, minimizirajući u programsku traku ako je potrebno.

Najbolje je pokrenuti Sandboxie preko izbornika Start, budući da ikona na radnoj površini stvorena tijekom instalacije neće otvoriti sam program, već Internet preglednik Istraživač.
Osim toga, kratki video o tome kako preuzeti i instalirati sandboxie:

Internet jednostavno vrvi virusima. Oni mogu biti prerušeni u korisne programe ili čak mogu biti ugrađeni u radni program. (Često se nalazi u hakiranim programima, stoga biste se prema hakiranim programima trebali odnositi s nepovjerenjem, osobito ako preuzimate sa sumnjivih stranica). Dakle, instalirali ste program i još nešto je instalirano na vašem računalu kao bonus (in najbolji mogući scenarij programi za skriveno surfanje ili rudari) i, u najgorem slučaju, ratnici, backdoori, kradljivci i ostali prljavi trikovi.

Postoje 2 opcije ako ne vjerujete datoteci.
— Pokretanje virusa u sandboxu
- Korištenje virtualni strojevi

U ovom članku ćemo pogledati prvu opciju - sandbox za prozore.

Sandbox za Windows izvrsna je prilika za rad sa sumnjivim datotekama, pogledat ćemo kako početi koristiti sandbox.
Ako koristite antiviruse, sandboxi su često ugrađeni u njih. Ali ja ne volim te stvari i mislim da je najbolje skinuti sandbox s web stranice www.sandboxie.com.

Program vam omogućuje pokretanje datoteke u posebno određenom području, izvan kojeg virusi ne mogu pobjeći i oštetiti računalo.

Program možete besplatno preuzeti. No, nakon 2 tjedna korištenja, prilikom uključivanja pojavit će se znak ponude za kupnju pretplate, a program se može pokrenuti za nekoliko sekundi. Ali program i dalje ostaje potpuno funkcionalan. Instalacija neće biti teška. A samo sučelje je prilično jednostavno.

Prema zadanim postavkama, program će se sam pokrenuti kada uključite računalo. Ako je program pokrenut, pojavit će se ikona na traci. Ako nije, idite na Start-Svi programi-Sandboxie-Manage sandboxie.
Najlakši način da pokrenete program u sandboxu je da desnom tipkom miša kliknete na datoteku za pokretanje ili na prečac željenog programa, au izborniku ćete vidjeti riječi “Run in sandbox”, kliknite i pokrenite. Odaberite željeni profil u kojem se pokreće i kliknite OK. Svi, potreban program radi u sigurnom okruženju i virusi neće pobjeći iz sandboxa.

Pažnja: neki zaraženi programi ne dopuštaju rad u sandboxovima i virtualni strojevi, tjerajući vas da ga samo tako pokrenete. Ako naiđete na takvu reakciju, najbolje je izbrisati datoteku, u protivnom trčite na vlastitu odgovornost

Ako se pokretanje u sandboxu ne pojavi u kontekstnom izborniku (kada kliknete desnom tipkom miša), idite na prozor programa, odaberite Konfiguriraj - Integracija u Windows Explorer— i potvrdite dva okvira pod "Radnje—pokreni u sandboxu."

Možete kreirati različite kutije s pijeskom. Da biste to učinili, kliknite Sandbox - stvorite sandbox i napišite naziv novog. Također možete izbrisati stare u odjeljku sandboxa (preporučeno).

U programu se više nema što uzeti u obzir. Na kraju, želim reći - Čuvajte svoje podatke i računalo! Do sljedećeg puta

Povezane objave:

Uklanjanje datoteka koje se ne mogu izbrisati na vašem računalu Virtualni stroj za Windows. Pregled i postavljanje programa Windows 10 onemogući praćenje

Postoje dva glavna načina za sigurno pokretanje sumnjivog izvršna datoteka: pod virtualnim strojem ili u takozvanom “sandboxu”. Štoviše, potonji se može prilagoditi na elegantan način za operativnu analizu datoteke, bez pribjegavanja specijalizirane komunalije i online usluge i bez korištenja puno resursa, kao što je slučaj s virtualnim strojem. Želim ti pričati o njemu.

