Esegui un file in una sandbox online. Sandbox per Windows

Alcune applicazioni di grandi dimensioni (come i firewall Outpost Security Suite e Online Armor Premium Firewall, nonché file eseguibili exe e msi scaricati da Internet di contenuti incomprensibili) possono violare l'integrità e la stabilità del sistema. L'installazione in un sistema operativo funzionante può portare a schermate BSOD all'avvio del sistema operativo, modifiche alle impostazioni del browser e persino alla diffusione di worm e trojan, che molto probabilmente porteranno un utente malintenzionato a rubare password per account di social network, servizi web uso, casella di posta elettronica, ecc.

In precedenza, abbiamo già scritto sui metodi popolari per testare il nuovo software in articoli su e . In questo articolo parleremo di un altro modo semplice, veloce ed efficiente per eseguire qualsiasi applicazione in Windows in un ambiente isolato e sicuro, e il suo nome è Sandboxie sandbox.

Che cos'è una sandbox?

Nel campo della sicurezza informatica, una sandbox è un ambiente appositamente dedicato progettato per eseguire in sicurezza le applicazioni su un PC. Alcuni prodotti software complessi includono una modalità ambiente sicuro (sandbox). Queste applicazioni includono il firewall Comodo Internet Security, Avast! (versione a pagamento), sviluppi nel campo della protezione dei dati da Kaspersky Lab. L'oggetto del nostro articolo-istruzione, il programma Sandboxie, è uno strumento completo per il test su larga scala di qualsiasi programma senza apportare modifiche alla struttura e ai parametri del sistema operativo funzionante. Come lavorarci - continua a leggere.

Download della distribuzione e installazione di Sandboxie

Prima di procedere con l'installazione, come sempre, è necessario scaricare dalla rete il pacchetto di installazione. Usiamo Sito ufficiale progetto.

Sebbene gli sviluppatori offrano versioni a pagamento del prodotto per uso domestico e in ufficio, anche la versione gratuita è abbastanza adatta per noi. Non ha limiti di tempo. L'unico aspetto negativo è la possibilità di lavorare con una sola sandbox e l'inaccessibilità di alcuni parametri non troppo critici.

Dopo aver scaricato il kit di distribuzione, iniziamo la procedura di installazione. Si svolge in 2 fasi. Innanzitutto, vengono installate le librerie di sistema e gli eseguibili Sandboxie.

Nella fase finale, ti verrà chiesto di installare il driver di sistema, che è il cuore dell'applicazione. Il driver funzionerà insieme ai file di servizio, il tempo di installazione è di un paio di momenti. Siamo d'accordo e andiamo avanti.

Primo lancio di Sandboxie

Quando avvii l'app per la prima volta, sullo schermo vedrai un elenco di app che possono migliorare la compatibilità della sandbox. Nonostante questo elenco non mostri tutte le applicazioni disponibili nel sistema operativo, il programma sandbox ha determinato automaticamente che per impostazione predefinita questi programmi non sono disponibili per la gestione in Sandboxie. Accettiamo di migliorare la compatibilità controllando tutti gli elementi nell'elenco e facendo clic su OK.

Successivamente, faremo una breve introduzione all'utilizzo dell'applicazione, in cui è possibile conoscere il principio generale del prodotto software, il meccanismo per avviare un browser Web in modalità protetta, nonché la funzione di eliminazione dei contenuti di una sandbox attiva. Il manuale è molto sintetico, tutti i suoi contenuti sono ridotti a pochi click di pulsanti per eseguire le azioni più richieste e un'illustrazione grafica con la metodologia di base del servizio.

Quindi, quando il manuale è esaurito, possiamo iniziare a lavorare in un ambiente isolato. Puoi avviare l'applicazione selezionando l'apposita voce nel menu "Start", oppure cliccando sull'apposita icona nella vista "Applicazioni" (Win 8/8.1).

Un modo alternativo è fare doppio clic sull'icona Sandboxie nella barra delle applicazioni.

A seguito dell'avvio del programma apparirà sullo schermo un form con una sandbox attiva a disposizione dell'utente (ricordiamo ancora una volta che nella versione gratuita è possibile creare una sola sandbox). Quasi tutte le operazioni vengono chiamate da questo modulo.

Esecuzione del browser in modalità sandbox

Bene, avviamo il browser in modalità protetta. Per fare ciò, puoi utilizzare il collegamento sul desktop o facendo clic con il pulsante destro del mouse su DefaultBox e selezionando "Esegui in sandbox" -> "Avvia browser Web" dal menu contestuale. Vale la pena notare che in questo modo puoi lavorare con il browser installato nel sistema come predefinito attivo.

L'inclusione di una sandbox sicura è simboleggiata da un bordo giallo che delimita il modulo del browser.

Come lavorare con lei? Eseguendo un browser in una sandbox, puoi accedere liberamente a qualsiasi risorsa, anche potenzialmente pericolosa, senza la minaccia di infettare il tuo PC con codice dannoso. Questa modalità tornerà sicuramente utile se stai cercando chiavi per programmi, crack o tu, sotto la tua supervisione, hai seduto un bambino al computer e hai paura che possa danneggiare il sistema andando a risorse non sicure tramite banner, oppure modifica le impostazioni del browser inserendo la successiva aggiunta "super-unica". Anche tutti i file scaricati utilizzando questo browser non avranno accesso al sistema funzionante.

