• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

Sandboxie дозволяє здійснювати оперативний контроль за роботою програм, встановлених на комп'ютері, а також є інструментом проактивного захисту. Щоб повністю видалити Sandboxie з будь-якого пристрою, потрібно скористатися будь-яким доступних методівдеінсталяції.

Про програму

Розробником є ​​Ronen Tzur, додаток відноситься до категорії умовно-безкоштовних. Станом на січень 2019 р. є дві версії програмного рішення:

• 26 Stable;
• 27.3 Beta.

Сандбоксі має простий та інтуїтивно-зрозумілий інтерфейс як англійською, так і російською мовою. Встановлення можливе на комп'ютери з операційною системою Windows, починаючи з 7 версії та вище. Підходить як для 32-бітових, так і для 64-бітових ОС. Утиліта має так звану «Пісочницю» — інструмент, який дозволяє значно збільшити рівень захищеності ПК перед зовнішніми загрозами: «викрадачами» браузерів, троянами, фішинговим ПЗ та іншими програмами з категорії «Badware».

Робота в Сандбоксі

Для встановлення потрібно виконати прості кроки:

Тепер можна приступати до роботи в утиліті, наприклад, завантажити з Інтернету будь-яке ПЗ і перевірити пакетну установку на наявність вірусів і стороннього софту. Для сканування будь-якого "exe" знадобиться виконати такі дії:

Крім перевірки на наявність вірусів, можна запускати будь-які програми на комп'ютері, а також браузери, такі як Google Chrome, Opera, Mozilla Firefox, Internet Explorerта Yandex.Browser. Для цього достатньо виконати прості дії:

Таким чином, за допомогою даного софту можна запускати будь-які програми на комп'ютері в ізольованому віртуальному середовищі і контролювати процеси, що запускаються. При цьому Пісочниця не зможе записувати дані в реєстр, отримувати доступ до системних даних, впливати на працездатність ПК і т.д.

Деінсталяція

Перед тим, як приступити до деінсталяції «Пісочниці», потрібно почистити залишкові файли, які з'являються в процесі експлуатації софту та засмічують ПК. Згодом при деінсталяції ПЗ користувачеві не доведеться видаляти їх вручну. Щоб почистити сміття, необхідно:

Стандартна деінсталяція

Видалити Sandboxie з комп'ютера повністю за допомогою інсталятора «SandboxieInstall.exe»:

1. Перевірити, щоб програма була закрита: перейти в «Диспетчер пристроїв», натиснувши на комбінацію Ctrl + Alt + Delete, або натиснувши на поєднання Win + R і ввівши у вікні «Виконати» команду «taskmgr».
2. У «Task Manager» знайти в закладці «Процеси» виконуваний exe-файл з ім'ям утиліти, що видаляється, клацнути по ньому лівою кнопкою миші, в нижній частині екрана викликати опцію «Зняти завдання».
   
3. Перейти у вікно «Автозавантаження» і перевірити, щоб ПЗ, що інсталюється, мало статус «Відключено», і, відповідно, не було у списку autostart. Для цього – тапнути по об'єкту правою кнопкою мишки та натиснути на «Вимкнути». Якщо з'являється опція контекстного меню "Увімкнути", то все нормально, можна приступати до наступного кроку.
4. Затиснути комбінацію Win + R і вбити код msconfig, після чого натиснути на ОК.
5. У «Конфігурації системи» зайти в меню «Завантаження» та встановити галочку в полі навпроти опції « Безпечний режим». Обов'язково натисніть «Застосувати» для того, щоб внесені зміни набули чинності, «ОК».
   
6. Користувачам ОС Віндовс 7 версії також потрібно перейти у вкладку «Автозавантаження» і виключити програмне забезпечення зі списку autostart: клацнути на ім'я файлу в списку програм, що запускаються, правою клавішею мишки і вибрати функцію «Вимкнути».
7. Перезавантажити комп'ютер: вхід буде виконано у захищеному режимі.
8. Запустити інсталяційний файл "SandboxieInstall.exe" - "Далі". У списку опцій вибрати "Видалити програму" (назва функції може відрізнятися залежно від версії інсталятора).
9. Запуститься автоматичний процес видалення компонентів програми із ПК, після якого рекомендується додатково почистити комп'ютер від залишкових файлів.
   