UPOZORENJE

Nepravilno korištenje opisane tehnike može oštetiti sustav i dovesti do infekcije! Budite pažljivi i oprezni.

Sandbox za analizu

Ljudi koji to rade računalna sigurnost, dobro su upoznati s konceptom sandboxa. Ukratko, sandbox je testna okolina u kojoj se izvršava određeni program. Pritom je rad organiziran na način da se prate sve programske radnje, sve promjenjive datoteke i postavke su spremljene, ali u pravi sustav Ništa se ne događa. Općenito, možete pokretati bilo koje datoteke s punim povjerenjem da to ni na koji način neće utjecati na performanse sustava. Takvi se alati mogu koristiti ne samo za osiguranje sigurnosti, već i za analizu radnji zlonamjernog softvera koje on izvodi nakon pokretanja. Naravno, ako postoji snimka sustava prije početka aktivnih radnji i slika onoga što se dogodilo u sandboxu, možete lako pratiti sve promjene.

Naravno, na internetu postoji puno gotovih online usluga koje nude analizu datoteka: Anubis, CAMAS, ThreatExpert, ThreatTrack. Korištenje sličnih usluga različiti pristupi i imaju svoje prednosti i nedostatke, ali također možemo identificirati zajedničke glavne nedostatke:

Morate imati pristup Internetu. Tijekom obrade morate čekati u redu (u besplatnim verzijama). Obično se ne daju datoteke stvorene ili modificirane tijekom izvođenja. Nije moguće kontrolirati parametre izvršenja (u besplatnim verzijama). Nemoguće je ometati proces pokretanja (na primjer, kliknuti na gumbe prozora koji se pojavljuju). Općenito nije moguće osigurati specifične biblioteke potrebne za rad (u besplatnim verzijama). U pravilu se analiziraju samo izvršne PE datoteke.

Takve usluge najčešće se grade na temelju virtualnih strojeva s instaliranim alatima, uključujući kernel debuggere. Mogu se organizirati i kod kuće. Međutim, ovi sustavi dosta zahtijevaju resurse i zauzimaju veliku količinu prostora na tvrdom disku, a analiza zapisnika programa za ispravljanje pogrešaka oduzima puno vremena. To znači da su vrlo učinkoviti za dubinsko proučavanje određenih uzoraka, ali je malo vjerojatno da će biti korisni u rutinski rad kada nema načina opteretiti sistemske resurse i gubiti vrijeme na analizu. Korištenje sandboxa za analizu omogućuje vam da izbjegnete velike troškove resursa.

Par upozorenja

Danas ćemo pokušati napraviti vlastiti analizator na temelju pješčanika, odnosno uslužnog programa Sandboxie. Ovaj je program dostupan kao shareware na autorovoj web stranici www.sandboxie.com. Za naše istraživanje ograničeno besplatna verzija. Program pokreće aplikacije u izoliranom okruženju tako da ne proizvode zlonamjerne promjene u stvarnom sustavu. Ali ovdje postoje dvije nijanse:

1. Sandboxie vam omogućuje samo praćenje programa na razini korisnički način rada. Sve aktivnosti zlonamjernog koda u kernel modu se ne nadziru. Stoga je najviše što se može naučiti proučavanjem rootkita kako se malware uvodi u sustav. Nažalost, nemoguće je analizirati samo ponašanje na razini načina rada jezgre.
2. Ovisno o postavkama, Sandboxie može blokirati pristup internetu, dopustiti puni pristup ili pristup samo za individualni programi. Jasno je da ako je zlonamjernom softveru potreban pristup Internetu za normalan rad, on mora biti osiguran. S druge strane, ako imate Pinch na svom flash pogonu, koji se pokreće, prikuplja sve lozinke u sustavu i šalje ih ftp napadaču, tada vas Sandboxie s otvorenim pristupom internetu neće zaštititi od gubitka povjerljive informacije! Ovo je vrlo važno i treba ga zapamtiti.