Quando si tenta di scaricare un file utilizzando un browser sandbox, prestare attenzione all'intestazione del modulo per specificare il nome del salvataggio. Il nome di tale modulo è racchiuso da due caratteri #, il che significa che quando si salva l'oggetto, verrà inserito nella shell di Windows Sandboxie e non sarà disponibile su un normale dispositivo disco.

Lo stesso vale per i programmi in esecuzione.

Per impostazione predefinita, i file scaricati dalla rete possono essere inseriti nella cartella Desktop o Download. Queste directory sono adatte per il sandbox.

Come assicurarsi che il file scaricato sia salvato nella sandbox?

Seleziona Visualizza dal menu in alto e seleziona l'opzione File e cartelle. Vedrai un albero di unità disponibili e directory utente con cui puoi lavorare in modalità protetta. Apri la cartella che ti serve e assicurati che ci siano i file appropriati.

È possibile estrarre un file dalla sandbox inserendolo in una cartella simile su una normale unità di servizio?

Ovviamente, per fare ciò, fai clic con il pulsante destro del mouse sul file da ripristinare e seleziona "Ripristina nella stessa cartella" nel menu contestuale. Il file verrà quindi estratto.

Puoi anche aggiungere nuovi percorsi alle cartelle disponibili per il salvataggio specificandoli nel modulo Impostazioni sandbox, categoria Recupero -> sezione Recupero rapido.

Per aprire il modulo Impostazioni sandbox, vai al menu in alto nell'opzione Sandbox, quindi seleziona la sottovoce DefaultBox e nel menu contestuale che appare, fai clic sulla voce Impostazioni sandbox.

Come installare una nuova applicazione nella sandbox?

Fai clic con il pulsante destro del mouse sulla distribuzione appropriata salvata nella sandbox o nel sistema operativo stock e seleziona "Esegui nella sandbox" dal menu

Questo sarà seguito da una normale procedura di installazione, che può essere gestita letteralmente in un batter d'occhio. L'unico avvertimento: se vuoi testare un programma a 64 bit, prima di installarlo, aggiungi il percorso alla cartella "C:\Programmi" nelle impostazioni sandbox di Sandboxie, poiché per impostazione predefinita solo il percorso della directory di sistema "C: \Programmi (x86)” può essere presente. Puoi farlo di nuovo nel menu Quick Recovery. Affinché le modifiche abbiano effetto, fare clic sul pulsante "Applica" e riavviare l'installazione se il processo è già in esecuzione.

Come eseguire un programma nella sandbox?

Esistono due modi in cui l'utente può eseguire l'applicazione in un ambiente protetto.

Il primo è il menu contestuale chiamato dall'elemento Sandbox nel menu principale di Sandboxie. Qui puoi eseguire qualsiasi cosa, da un client di posta elettronica esterno a un demone della console progettato per comprimere i file in un formato audio alternativo.

Il secondo modo è utilizzare l'integrazione di Sandboxie con Windows Explorer. Per fare ciò, devi fare clic con il pulsante destro del mouse sul programma che ti serve su un normale dispositivo disco funzionante e selezionare l'opzione "Esegui nella sandbox".

Risultati

In generale, c'è da dire che il programma non si sente molto sicuro sui sistemi operativi a 64 bit di ultima generazione. Si verificano arresti anomali periodici, vengono visualizzate finestre con una notifica su un tentativo di ripristinare immediatamente i processi in esecuzione. Tuttavia, con una piccola modifica delle impostazioni, Sandboxie può essere eseguito in modo fluido, efficiente e senza riserve e, grazie all'integrazione di Esplora file, l'avvio delle applicazioni è fluido e senza interruzioni. Insieme ad altri metodi di virtualizzazione, questo meccanismo è un ottimo strumento per il debug e il test delle applicazioni, utile per uno studio dettagliato dell'interazione di un prodotto software con un ambiente operativo di lavoro.

Sandboxie è, senza dubbio, il software di sandboxing più famoso.
Questo programma utilizza il metodo classico di protezione dell'applicazione specificata dall'utente ponendola in un apposito ambiente isolato, per cui l'applicazione non può influire sul funzionamento del sistema stesso. La cosa più interessante è che Sandboxie è stato appositamente progettato per essere utilizzato con il browser Internet Explorer, che è l'unico tra tutti i principali obiettivi dei criminali informatici. Tuttavia, oggi Sandboxie funziona con quasi tutte le applicazioni in ambiente Windows.

Una caratteristica di Sandboxie, che lo distingue notevolmente da molti noti programmi di questo genere, è la possibilità di creare un numero illimitato di "sandbox". Mentre l'utente può facilmente creare un elenco delle proprie applicazioni che funzioneranno solo in esse. Per impostazione predefinita, il programma creerà una "sandbox" chiamata DefaultBox, in modo da poter lavorare in sicurezza con Sandboxie subito dopo l'installazione. Per visualizzare un documento o un programma in un ambiente SandBoxie protetto, è necessario selezionare la voce "Esegui in Sandbox", che si trova nel menu contestuale di Windows.