10. В першу чергу потрібно зайти в C: ProgramFiles, знайти директорію Sanboxie - клацнути по знайденій папці лівою клавішею миші і затиснути Shift + Delete для деінсталяції об'єкта без переміщення в Кошик.
11. Тепер потрібно затиснути комбінацію Win + E і з вікна "Провідника" перейти в "Цей комп'ютер" - "Локальний диск С", вибрати директорію "Користувачі", зайти в папку поточного користувача, який встановлював утиліту до себе на комп'ютер, вибрати приховану папку"AppData".
12. Якщо вказана директорія не відображається, потрібно натиснути на інструмент «Вид», розташований у верхній частині «Провідника», і вибрати «Параметри».
13. Відкриється вікно «Параметри папок», зайти на другу закладку з ім'ям «Вид», проскролити в самий низ екрана до розділу «Приховані файли та папки» і відзначити галочкою поле «Показувати приховані файли…». Натисніть «Застосувати» та закрити «Параметри папок».
    
14. Зайти в AppData: у вказаній директорії знаходяться фолдери з ім'ям "Local", "LocalLow" і "Roaming" - перевірити, щоб у цих папках не було файлів з назвою "Sandboxie". При виявленні таких об'єктів – виділити їх та видалити за допомогою команди Shift+Delete.
15. Повернутися на локальний диск C і перевірити прихований фолдер ProgramData — у ньому не повинно бути файлів, що стосуються віддаленої програми.
16. Тепер потрібно зайти у віконце "Registry Editor". Зробити це можна за допомогою меню PowerShell (адміністратор) - клацнути правою клавішею мишки по кнопці "Start" і перейти у відповідну консоль.
17. Зберегти поточний стан реєстру за допомогою опції «Експорт…» у меню «Файл». Вказати ім'я reg-файлу, що зберігається, і фолдер. Діапазон експорту вказати – «Весь реєстр». У майбутньому можна буде відновити registry із зазначеного файлу (у разі виникнення проблем після ручного очищення реєстру).
    
18. У вікні консолі вбити кодову фразу"regedit" без лапок, "Enter".
19. Відкриється інструмент "Редактор реєстру" - затиснути комбінацію Ctrl + F, у рядку пошуку ввести найменування віддаленої "пісочниці", після чого натиснути на "Знайти далі".
20. Через пару секунд на моніторі з'явиться перший ключ реєстру, який залишився після віддаленої програми. Клацнути по об'єкту лівою клавішою миші двічі і перевірити комірку «Значення» — в ній має бути відсилання до «Пісочниці».
21. Для очищення реєстру від знайденого файлу або папки потрібно клацнути по об'єкту правою кнопкою мишки та ініціювати деінсталяцію за допомогою опції "Видалити". Підтвердити свою дію натисканням на «Так». Перейти до наступного запису, натиснувши «F3».
    
22. Повторювати операцію пошуку та видалення ключів, доки на екрані не з'явиться напис «Пошук у реєстрі завершено».
23. Перезавантажити комп'ютер.

Також для видалення Sandboxie з комп'ютера можна скористатися однією з доступних утиліт-деінсталяторів. Саме для цього додаткунайкраще підходить CCleaner, RevoUninstaller, а також інструмент для комплексного очищення реєстру Reg Organizer.

Розглянемо механізм деінсталяції у кожній із зазначених програм.

CCleaner

Для деінсталяції за допомогою даного безкоштовного софту необхідно виконати такі дії:

Revo Uninstaller

Для видалення «Пісочниці» у Revo Uninstaller потрібно виконати такі маніпуляції:

Reg Organizer

Після видалення програм потрібно буде оптимізувати реєстр. Найкраще з подібним завданням справляється утиліта Reg Organizer, завантажити яку можна з офіційного сайту. Для того, щоб оптимізувати registry, потрібно:

Помилково вважати, що вбудований захист операційної системи, антивірус або брандмауер повністю захистять від шкідливих програм. Втім, шкода може бути не настільки явною, як у випадку з вірусами: кілька додатків здатні сповільнити роботу Windows, спричинити аномалії різного роду. Згодом наслідки неконтрольованих процесів із боку «самодіяльного» програмного забезпеченнядаються взнаки, і деінсталяція, видалення ключів реєстру та інші способи очищення вже не допомагають.