Početno postavljanje Sandboxieja

Sandboxie je izvrstan alat s veliki iznos postavke. Spomenut ću samo one od njih koji su potrebni za naše zadatke.

Nakon instaliranja Sandboxie-a automatski se stvara jedan sandbox. Ispod možete dodati još nekoliko sandboxa različite zadatke. Postavkama sandboxa pristupa se putem kontekstnog izbornika. U pravilu, svi parametri koji se mogu mijenjati su osigurani s dovoljnim Detaljan opis na ruskom. Parametri navedeni u odjeljcima “Oporavak”, “Uklanjanje” i “Ograničenja” posebno su nam važni. Tako:

1. Morate biti sigurni da ništa nije navedeno u odjeljku "Oporavak".
2. U odjeljku "Izbriši" ne bi smjeli biti označeni potvrdni okviri i/ili dodane mape i programi. Ako neispravno postavite parametre u odjeljcima navedenim u paragrafima 1 i 2, to može dovesti do zlonamjerni kod zarazit će sustav ili će svi podaci za analizu biti uništeni.
3. U odjeljku "Ograničenja" trebate odabrati postavke koje odgovaraju vašim zadacima. Gotovo uvijek je potrebno ograničiti pristup niska razina i korištenje hardvera za sve pokrenute programe kako bi se spriječilo da rootkitovi zaraze sustav. Ali ograničavanje pristupa pokretanju i izvršavanju, kao i oduzimanje prava, naprotiv, ne vrijedi, inače će se sumnjivi kod izvršiti u nestandardnom okruženju. Međutim, sve, uključujući dostupnost pristupa internetu, ovisi o zadatku.
4. Radi jasnoće i praktičnosti, u odjeljku "Ponašanje", preporuča se omogućiti opciju "Prikaži obrub oko prozora" i odabrati boju za označavanje programa koji se izvode u ograničenom okruženju.

Povezivanje dodataka

U nekoliko klikova dobili smo izvrsno izolirano okruženje za sigurno izvođenje koda, ali ne i alat za analizu njegovog ponašanja. Srećom, autor Sandboxieja je omogućio korištenje brojnih dodataka za svoj program. Koncept je vrlo zanimljiv. Dodaci su dinamičke knjižnice, uveden u proces koji se izvodi u sandboxu i na određeni način registrira ili modificira njegovo izvođenje.

Trebat će nam nekoliko dodataka koji su navedeni u nastavku.

1. SBIExtra. Ovaj dodatak presreće brojne funkcije programa u zaštićenom okruženju kako bi blokirao sljedeće značajke:
   • pregled izvršavanja procesa i niti;
   • pristup procesima izvan sandboxa;
   • pozivanje funkcije BlockInput (unos s tipkovnice i miša);
   • Čitanje naslova aktivnih prozora.
2. Antidel. Dodatak presreće funkcije odgovorne za brisanje datoteka. Dakle sve privremene datoteke, naredba za brisanje koja dolazi iz izvorni kod, i dalje ostaju na svojim mjestima.

Kako ih integrirati u sandbox? Budući da to nije omogućeno sučeljem Sandboxie, konfiguracijsku datoteku ćete morati urediti ručno. Napravite mapu Plugins i raspakirajte sve pripremljene dodatke u nju. Pažnja sada: Buster Sandbox Analyzer uključuje nekoliko biblioteka sa zajedničkim nazivom LOG_API*.dll, koje se mogu ubaciti u proces. Postoje dvije vrste biblioteka: Verbose i Standard. Prvi prikazuje gotovo puni popis API pozivi koje upućuje program, uključujući pozive datotekama i registru, drugi je skraćeni popis. Redukcija vam omogućuje da ubrzate rad i smanjite trupac koji zatim treba analizirati. Osobno se ne bojim velikih dnevnika, ali bojim se da će neke potrebne informacije biti pažljivo "izrezane", pa biram Verbose. Tu ćemo biblioteku ubaciti. Kako bismo spriječili zlonamjerni softver da primijeti ubacivanje biblioteke pod njezinim imenom, možemo koristiti najjednostavnija mjera mjere opreza: promijenite naziv LOG_API_VERBOSE.dll u bilo koji drugi naziv, na primjer LAPD.dll.