Se hai bisogno di creare sandbox aggiuntive in futuro, devi indicare al programma di aprire file e applicazioni in un altro ambiente sicuro che hai creato. Devi solo selezionare la voce "Start Menu Sandboxie" nel menu "Start" e sostituire la "sandbox", che verrà utilizzata dal programma per impostazione predefinita in futuro.

Puoi avviare la sandbox non solo dal menu contestuale, ma anche dalla finestra della sandbox stessa. Per fare ciò, basta fare clic con il pulsante destro del mouse sulla sandbox selezionata e selezionare il comando desiderato (questo menu è disponibile anche facendo clic sull'icona Sandbox nella barra delle applicazioni).

Inoltre, per velocizzare la selezione di un'applicazione, è possibile utilizzare i comandi "Avvia browser Web", "Avvia client di posta", che possono avviare le applicazioni designate nel sistema per impostazione predefinita. Utilizzando il menu contestuale della sandbox, puoi eseguire vari altri comandi, ad esempio facendo clic su di esso per chiudere immediatamente tutte le applicazioni che si trovano nella sandbox, puoi inoltre visualizzare il contenuto ed eliminarlo completamente.

Per identificare rapidamente il programma in esecuzione nella "sandbox", un comando aggiuntivo "Finestra nella sandbox?"

Se la "sandbox" viene avviata con i parametri predefiniti (predefinito), questo strumento non è necessario, poiché accanto al nome dell'applicazione, nel titolo appare immediatamente l'icona [#]. Se viene visualizzata un'icona nell'intestazione, è necessario disabilitare l'applicazione e apportare modifiche alle impostazioni della sandbox stessa. È possibile aggiungere il nome della tua "sandbox" al titolo della finestra e impostare una cornice colorata attorno alla finestra del colore che ti piace, che ti aiuterà a determinare rapidamente se appartiene ad essa.

Osservando altre impostazioni della sandbox, puoi configurare in modo rapido e flessibile l'accesso e le autorizzazioni a varie risorse. Pertanto, puoi impostare rapidamente le opzioni di accesso per determinati file e cartelle a cui verrà negato l'accesso. Quali programmi possono accedervi in ​​sola lettura e la disponibilità delle impostazioni per lavorare con il registro di sistema.

Se necessario, nelle impostazioni è possibile selezionare le applicazioni che verranno eseguite al suo interno. Quelli. quando avvii il file che hai specificato, Sandboxie intercetterà al volo l'applicazione attivata e ne impedirà il funzionamento nella modalità normale. Il programma consente di specificare non solo i file utilizzati separatamente, ma anche le cartelle, quando vengono avviate altre applicazioni da cui verranno avviate nell'ambiente sicuro installato. Quest'ultimo può essere utilizzato per avviare programmi sospetti scaricati da Internet.

Se conosci bene le funzionalità e le caratteristiche installate sul tuo computer, probabilmente sai perché è necessario uno strumento così meraviglioso come Sandbox. Di norma, questo modulo è incluso nei programmi antivirus più noti, come Avast. Sandbox o, come si suol dire, sandbox è un modulo software che consente di eseguire qualsiasi applicazione in un ambiente rigorosamente isolato. Il compito principale di Sandbox è garantire la massima sicurezza del computer durante l'esecuzione di applicazioni potenzialmente pericolose o durante la visita di siti Web infetti.

Devo dire che questo metodo non è privo di inconvenienti: ad esempio, quando è in esecuzione il modulo sandbox dello stesso Avast, alcune applicazioni eseguite in modalità provvisoria potrebbero non funzionare correttamente e in alcuni casi addirittura portare al blocco del programma antivirus.

Inoltre, non è molto comodo, soprattutto quando è necessario passare rapidamente da una modalità all'altra. Per coloro che non sono soddisfatti di questa situazione, possiamo consigliare una soluzione più semplice e veloce: l'utilità Sandbox- programma sandbox.

Questo piccolo e pratico programma con un'interfaccia in lingua russa ti consente di creare aree virtuali in cui puoi eseguire quasi tutte le applicazioni.

Allo stesso tempo, i risultati di tutti i programmi lanciati in Sandboxie verranno salvati in cartelle separate, appositamente progettate, senza pregiudicare il funzionamento del sistema operativo nel suo insieme, proteggendolo così da possibili danni causati da virus o modifiche alla configurazione.

Sandboxie può essere utilizzato anche come mezzo di navigazione anonima in Internet, nel senso che dopo la chiusura del browser sul computer dell'utente non ci saranno tracce di visita dei siti.


Lavorare in Sandboxie è abbastanza semplice. Durante l'installazione, l'utilità potrebbe richiedere di configurare la compatibilità con alcuni programmi.

Tutte le altre impostazioni, ad eccezione della possibilità di integrare Sandboxie nel menu contestuale di Explorer, possono essere lasciate invariate.

A proposito, oltre alle impostazioni globali, è anche possibile modificare i parametri della sandbox stessa. Oltre alle impostazioni generali, si consiglia di lasciare queste impostazioni come predefinite.

Il programma Sandboxie supporta la creazione di diverse sandbox separate e in ciascuna di esse è possibile eseguire diverse applicazioni.