У таких ситуаціях чудову службу можуть зіграти програми-пісочниці, яким присвячено цей огляд. Принцип роботи пісочниць частково можна порівняти з віртуальними машинами(Oracle VM VirtualBox та ін, VMware Virtualization). Завдяки віртуалізації всі процеси, ініційовані програмою, виконуються в пісочниці - ізольованому середовищі з жорстким контролем системних ресурсів.

Даний спосіб ізоляції коду досить активно застосовується в антивірусному програмному забезпеченні (KIS 2013, avast!), в програмах, таких як Google Chrome (в пісочниці працює Flash). Не слід, однак, робити висновок, що програми-пісочниці є повною гарантією безпеки. Це лише одне з ефективних додаткових коштівіз захисту ОС (файлової системи, реєстру) від зовнішніх впливів.

На сайті вже було опубліковано огляд програми для створення віртуального оточення - . Сьогодні будуть розглянуті інші додатки, у ширшому плані: це не тільки настільні рішення, а й хмарні сервіси, що покращують не тільки безпеку, а й анонімність, що дають змогу запускати зі знімного носія, з іншого комп'ютера.

Sandboxie

Розробник Ronen Tzur порівнює дію програми Sandboxie з невидимим шаром, нанесеним поверх паперу: на нього можна наносити будь-які написи; при знятті захисту лист залишиться недоторканим.

Можна виділити 4 основні способи застосування пісочниць у Sandboxie:

• Захищений інтернет-серфінг
• Поліпшення приватності
• Безпечне email-листування
• Збереження ОС у початковому стані

Останній пункт має на увазі, що в пісочниці можна встановлювати та запускати будь-які клієнтські програми - браузери, IM-месенджери, ігри - без впливу на систему. Sandboxie контролює доступ до файлів, дисковим пристроям, ключам реєстру, процесам, драйверам, портам та іншим потенційно незахищеним джерелам.

Перш за все, SandboxIE корисна тим, що дозволяє користувачеві гнучко налаштовувати пісочниці та привілеї за допомогою оболонки Sandboxie Control. Тут, через контекстне та головне меню, доступні основні операції:

• Запуск та зупинка програм під контролем Sandboxie
• Перегляд файлів усередині пісочниці
• Відновлення потрібних файлів із пісочниці
• Видалення всіх результатів роботи або вибіркових файлів
• Створення, видалення та налаштування пісочниць

Для запуску програми в пісочниці достатньо перетягнути файл у вікно Sandboxie Control, у створену за замовчуванням пісочницю. Є й інші способи – наприклад, меню Провідника Windowsабо область повідомлень. Вікно програми, запущеної в емульованому середовищі, буде поміщено в жовту рамку, а в заголовку вказано ґрати (#).

Якщо під час роботи із ізольованою програмою потрібно зберегти результати на диск, вказується будь-яке бажане джерело - файли будуть поміщені в папку пісочниці, тоді як за вказаною адресою, поза пісочниці, не буде. Для «реального» перенесення файлів з пісочниці слід використовувати опцію відновлення. Є два їх види - швидке або негайне, в обох випадках перед запуском програми в пісочниці потрібно налаштувати папки для відновлення («Налаштування пісочниці - Відновлення»).

Докладніші параметри доступу наведено в розділах «Обмеження» та «Доступ до ресурсів». Вони можуть знадобитися в тому випадку, якщо програма не може працювати без певних привілеїв (потрібна певна системна бібліотека, драйвер або т.п.). В «Обмеженнях», стосовно програм або груп, налаштовується доступ до Інтернету, апаратних засобів, IPC-об'єктів, а також доступ низького рівня. У «Доступі до ресурсів» - відповідні налаштування для файлів, директорій, до реєстру та інших системних ресурсів.