Sada u glavnom prozoru Sandboxiea odaberite “Konfiguracija -> Uredi konfiguraciju”. Otvorit će se tekstualna konfiguracija sa svim postavkama programa. Odmah obratimo pozornost na sljedeće retke:

• Parametar FileRootPath u odjeljku navodi zajednički put u sandbox mapu, odnosno u mapu u kojoj će se nalaziti sve sandbox datoteke. Za mene ovaj parametar izgleda kao FileRootPath=C:\Sandbox\%SANDBOX%, kod vas može biti drugačiji.
• Odjeljak nas ne zanima - preskačemo ga i listamo dalje.
• Zatim postoji odjeljak čiji je naziv isti kao naziv sandboxa (neka bude BSA). Ovdje ćemo dodati dodatke: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Putovi se, naravno, mogu razlikovati. Ali redoslijed umetnutih biblioteka mora biti točno ovakav! Ovaj zahtjev je zbog činjenice da se funkcije moraju presresti navedenim redoslijedom, inače dodaci neće raditi. Za primjenu promjena odaberite u glavnom prozoru Sandboxie: “Konfiguracija -> Ponovno učitaj konfiguraciju”.

Sada konfigurirajmo sam dodatak Buster Sandbox Analyzer.

1. Dodatak pokrećemo ručno pomoću datoteke bsa.exe iz mape Plugins.
2. Odaberite "Opcije -> Način analize -> Ručno", a zatim "Opcije -> Opcije programa -> Windows Shell Integracija -> Dodajte radnju desnom tipkom miša "Pokreni BSA".

Sada je sve spremno za rad: naš sandbox je integriran u sustav.

Prijenosna verzija sandboxa

Naravno, mnogima se neće svidjeti što treba instalirati, konfigurirati i sl. Kako ni meni sve ovo nije privlačno, napravio sam prijenosnu verziju alata koja se može pokrenuti bez instalacije i konfiguracije, direktno s flasha voziti. Ovu verziju možete preuzeti ovdje: tools.safezone.cc/gjf/Sandboxie-portable.zip. Da biste pokrenuli sandbox, samo pokrenite skriptu start.cmd, a na kraju rada ne zaboravite pokrenuti skriptu stop.cmd, koja će potpuno isprazniti upravljački program i sve komponente iz memorije, a također će spremiti napravljene promjene tijekom rada u prijenosniku.

Portabelizator sam ima vrlo malo postavki: njegov rad se uglavnom temelji na manipulacijama s datotekom Sandboxie.ini.template koja se nalazi u mapi Templates. U biti, ova je datoteka datoteka postavki Sandboxie koja se pravilno obrađuje i prosljeđuje programu, a kada završi, prepisuje se natrag u predloške. Otvorite li ovu datoteku s Notepadom, malo je vjerojatno da ćete pronaći nešto zanimljivo. Svakako biste trebali obratiti pozornost na obrazac $(InstallDrive), koji se ponavlja u nizu parametara staze. Posebno nas zanima FileRootPath parametar. Ako izgleda ovako:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Tada će se na disku na kojem se nalazi prijenosni Sandboxie kreirati “sandboxes”. Ako parametar ima, na primjer, sljedeći oblik:

FileRootPath=C:\Sandbox\%SANDBOX%

Drugim riječima, specificira određeni sistemski disk, tada će se sandboxovi stvoriti na ovom disku.