I programmi in esecuzione nella stessa sandbox possono scambiare dati liberamente, ma le applicazioni di aree virtuali diverse saranno isolate l'una dall'altra, così come dal sistema operativo nel suo insieme. Per impostazione predefinita, l'utilità utilizza una sandbox chiamata " Casella predefinita«.

Ad esempio, apriamo alcune applicazioni in Sandboxie, diciamo un normale Blocco note. Un editor di testo potrebbe non essere il miglior esempio da dimostrare, ma al momento non importa.

Andiamo al menù Sandbox» → « Casella predefinita» → « Corri in una sandbox» → « ...qualsiasi programma". Dopodiché, si aprirà una piccola finestra rettangolare in cui è possibile inserire il nome del programma, nel nostro caso si tratta di notepad.exe, oppure navigare specificando il percorso dell'applicazione da aprire dal desktop. Puoi anche iniziare dal menu Start.

È interessante notare che Sandboxie consente di eseguire con profili diversi anche applicazioni che normalmente non consentono di creare copie in memoria.

Si noti che i programmi in esecuzione nella sandbox hanno leggermente modificato i titoli delle finestre di lavoro e quando si passa il puntatore del mouse sopra la parte superiore della finestra, l'intera area del bordo verrà evidenziata in giallo. Non c'è niente di terribile in questo, non aver paura, dovrebbe essere così.

Quindi, copiamo e incolliamo un pezzo di testo nel Blocco note e proviamo a salvare il file. Inizialmente, Sandboxie ti chiederà di salvare il documento nella directory del programma, ma ignoriamo questo suggerimento e salviamolo sul disco rigido D.

Tuttavia, se si desidera visualizzare questo file e passare all'unità D, non sarà presente. Più precisamente, sarà nascosto e per ripristinarlo dovresti aprirlo nel menu " Visualizzazione" capitolo " File e cartelle”, trova il file richiesto nell'elenco a discesa e seleziona l'azione richiesta nel menu contestuale.

Questo è fondamentalmente l'intero lavoro di questa meravigliosa utility. Tutto è molto semplice. Un elenco di tutte le applicazioni in esecuzione in Sandboxie può essere visualizzato nella finestra principale dell'utilità.

Ulteriori funzionalità di Sandboxie includono le impostazioni dell'account utente, il completamento automatico dei programmi, il rilevamento della modalità di qualsiasi applicazione in esecuzione in Windows e alcune altre opzioni.

L'utilità Sandboxie è leggera, consuma un minimo di risorse di sistema e non interferisce affatto con il funzionamento di altre applicazioni, riducendo al minimo la barra delle applicazioni se necessario.

È meglio avviare Sandboxie tramite il menu Start, poiché l'icona del desktop creata durante l'installazione non aprirà il programma stesso, ma il browser Internet Explorer.
Inoltre, un breve video su come scaricare e installare sandboxie:

Internet è pieno di virus. Possono travestirsi da programmi utili o possono anche essere integrati in un programma desiderato funzionante. (Si trova abbastanza spesso nei programmi compromessi, quindi i programmi compromessi dovrebbero essere trattati con sfiducia, specialmente se scarichi da siti sospetti). Quindi hai installato un programma e qualcos'altro è stato inserito nel tuo computer come bonus (nel migliore dei casi, programmi per la navigazione nascosta o per i minatori) e nel peggiore dei casi, guerrieri, backdoor, ladri e altri sporchi trucchi.

Ci sono 2 opzioni se non ti fidi del file.
- Esecuzione di un virus in una sandbox
- Utilizzo di macchine virtuali

In questo articolo, considereremo la prima opzione: sandbox per Windows.

La sandbox per Windows è una grande opportunità per lavorare con file sospetti, vedremo come iniziare a utilizzare la sandbox.
Se usi gli antivirus, spesso le sandbox sono già integrate. Ma queste cose non mi piacciono e penso che sia meglio scaricare la sandbox da www.sandboxie.com.

Il programma consente di eseguire un file in un'area appositamente designata, oltre la quale i virus non possono sfuggire e danneggiare il computer.

Puoi scaricare il programma gratuitamente. Ma, dopo 2 settimane di utilizzo, quando lo accendi, apparirà un segno sull'offerta per l'acquisto di un abbonamento e il programma può essere avviato in pochi secondi. Ma il programma rimane ancora abbastanza funzionale. L'installazione non causerà difficoltà. E l'interfaccia stessa è abbastanza semplice.

Per impostazione predefinita, il programma si avvierà automaticamente all'accensione del computer. Se il programma è in esecuzione, apparirà un'icona nella barra delle applicazioni. In caso contrario, dovresti eseguire Start-Tutti i programmi-Sandboxie-Gestisci sandboxie.
Il modo più semplice per eseguire un programma nella sandbox è fare clic con il pulsante destro del mouse sul file di avvio o sul collegamento del programma desiderato e nel menu vedrai la scritta "Esegui nella sandbox" fare clic ed eseguire. Selezionare il profilo desiderato in cui eseguire e fare clic su OK. Tutto, il programma necessario funziona in un ambiente sicuro e i virus non usciranno dalla sandbox.