Також у настройках Sandboxie знаходиться важливий розділ «Програми», де зібрані групи програм, для яких надано доступ до зазначених ресурсів. Спочатку всі елементи списку деактивовані, для застосування змін для конкретної програми потрібно відзначити його у списку та натиснути кнопку «Додати».

Таким чином, можна створювати пісочниці з різними параметрами. Дозволяється клонувати конфігурацію вже наявної пісочниці, для цього, при створенні нової, зі списку, що випадає, потрібно вибрати те середовище, з якого потрібно перенести налаштування.

Резюме

За допомогою Sandboxie можна створювати віртуальні середовища будь-яких конфігурацій, без обмежень для користувача. Sandboxie надає велику кількість налаштувань як для окремих програм, так і для пісочниць.

[+] Гнучка настройкакожної пісочниці
[+] Створення правил для групи програм
[−] Не можна створювати дистрибутиви
[−] Відсутність майстра налаштування

Evalaze

Символічно, що Evalaze бере свій початок від програми Thinstall 2007, на Наразікомпанії VMware

Evalaze не така відома, як Sandboxie, серед програм для роботи з пісочницями, однак має ряд цікавих особливостей, Що виділяє її з низки подібних рішень. Завдяки віртуалізації, програми можна запускати в автономному середовищі з будь-якого комп'ютера, незалежно від наявності драйверів, бібліотек, новіших версій програми, що запускається. При цьому не потрібне ні попереднє налаштування, ні додаткові конфігураційні файлиабо бібліотеки або ключі реєстру.

Evalaze не потребує встановлення, один нюанс: для роботи знадобиться Microsoft. NET Frameworkверсії 2.0 чи вище. У безкоштовній версії, так само як і в професійній редакції, доступний майстер налаштування віртуалізації та необмежену кількість віртуальних програм. Завантажити trial-версію з сайту розробників можна тільки на запит (email розробників див. на сайті).

Отримана конфігурація може бути збережена до проекту. Від початку і до кінця процес налаштування віртуального додатку займає більше часу, ніж, скажімо, у Sandboxie, проте він послідовніший і зрозуміліший.

Слід зазначити дві додаткові можливості Evalaze, які, ймовірно, зацікавлять розробників програмного забезпечення, тестувальників: це робота з віртуальною файловою системою та віртуальним реєстром. Дані автономні середовища Evalaze можна редагувати на власний розсуд, додаючи файли, директорії, ключі, необхідні для функціонування тієї чи іншої віртуальної програми.

Також в Evalaze можна налаштовувати асоціації з коробки: віртуальний додаток при запуску відразу створить необхідні асоціації з файлами в ОС.

Резюме

Програма, за допомогою якої можна створювати автономні програми, які зручно використовувати у різноманітних ситуаціях, що загалом полегшує міграцію, сумісність, безпеку. На жаль, безкоштовна версіяМайже марна, вона цікава тільки для дуже поверхового вивчення функцій Evalaze.

[−] Малофункціональна ознайомча версія
[−] Висока ціна Pro-версії
[+] Присутній майстер налаштування
[+] Віртуальна файлова система та реєстр

Enigma Virtual Box

Програма Enigma Virtual Box призначена для запуску програм в ізольованому віртуальному середовищі. Список підтримуваних форматів включає dll, ocx (бібліотеки), avi, mp3 (мультимедіа), txt, doc (документи) та ін.

Enigma Virtual Box моделює віртуальне середовище навколо програми в такий спосіб. Перед запуском програми спрацьовує завантажувач Virtual Box, який зчитує інформацію, яка необхідна для роботи програми: бібліотеки та інші компоненти - і надає програмі замість системних. В результаті програма працює автономно до ОС.

На конфігурацію пісочниць Sandboxie або Evalaze, як правило, йде хвилин 5. На перший погляд, у Virtual Box також не передбачається тривале налаштування. У документації використання програми вміщується практично одну пропозицію.