Osobno preporučujem da uvijek stvarate pješčanike lokalni diskovi. To ubrzava rad alata, a kada se pokreće s flash pogona, ubrzava se za redove veličine. Ako vas toliko muči paranoja da želite trčati i analizirati sve na svom omiljenom mediju koji nosite blizu srca, onda se parametar može promijeniti, ali onda barem koristite prijenosni tvrdih diskova da se sve užasno ne uspori.

Praktična upotreba

Isprobajmo naš alat stvarna prijetnja. Kako me nitko ne bi optužio za prijevaru, napravio sam jednostavnu stvar: otišao sam na www.malwaredomainlist.com i preuzeo najnoviju stvar koja se tamo pojavila u vrijeme pisanja. Ispostavilo se da je to lijepa datoteka pp.exe s neke zaražene stranice. Samo ime inspirira velike nade, osim toga, moj antivirusni program odmah je vrištao na ovu datoteku. Usput, bolje je izvršiti sve naše manipulacije s onemogućenim antivirusnim programom, inače riskiramo blokiranje/brisanje nečega iz onoga što istražujemo. Kako proučavati ponašanje binarne datoteke? Jednostavno desnom tipkom miša kliknite ovu datoteku i odaberite Pokreni BSA s padajućeg izbornika. Otvorit će se prozor Buster Sandbox Analyzer. Pažljivo pogledajte mapu linije Sandbox za provjeru. Svi parametri moraju odgovarati onima koje smo naveli prilikom postavljanja Sandboxie-a, odnosno ako je sandbox nazvan BSA, a put do mape postavljen na FileRootPath=C:\Sandbox\%SANDBOX%, onda bi sve trebalo biti kao na snimci zaslona . Ako znate mnogo o perverzijama i drugačije ste imenovali sandbox ili konfigurirali FileRootPath parametar na drugi pogon ili mapu, trebate ga promijeniti u skladu s tim. U protivnom Buster Sandbox Analyzer neće znati gdje tražiti nove datoteke i promjene u registru.

BSA uključuje mnogo postavki za analizu i proučavanje procesa binarnog izvršavanja, sve do presretanja mrežni paketi. Slobodno kliknite gumb Pokreni analizu. Prozor će se prebaciti u način rada za analizu. Ako sandbox odabran za analizu iz nekog razloga sadrži rezultate prethodne studije, uslužni program će ponuditi prvo brisanje. Sve je spremno za pokretanje istražnog spisa.

Spreman? Zatim desnom tipkom miša kliknite na datoteku koju proučavate iu izborniku koji se otvori odaberite “Run in sandbox”, zatim odaberite “sandbox” kojem smo priložili BSA.

Odmah nakon toga, API pozivi će se pokrenuti u prozoru analizatora, što će biti zabilježeno u datotekama dnevnika. Imajte na umu da sam Buster Sandbox Analyzer ne zna kada će analiza procesa biti gotova, zapravo, signal za kraj je vaš klik na gumb Finish Analysis. Kako znaš da je vrijeme već došlo? Ovdje mogu postojati dvije opcije.

1. Prozor Sandboxie ne prikazuje pokrenute procese. To znači da je program jasno prekinut.
2. Na popisu API poziva dugo vremena ne pojavljuje se ništa novo ili se, naprotiv, ista stvar prikazuje u cikličkom nizu. U isto vrijeme, nešto drugo radi u Sandboxie prozoru. To se događa ako je program konfiguriran za rezidentno izvršavanje ili je jednostavno zamrznut. U tom slučaju, prvo se mora prekinuti ručno desnim klikom na odgovarajući pješčanik u prozoru Sandboxie i odabirom "Završi programe". Usput, kada sam analizirao moj pp.exe, dogodila se upravo ova situacija.

Nakon toga možete sigurno odabrati Završi analizu u prozoru Buster Sandbox Analyzer.