Attenzione: alcuni programmi infetti non consentono l'esecuzione in sandbox e macchine virtuali, costringendoli a essere eseguiti direttamente. Se si verifica una tale reazione, la cosa migliore da fare è eliminare il file, altrimenti correre a proprio rischio e pericolo

Se l'avvio nella sandbox non appare nel menu contestuale (facendo clic con il tasto destro), vai nella finestra del programma, seleziona Configura - Integrazione in Esplora risorse - e seleziona le due caselle sotto "Azioni - esegui nella sandbox.

Puoi creare diverse sandbox. Per fare ciò, fai clic su Sandbox: crea una sandbox e scrivi il nome di quella nuova. Puoi anche eliminare quelli vecchi nella sezione sandbox (consigliato).

Non c'è più niente da considerare nel programma. Alla fine, voglio dire - Prenditi cura dei tuoi dati e del tuo computer! Fino al nostro prossimo incontro

post correlati:

Eliminazione di file non rimovibili sul computer Macchina virtuale Windows. Panoramica e configurazione del programma Windows 10 disabilita il monitoraggio

Esistono due modi principali per eseguire in sicurezza un eseguibile sospetto: sotto una macchina virtuale o in una cosiddetta "sandbox" (sandbox). Inoltre, quest'ultimo può essere adattato utilizzando un modo elegante per l'analisi di file online, senza ricorrere a utilità e servizi online specializzati e senza utilizzare molte risorse, come nel caso di una macchina virtuale. Voglio parlarti di lui.

AVVERTIMENTO

L'uso improprio della tecnica descritta può danneggiare il sistema e causare infezioni! Sii attento e attento.

"Sandbox" per l'analisi

Le persone che si occupano di sicurezza informatica conoscono molto bene il concetto di "sandbox". In breve, una sandbox è un ambiente di test in cui viene eseguito un determinato programma. Allo stesso tempo, il lavoro è organizzato in modo tale che tutte le azioni del programma siano monitorate, tutti i file e le impostazioni modificati vengano salvati, ma nel sistema reale non accade nulla. In generale, puoi eseguire qualsiasi file con la massima sicurezza che ciò non influirà in alcun modo sulle prestazioni del sistema. Tali strumenti possono essere utilizzati non solo per garantire la sicurezza, ma anche per analizzare le azioni del malware che esegue dopo il suo lancio. Tuttavia, se è presente un cast del sistema prima dell'inizio delle operazioni attive e un'immagine di ciò che è accaduto nella "sandbox", puoi facilmente tenere traccia di tutte le modifiche.

Naturalmente, ci sono molti servizi online già pronti che offrono analisi dei file: Anubis, CAMAS, ThreatExpert, ThreatTrack. Tali servizi utilizzano approcci diversi e presentano vantaggi e svantaggi, ma è possibile identificare i principali svantaggi comuni:

Devi avere accesso a Internet. È necessario attendere la coda in fase di elaborazione (nelle versioni gratuite). In genere, i file creati o modificati durante il runtime non vengono forniti. Impossibile controllare le opzioni di esecuzione (nelle versioni gratuite). È impossibile interferire con il processo di avvio (ad esempio, fare clic sui pulsanti delle finestre che appaiono). In genere non è possibile fornire le librerie specifiche necessarie per l'esecuzione (nelle versioni gratuite). Di norma, vengono analizzati solo i file PE eseguibili.

Tali servizi sono spesso costruiti sulla base di macchine virtuali con strumenti installati, fino ai debugger del kernel. Possono essere organizzati anche a casa. Tuttavia, questi sistemi richiedono molte risorse e occupano una grande quantità di spazio su disco rigido e l'analisi dei registri del debugger richiede molto tempo. Ciò significa che sono molto efficaci per lo studio approfondito di determinati campioni, ma è improbabile che siano utili nel lavoro di routine quando non è possibile caricare le risorse del sistema e perdere tempo nell'analisi. L'utilizzo della "sandbox" per l'analisi consente di fare a meno di enormi costi di risorse.

Un paio di avvertimenti

Oggi proveremo a creare il nostro analizzatore basato su sandbox, ovvero l'utilità Sandboxie. Questo programma è disponibile come shareware sul sito web dell'autore www.sandboxie.com. Per il nostro studio, la versione gratuita limitata è abbastanza adatta. Il programma esegue le applicazioni in un ambiente isolato in modo che non apportino modifiche dannose al sistema reale. Ma qui ci sono due sfumature:

1. Sandboxie ti consente di tenere traccia dei programmi solo a livello di modalità utente. Tutte le attività di codice dannoso in modalità kernel non vengono tracciate. Pertanto, il massimo che si può apprendere quando si studiano i rootkit è il modo in cui il malware viene introdotto nel sistema. Sfortunatamente, è impossibile analizzare il comportamento stesso a livello di modalità kernel.
2. A seconda delle impostazioni, Sandboxie può bloccare l'accesso alla rete, consentire l'accesso completo o accedere solo a determinati programmi. È chiaro che se il malware ha bisogno di accedere a Internet per un normale avvio, deve essere fornito. D'altra parte, se hai Pinch in giro sulla tua unità flash, che si avvia, raccoglie tutte le password nel sistema e le invia su FTP a un utente malintenzionato, Sandboxie con accesso a Internet aperto non ti proteggerà dalla perdita di informazioni riservate! Questo è molto importante e dovrebbe essere ricordato.