Всього 4 вкладки - "Файли", "Реєстр", "Контейнери" і, власне, "Опції". Потрібно вибрати файл, вказати розташування кінцевого результату і запустити обробку. Але згодом виявляється, що віртуальне середовище необхідно створювати самостійно. Для цього і призначені три розділи «Файли», «Реєстр» і «Контейнери», що йдуть поряд, де вручну додаються потрібні дані. Після чого можна натиснути обробку, запустити вихідний файл та перевірити працездатність програми.

Резюме

Таким чином, в Enigma Virtual Box немає аналізу ОС до встановлення програми та після, як у випадку з Evalaze. Акцент зміщений у бік розробки – тому, скоріше, Virtual Box корисний для тестування, перевірки сумісності, створення штучних умов для запуску програми. Віртуалізація невідомих додатківвикличе складнощі, оскільки користувач буде змушений самостійно вказувати всі зв'язки програми самостійно.

[−] Відсутність зручного налаштування
[+] Використовувані програмою ресурси можна визначити самостійно

Cameyo

Cameyo пропонує віртуалізацію додатків у трьох напрямках: бізнес, розробка персональне використання. В останньому випадку, пісочницю можна задіяти для збереження ОС у «чистому» стані, зберігання та запуску додатків на знімних носіяхта у хмарних сервісах. Крім того, на порталі cameyo.com опубліковано кілька сотень вже налаштованих віртуальних програм, а це ще й економія часу користувача.

Етапи створення віртуального додатка схожі з Enigma Virtual Box: спочатку створюється знімок системи перед установкою, потім після неї. Зміни між цими станами враховуються під час створення пісочниці. Однак, на відміну від Virtual Box, Cameyo синхронізується з віддаленим сервером і публікує додаток хмарному сховищі. Завдяки цьому, програми можна запускати на будь-якому комп'ютері з наданим доступом до облікового запису.

Через бібліотеку (Library) можна завантажити для наступного запуску найпопулярніші системні програми (Public Virtual Apps): архіватори, браузери, програвачі і навіть антивіруси. При запуску пропонується вибрати файл і вказати, стабільно він працює чи ні (що, мабуть, якось враховується модераторами галереї Cameyo).

Ще одна цікава можливість – створення віртуального додатку через . Інсталятор можна завантажити з комп'ютера або вказати URL файлу.

Процес конвертації, за заявами, займає від 10 до 20 хвилин, але часто час очікування менший у кілька разів. Після закінчення, на email надходить повідомлення із посиланням на опублікований пакет.

Email-повідомлення про створення дистрибутива

При всіх хмарних зручностях потрібно відзначити два важливі моменти. Перший: кожна програма час від часу оновлюється, а в бібліотеці є досить застарілі екземпляри. Другий аспект: додатки, додані користувачами, можуть суперечити ліцензії окремо взятої програми. Необхідно це розуміти і враховувати при створенні дистрибутивів користувача. І третє - ніхто не дасть гарантії, що віртуальний додаток, викладений у галерею, не модифікований зловмисником.

Втім, говорячи про безпеку, у Cameyo є 4 режими роботи програми:

• Data mode: програма може зберігати файли в папці Документи та на Робочому столі
• Isolated: можливість запису в файловій системіта реєстрі відсутня
• Full access: вільний доступ до файлової системи та реєстру
• Customize this app: модифікація меню для запуску, вибір місця зберігання програми та ін.

Резюме

Зручний хмарний сервіс, до якого можна підключитися на будь-якому комп'ютері, що дозволяє швидко створювати портативні програми. Налаштування пісочниць зведено до мінімуму, не все прозоро з перевіркою на віруси та безпекою в цілому – проте в даній ситуації переваги здатні компенсувати недоліки.

[+] Мережева синхронізація
[+] Доступ до програм користувача
[+] Створення віртуальних програм онлайн
[−] Відсутність налаштування пісочниць

Spoon.net

Spoon Tools – це комплекс інструментів для створення віртуальних програм. Крім професійного середовища, spoon.net заслуговує на увагу як хмарний сервіс, який інтегрується з Робочим столом, дозволяючи швидко створювати пісочниці.