Analiza ponašanja

Klikom na gumb Malware Analyzer odmah ćemo dobiti neke sažete informacije o rezultatima istraživanja. U mom slučaju, zlonamjernost datoteke bila je potpuno očita: tijekom izvođenja stvorena je i pokrenuta datoteka C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, koja je dodana u startup (usput, bila je ova datoteka koja se nije htjela sama zatvoriti), uspostavljena je veza s 190.9.35.199 i datoteka hosts je izmijenjena. Inače, samo je pet antivirusnih programa detektiralo datoteku na VirusTotalu, što se vidi iz zapisa, kao i na web stranici VirusTotal.

Sve informacije o rezultatima analize mogu se dobiti izravno iz izbornika Viewer u prozoru Buster Sandbox Analyzer. Tu je i log API poziva, koji će svakako biti koristan za detaljna istraživanja. Svi rezultati su pohranjeni u obrascu tekstualne datoteke u podmapi Izvješća u mapi Buster Sandbox Analyzer. Posebno je zanimljivo izvješće Report.txt (pozvano preko View Report), koje pruža proširene informacije o svim datotekama. Odatle saznajemo da su privremene datoteke zapravo bile izvršne, da je veza išla na http://190.9.35.199/view.php?rnd=787714, da je zlonamjerni softver stvorio određeni mutex G4FGEXWkb1VANr, itd. Ne možete samo pregledavati izvješća, ali i izdvojiti sve datoteke nastale tijekom izvođenja. Da biste to učinili, u prozoru Sandboxie kliknite desnom tipkom miša na "sandbox" i odaberite "View Contents". Otvorit će se prozor istraživača sa svim sadržajima našeg "sandboxa": u pogonska mapa postoje datoteke stvorene na fizički diskovi„pješčanici“, i in korisnička mapa- datoteke stvorene u profilu aktivni korisnik(%korisnički profil%). Ovdje sam pronašao dplaysvr.exe s bibliotekom dplayx.dll, privremenim tmp datotekama i izmijenjenim datoteka domaćina. Usput, pokazalo se da su mu dodani sljedeći redovi:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Imajte na umu da u pješčaniku postoje zaražene datoteke. Ako ih slučajno pokrenete dvostruki klik, ništa se neće dogoditi (radit će u sandboxu), ali ako ih negdje kopirate i potom izvršite... hmm, pa, shvaćate. Ovdje, u mapi, možete pronaći dump registra promijenjenog tijekom rada, u obliku RegHive datoteke. Ova se datoteka može jednostavno pretvoriti u čitljiviju reg datoteku pomoću sljedeće naredbene skripte:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Što instrument može, a što ne može

Dobiveni alat može:

• Pratite API pozive iz pokrenute aplikacije.
• Pratite novostvorene datoteke i postavke registra.
• Presretanje mrežni promet prilikom pokretanja aplikacije.
• Provedite osnovnu analizu datoteka i njihovog ponašanja (ugrađeni analizator ponašanja, analiza na VirusTotalu pomoću hashova, analiza pomoću PEiD-a, ExeInfo i ssdeep, itd.).
• uzmi nešto Dodatne informacije zbog ovrhe u pješčaniku programi podrške(na primjer, Process Monitor) zajedno s analiziranim.

Ovaj alat ne može:

• Analizirajte zlonamjerni softver koji radi u načinu rada jezgre (zahtijeva instalaciju upravljačkog programa). Međutim, moguće je identificirati mehanizam instalacije upravljačkog programa (prije nego što se stvarno implementira u sustav).
• Analizirajte malware za praćenje izvršenja u Sandboxiju. Međutim, Buster Sandbox Analyzer uključuje niz mehanizama za sprječavanje takvog praćenja.

Dakle, dobit ćete sandbox.reg, koji sadrži retke koje je malware dodao tijekom izvođenja. Nakon izvršenja analize odaberite Odustani od analize iz izbornika Opcije kako biste vratili sve kako je bilo. Imajte na umu da će nakon ove operacije svi zapisnici analize biti izbrisani, ali će sadržaj sandboxa ostati na mjestu. Međutim, sljedeći put kada pokrenete program ponudit će vam brisanje svega.