Configurazione iniziale della sandbox

Sandboxie è un ottimo strumento con molte opzioni di personalizzazione. Citerò solo quelli che sono necessari per i nostri compiti.

Dopo aver installato Sandboxie, viene creata automaticamente una sandbox. Puoi aggiungere qualche "sandbox" in più per diverse attività. Le impostazioni della sandbox sono accessibili tramite il menu contestuale. Di norma, tutti i parametri che possono essere modificati sono forniti con una descrizione abbastanza dettagliata in russo. Le opzioni elencate nelle sezioni Ripristino, Disinstallazione e Restrizioni sono particolarmente importanti per noi. Così:

1. Devi assicurarti che nulla sia elencato nella sezione "Ripristino".
2. Nella sezione "Rimuovi", non dovrebbero esserci caselle di controllo e/o cartelle e programmi aggiunti contrassegnati. Se i parametri sono impostati in modo errato nelle sezioni indicate nei paragrafi 1 e 2, ciò può portare al fatto che un codice dannoso infetta il sistema o tutti i dati per l'analisi vengono distrutti.
3. Nella sezione "Restrizioni", devi selezionare le impostazioni che corrispondono alle tue attività. È quasi sempre necessario limitare l'accesso di basso livello e l'utilizzo dell'hardware a tutti i programmi in esecuzione per evitare che i rootkit infettino il sistema. Ma al contrario, non dovresti limitare l'accesso all'avvio e all'esecuzione, nonché togliere i diritti, altrimenti il ​​codice sospetto verrà eseguito in un ambiente non standard. Tuttavia, tutto, inclusa la disponibilità dell'accesso a Internet, dipende dall'attività.
4. Per chiarezza e comodità, nella sezione "Comportamento", si consiglia di abilitare l'opzione "Mostra bordo intorno alla finestra" e selezionare un colore per evidenziare i programmi in esecuzione in un ambiente limitato.

Colleghiamo i plugin

In pochi clic abbiamo ottenuto un eccellente ambiente isolato per l'esecuzione sicura del codice, ma non uno strumento per analizzarne il comportamento. Fortunatamente, l'autore di Sandboxie ha previsto la possibilità di utilizzare una serie di plug-in per il suo programma. Il concetto è piuttosto interessante. I componenti aggiuntivi sono librerie dinamiche che sono incorporate in un processo sandbox e ne registrano o modificano l'esecuzione in un certo modo.

Avremo bisogno di alcuni plugin, elencati di seguito.

1. SBI Extra. Questo plugin intercetta una serie di funzioni per un programma in esecuzione in una sandbox per bloccare le seguenti funzionalità:
   • panoramica dei processi e dei thread eseguibili;
   • accesso ai processi al di fuori della sandbox;
   • richiamare la funzione BlockInput (input da tastiera e mouse);
   • leggere i titoli delle finestre attive.
2. Antidel. L'addon intercetta le funzioni responsabili dell'eliminazione dei file. Pertanto, tutti i file temporanei, il comando da eliminare che proviene dal codice sorgente, rimangono ancora al loro posto.

Come integrarli nella sandbox? Poiché questo non è fornito dall'interfaccia di Sandboxie, dovrai modificare manualmente il file di configurazione. Crea una cartella Plugin e decomprimi tutti i plugin preparati al suo interno. Ora attenzione: Buster Sandbox Analyzer include diverse librerie con il nome comune LOG_API*.dll, che possono essere inserite nel processo. Esistono due tipi di librerie: Verbose e Standard. Il primo mostra un elenco quasi completo delle chiamate API effettuate dal programma, inclusi gli accessi ai file e al registro, il secondo è un elenco abbreviato. Il restringimento permette di velocizzare il lavoro e ridurre il log, che poi deve essere analizzato. Personalmente non ho paura dei log di grandi dimensioni, ma temo che alcune informazioni necessarie vengano accuratamente "ridotte", quindi scelgo Verbose. È questa libreria che inietteremo. Per evitare che il malware rilevi l'iniezione di una libreria in base al suo nome, applicheremo la precauzione più semplice: cambiare il nome LOG_API_VERBOSE.dll con qualcos'altro, ad esempio LAPD.dll.

Ora nella finestra principale di Sandboxie, seleziona "Configura -> Modifica configurazione". Si aprirà una configurazione di testo con tutte le impostazioni del programma. Prestare attenzione alle seguenti righe:

• Il parametro FileRootPath nella sezione specifica il percorso comune della cartella sandbox, ovvero la cartella in cui risiedono tutti i file sandbox. Per me, questo parametro assomiglia a FileRootPath=C:\Sandbox\%SANDBOX%, potrebbe differire per te.
• La sezione non ci interessa: la saltiamo e scorriamo ulteriormente.
• Quindi arriva una sezione il cui nome è lo stesso del nome della sandbox (lascia che sia BSA). Aggiungeremo i plugin qui: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD . dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

I percorsi, ovviamente, possono differire. Ma l'ordine delle librerie iniettate deve essere esattamente quello! Questo requisito è dovuto al fatto che l'intercettazione delle funzioni deve essere eseguita nell'ordine specificato, altrimenti i plugin non funzioneranno. Per applicare le modifiche, seleziona nella finestra principale di Sandboxie: "Configura -> Ricarica configurazione".