Для інтеграції з Робочим столом необхідно зареєструватися на сервері spoon.net та встановити спеціальний віджет. Після реєстрації користувач отримує можливість завантажувати з сервера віртуальні програми через зручну оболонку.

Чотири можливості, що надаються віджетом:

• Створення пісочниць для файлів та програм
• Наведення порядку на Робочому столі за допомогою ярликів, меню швидкого запуску
• Безпечне тестування нових програм, запуск застарілих версійповерх нових
• Скасування змін, зроблених пісочницею

Швидкий доступ до віджету spoon.net можливий за допомогою клавіш Alt + Win. Оболонка включає рядок пошуку, за сумісництвом - консоль. В ній проводиться пошук програм на комп'ютері та на веб-сервісі.

Дуже зручна організація робочого столу: на віртуальний Робочий стіл можна перетягнути потрібні файли, які синхронізуватимуться зі spool.net. Нові пісочниці можна створювати буквально двома кліками.

Безумовно, щодо налаштування пісочниць Spoon не може скласти конкуренцію Sandboxie або Evalaze з тієї причини, що в Spoon вони просто відсутні. Не можна встановлювати обмеження, конвертувати «звичайний» додаток у віртуальний. Для цього призначений комплекс Spoon Studio.

Резюме

Spoon - «найхмарніша» оболонка для роботи з віртуальними додатками і, водночас, найменш піддається налаштуванню. Цей продукт припаде до смаку користувачам, яким важлива не так безпека роботи за допомогою віртуалізації, як зручність роботи з необхідними програмамиповсюдно.

[+] Інтеграція віджету з Робочим столом
[+] Швидке створення пісочниць
[−] Відсутність налаштувань щодо обмеження віртуальних програм

Зведена таблиця

Програма/сервіс	Sandboxie	Evalaze	Enigma Virtual Box	Cameyo	Spoon.net
Розробник	Sandboxie Holdings LLC	Dogel GmbH	The Enigma Protector Developers Team	Cameyo	Spoon.net
Ліцензія	Shareware (€13+)	Freeware/Shareware (€69,95)	Freeware	Freeware	Free (аккаунт Basic)
Додавання додатків до пісочниці	+	−	−	−	−
Персоналізація (створення ярликів, інтеграція у меню)	+	+	−	+	+
Майстер налаштування	−	+	+	+	−
Створення нових віртуальних програм	−	+	+	+	−
Онлайн-синхронізація	−	−	−	+	+
Налаштування привілеїв для пісочниці	+	+	+	+	−
Аналіз змін під час створення пісочниці	+	+	−	+	−

Це "пісочниця". Так:) Тобто програма, яка ізолює систему від запущених у ній програм. На прикладі запуску в ній браузера: були схожі, припустимо, по злачним місцям, нахапалися віруси. Антивірус щось упіймав, щось пропустив. Без пісочниці довелося б лікуватись, а використовуючи її треба просто закрити браузер. І все, всі віруси загинуть у ній. Щикірно? Заміною антивірусу вона, звичайно, не служить, бо все завантажене та збережене з мережі пісочниця не перевіряє. Тільки, грубо кажучи, скасовує зміни, внесені запущеною програмою. Завантажені файли Sandboxie сама запропонує зберегти після закриття браузера.
У мене зараз стоїть велика пісочниця для всієї системи. Почухавши ріпу, вирішив познайомитися і з "маленькими" пісочницями для програм. Перші враження від Sandboxie - нічого так, працює спритно, з "великою" - Shadow Defender - пісочницею не конфліктує. Немає конфліктів і з Авірою (вніс всю папку C: Program Files Sandboxie у виключення Guard). Працює під обмеженим користувачем (маю Windows XP). Єдине що – так і не вдалося запустити в ній поштовики. Ні під обмеженим користувачем, ні під адміном. Як я зрозумів: для цього її треба купити. Або розібратися. Без покупки так і працюватиме у урізаному вигляді.
Знайомство дуже шапкове, але спробую проілюструвати.