Ora configuriamo il plug-in Buster Sandbox Analyzer stesso.

1. Esegui il plugin manualmente usando il file bsa.exe dalla cartella Plugin.
2. Seleziona "Opzioni -> Modalità analisi -> Manuale" e poi "Opzioni -> Opzioni programma -> Integrazione shell di Windows -> Aggiungi l'azione del tasto destro del mouse "Esegui BSA"".

Ora tutto è pronto per il lavoro: la nostra "sandbox" è integrata nel sistema.

Versione portatile della sandbox

Ovviamente a molti non piacerà il fatto che sia necessario installare qualcosa, configurare, ecc. Dato che tutto questo non piace nemmeno a me, ho realizzato una versione portatile dello strumento che può essere eseguita senza installazione e configurazione, direttamente da un Chiavetta USB. Puoi scaricare questa versione qui: tools.safezone.cc/gjf/Sandboxie-portable.zip . Per avviare la sandbox, è sufficiente eseguire lo script start.cmd e, al termine del lavoro, non dimenticare di eseguire lo script stop.cmd, che scaricherà completamente il driver e tutti i componenti dalla memoria e salverà anche le modifiche apportate durante il lavoro nel portatile.

Non ci sono molte impostazioni per il portablizer stesso: il suo lavoro si basa principalmente sulla manipolazione del file Sandboxie.ini.template che si trova nella cartella Templates. In effetti, questo file è un file delle impostazioni di Sandboxie che viene correttamente elaborato e trasferito al programma e, una volta terminato, viene sovrascritto in Modelli. Se apri questo file con Blocco note, è improbabile che trovi qualcosa di interessante. Assicurati di prestare attenzione al pattern $(InstallDrive) ripetuto in una serie di parametri di percorso. Siamo particolarmente interessati al parametro FileRootPath. Se assomiglia a questo:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Quindi le sandbox verranno create sul disco in cui si trova la sandbox portatile. Se il parametro ha questo aspetto, ad esempio:

FileRootPath=C:\Sandbox\%SANDBOX%

In altre parole, specifica un'unità di sistema specifica, quindi verranno create sandbox su questa unità.

Personalmente, consiglio di creare sempre sandbox su unità locali. Ciò accelera il lavoro dello strumento e, quando viene avviato da un'unità flash USB, accelera di ordini di grandezza. Se sei così paranoico da voler eseguire e analizzare tutto ciò che sul tuo supporto preferito ti porta nel cuore, puoi modificare il parametro, ma almeno utilizzare dischi rigidi portatili in modo che tutto non si rompa senza Dio.

Uso pratico

Proviamo il nostro strumento su una minaccia reale. Affinché nessuno mi rimproveri di rigging, ho fatto una cosa semplice: sono andato su www.malwaredomainlist.com e ho scaricato l'ultimo che è apparso lì nel momento in cui scrivo. Si è rivelato essere un bel file pp.exe da qualche sito infetto. Il nome da solo ispira grandi speranze, inoltre, il mio antivirus ha immediatamente urlato a questo file. A proposito, tutte le nostre manipolazioni vengono eseguite al meglio con l'antivirus disattivato, altrimenti rischiamo di bloccare / eliminare qualcosa da ciò che stiamo cercando. Come studiare il comportamento di un binario? Basta fare clic con il pulsante destro del mouse su questo file e selezionare Esegui BSA dal menu a discesa. Si apre la finestra Buster Sandbox Analyzer. Esaminiamo attentamente la cartella Sandbox della riga da controllare. Tutti i parametri devono corrispondere a quelli specificati durante l'impostazione di Sandboxie, ovvero se la sandbox è stata denominata BSA e il parametro FileRootPath=C:\Sandbox\%SANDBOX% è stato impostato come percorso della cartella, tutto dovrebbe essere come sullo screenshot. Se si conosce molto sulle perversioni e si nomina la sandbox in modo diverso o si imposta il parametro FileRootPath su un'unità o cartella diversa, è necessario modificarla di conseguenza. In caso contrario, Buster Sandbox Analyzer non saprà dove cercare nuovi file e modifiche al registro.

BSA include molte impostazioni per l'analisi e lo studio del processo di esecuzione binaria, fino all'intercettazione dei pacchetti di rete. Sentiti libero di premere il pulsante Avvia analisi. La finestra passerà alla modalità di analisi. Se la sandbox selezionata per l'analisi per qualche motivo contiene i risultati di uno studio precedente, l'utilità si offrirà di cancellarlo prima. Tutto è pronto per avviare il fascicolo sotto inchiesta.

Pronto? Quindi fare clic destro sul file in studio e selezionare "Esegui in sandbox" nel menu che si apre, quindi specificare la "sandbox" a cui abbiamo allegato il BSA.

Subito dopo, le chiamate API verranno eseguite nella finestra dell'analizzatore, che verrà registrata nei file di registro. Tieni presente che Buster Sandbox Analyzer stesso non sa quando l'analisi del processo sarà completata, infatti, il tuo clic sul pulsante Termina analisi funge da segnale per la fine. Come fai a sapere quando è giunto il momento? Potrebbero esserci due opzioni.

1. Nessun processo in esecuzione viene mostrato nella finestra di Sandboxie. Ciò significa che l'esecuzione del programma è terminata in modo esplicito.
2. Non appare nulla di nuovo nell'elenco delle chiamate API per molto tempo o, al contrario, la stessa cosa viene visualizzata in una sequenza ciclica. Allo stesso tempo, qualcos'altro è in esecuzione nella finestra di Sandboxie. Ciò accade se il programma è configurato per l'esecuzione residente o semplicemente si blocca. In questo caso, deve prima essere terminato manualmente facendo clic con il pulsante destro del mouse sulla sandbox corrispondente nella finestra Sandboxie e selezionando Termina programmi. A proposito, durante l'analisi del mio pp.exe, si è verificata esattamente questa situazione.

Successivamente, puoi selezionare in sicurezza Termina analisi nella finestra Buster Sandbox Analyzer.

Analisi del comportamento

Cliccando sul pulsante Malware Analyzer, otterremo subito alcune informazioni di riepilogo sui risultati dello studio. Nel mio caso, la pericolosità del file era abbastanza evidente: durante l'esecuzione, è stato creato e lanciato il file C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, che è stato aggiunto al caricamento automatico (a proposito, era lui che non voleva terminarsi), è stata stabilita una connessione con 190.9.35.199 ed è stato modificato il file hosts. A proposito, allo stesso tempo, solo cinque motori antivirus hanno rilevato il file su VirusTotal, come si può vedere dai log, oltre che sul sito web di VirusTotal.

È possibile accedere a tutte le informazioni sui risultati dell'analisi direttamente dal menu Visualizzatore nella finestra Buster Sandbox Analyzer. Anche il registro delle chiamate API è racchiuso qui, che sarà sicuramente utile nella ricerca dettagliata. Tutti i risultati vengono archiviati come file di testo nella sottocartella Report della cartella Buster Sandbox Analyzer. Di particolare interesse è il report Report.txt (chiamato tramite View Report), che fornisce informazioni estese su tutti i file. È da lì che apprendiamo che i file temporanei erano effettivamente eseguibili, la connessione è andata a http://190.9.35.199/view.php?rnd=787714, il malware ha creato un mutex specifico G4FGEXWkb1VANr, ecc. Non puoi solo visualizzare report, ma anche estrarre tutti i file creati durante l'esecuzione. Per fare ciò, nella finestra Sandboxie, fai clic con il pulsante destro del mouse sulla "sandbox" e seleziona "Visualizza contenuto". Si aprirà una finestra di explorer con tutto il contenuto della nostra sandbox: la cartella drive contiene i file creati sui dischi fisici della sandbox, e la cartella utente contiene i file creati nel profilo utente attivo (% userprofile%). Qui ho trovato dplaysvr.exe con la libreria dplayx.dll, i file tmp temporanei e il file hosts modificato. A proposito, si è scoperto che sono state aggiunte le seguenti righe:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Tieni presente che i file infetti si trovano nella sandbox. Se li avvii accidentalmente facendo doppio clic, non accadrà nulla (si avvieranno nella sandbox), ma se li copi da qualche parte e poi li esegui ... hmm, beh, hai un'idea. Qui, nella cartella, puoi trovare un dump del registro che è stato modificato durante il lavoro, sotto forma di file RegHive. Questo file può essere facilmente tradotto in un file .reg più leggibile utilizzando il seguente script di comando:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Cosa può e non può fare lo strumento

Lo strumento risultante può:

• Tieni traccia delle chiamate API di un'applicazione in esecuzione.
• Monitora i file appena creati e le impostazioni del registro.
• Cattura il traffico di rete quando l'applicazione è in esecuzione.
• Esegui analisi di base dei file e del loro comportamento (analizzatore comportamentale integrato, analisi su VirusTotal tramite hash, analisi tramite PEiD, ExeInfo e ssdeep, ecc.).
• Ottieni alcune informazioni aggiuntive eseguendo programmi ausiliari (ad esempio Process Monitor) nella "sandbox" insieme a quello analizzato.

Questo strumento non può:

• Analizza il malware in esecuzione in modalità kernel (richiede l'installazione del driver). Tuttavia, è possibile identificare il meccanismo di installazione del driver (prima che sia effettivamente implementato nel sistema).
• Analizza il malware che monitora l'esecuzione in Sandboxie. Tuttavia, Buster Sandbox Analyzer include una serie di meccanismi per impedire tale tracciamento.

Pertanto, otterrai sandbox.reg, che contiene le righe introdotte dal malware durante la sua esecuzione. Dopo aver eseguito l'analisi, selezionare la voce Annulla analisi dal menu Opzioni per riportare tutto com'era. Tieni presente che dopo questa operazione tutti i log di analisi verranno eliminati, ma il contenuto della sandbox rimarrà al suo posto. Tuttavia, la prossima volta che avvierai il programma stesso offrirà di eliminare tutto.