Перед встановленням вимкніть захисні програми. При установці я зняв галки з усіх іконок, залишив лише створення групи у Start Menu- зайве ні до чого. Відразу після перезавантаження вніс усю папку C: Program Files Sandboxie у виключення Guard Авіри. У КАВ, наскільки я пам'ятаю, цю папку треба внести до Правил винятків і не перевіряти все Проактивним захистом, що знаходиться в ній. Або внести всі файли, що виконуються (з розширенням "exe") в Довірені додатки ("Не перевіряти активність" і "Не перевіряти звернення до реєстру").

Потім створюємо нову пісочницю і задаємо її місцезнаходження. За промовчанням Sandboxie створює папку з таким самим ім'ям в корені диска. У ній створюється дефолтна пісочниця. Це непорядок. Після створення нової усю папку видаляємо.
Задаємо нове місце для пісочниці. Щоб далеко не лазити, я визначив їй нове місце в Моїх документах. Пуск - Усі програми - Sandboxie - Управління Sandboxie - Пісочниця - Встановити папку для зберігання. Адреса нового місця треба вводити вручну, огляду немає, ввів: C:\Documents and Settings\Нік_користувача\Мої документи (не забудьте поміняти "Нік_користувача" на ім'я користувача, що вказано у Провіднику). UPD: Змінив шляхи, т.к. тепер дві пісочниці і я вирішив тримати їх у окремій папці. Тобто. хай тепер такий: C:\Documents and Settings\Нік_користувача\Мої документи\SAND_boxie.
Потім створюємо нову: Пуск - Усі програми - Sandboxie - Управління Sandboxie - Пісочниця - Створити нову пісочницю. У віконці вводимо ім'я. Найкраще, напевно, імпортними літерами. Створили. Тепер клацаємо правою кнопкою на дефолтну та видаляємо її.
Залишилося видалити папку Sandboxie, що лежить на диску С. Правою мишкою на Пуск - Провідник. Зліва шукаємо папку. Правою мишкою на неї – Видалити.

Займемося налаштуванням програми та пісочниці. Знову йдемо в Управління Sandboxie – Налаштувати.

Попередження про запуск програм. Я поставив попередження про запуск браузерів та поштовика, яким не дозволено вихід в Інтернет. Якщо ви клінікою не страждаєте, то й вказувати нічого не треба.

Інтеграція в оболонку Windows. Тут так: завантажуватися разом із Windows не дозволив – навіщо вантажити систему. Якщо треба, то можна з меню Пуск запустити.
Зайвих іконок не дуже хочеться, вирішив запускати програми через контекстне меню (з правої мишки на ярлик програми, що запускається). Але у Sandboxie така особливість - поки не завантажено Управління Sandboxie (іконка в треї), нічого не запрацює і програма лаятиметься. Поставив другу галку.
З ярликами зрозуміло.
А ось у контекстне меню пунктів додав. Тобто. програму (файл) можна запустити з ярлика. А можна і так - запустити Управління Sandboxie і вхопивши ярлик (або файл) і, утримуючи кнопку миші, затягти їх у відкрите вікно програми:

Сумісність програм. Тут у мене порожньо, тож і фото немає. І далі все поки що не зрозуміло, окрім пункту "Примітки". Після того, як ви освоитеся, виберіть "Приховати всі примітки", щоб не було зайвих спливаючих вікон.

Тепер перейдемо до налаштування пісочниці. Пісочниця - Ім'я - Налаштування пісочниці:

Тут така історія – Sandboxie після того, як ви закриєте запущену в ній програму, запропонує зберегти "для користування" файли, що з'явилися в певній папці. Тобто, припустимо, завантажив я файл з Інтернету браузером, запущеним у пісочниці (а у мене всі програми зберігають файли тільки в Мої документи \ Язагруза), закрив браузер - з'являється вікно з пропозицією перезберегти завантажений файл (тобто винести з пісочниці), т.к. пісочниця його зітре. Так ось тут задається місце, де Sandboxie відстежує файли для збереження. У мене так:

Невелика інструкція, як зберігати потрібні файли. Коли з'явиться вікно збереження, то:
1. Вибираєте файл (по одному);
2. Вибираєте місце, куди файл буде перенесено з пісочниці. Або в ту ж папку, куди програма зберегла файл (у мене язавантаження);
3. Або в іншу папку (на малюнку я вибрав знову Язагруза);
4. Якщо більше переносити нічого, або зберігати ви не хочете, видаляєте пісочницю:

Ще ремарка: "зберігати ви не хочете" - означає те, що завантажений файл можна подивитися в пісочниці, а потім видалити разом з нею:

"Головні програми", як я зрозумів, вказуються для того, щоб після їх закриття припиняли працювати та всі запущені ними програми. Через пісочницю я ходжу браузерами, їх і вніс (тобто разом із браузером, припустимо Firefox, ще запускаються доповнення та розширення (велике фото). А, можливо, під час серфінгу ви щось підхопили. Закриється Firefox, Sandboxie закриє та всі запущені ним програми):

Дозволено, знову ж таки, лише браузерам:

Ну і останнє вікно – Доступ до ресурсів. Працюю я під обмеженим користувачем, доступ "тільки читання"
для вказаних тек і так існує. Вніс для підстрахування. Під адміністратором закривати Program Files, може й годі. Але це визначається науковим способом.

До речі, якщо є папки з особистою інформацією, то їх можна закрити - Блокувати доступ.
Як я вже казав, не вдалося запустити у пісочниці поштовики. Не працюють у безкоштовному варіанті та багатовіконні програми (ігри). Але й запуск у ній хоча б браузера дуже допоможе антивірусу у забезпеченні безпеки.

Якось так.

UPD: Я, природно, не втримався і трохи автоматизував процес використання Sandboxie Щоб не натискати на ярлик правою мишкою, трохи поправив властивості ярлика для того, щоб програма запускалася в пісочниці. звичайним чином. Тобто. по подвійному кліку на ярлик.
Вичитав порядок запуску з командного рядкатут: http://www.sandboxie.com/index.php?Start CommandLine

У всіх формах, параметр /box:SandboxName є придатним, і може бути встановлений між Start.exe і параметром, що використовується в макеті скриньки іншого, ніж додаток з DefaultBox. For example:

На прикладі запуску IE:

1. При зміні команди у полі "Об'єкт" у властивостях ярлика зникає значок. Це не є добре. Тому перед операцією дивимося, де значок лежить спочатку: Правою мишкою на ярлик IE - Властивості - Змінити значок:

Бачимо, що написано під "Шукати значок у наступному файлі:": %ProgramFiles%\Internet Explorer\iexplore.exe. Запам'ятовуємо або записуємо шлях до Блокноту. Блокнот нам знадобиться, закривати не треба. Скасування.

2. Властивості ярлика у нас залишаються відкритими. Копіюємо з поля "Об'єкт" шлях для запуску: "C: Program Files Internet Explorer iexplore.exe" і вставляємо в Блокнот:

3. Тепер розглянемо команду для запуску програм у пісочниці:
"C:\Program Files\Sandboxie\Start.exe" /box:TestBox run_dialog

"C: Program Files Sandboxie Start.exe" - зрозуміло, команда для запуску пісочниці
/box:TestBox - вказує на те, що програму треба запустити не в дефолтній пісочниці, а в іншій. А в мене і є інша – Pesochniza_1. Має бути: /box:Pesochniza_1
run_dialog - цю команду замінимо скопійованим шляхом з поля "Об'єкт": "C: Program Files Internet Explorer iexplore.exe"

У Блокноті готуємо нову команду для вставки в поле "Об'єкт":

"C:\Program Files\Sandboxie\Start.exe" /box:Pesochniza_1 "C:\Program Files\Internet Explorer\iexplore.exe"

4. Тепер весь цей рядок копіюємо і, вилучивши написане, вставляємо в поле "Об'єкт":

Застосувати - ОК

5. Якщо все пройшло успішно, значок ярлика зміниться на значок Sandboxie (у деяких програмах залишається колишнім. У Firefox, наприклад). Змінюємо на стандартний. Шлях-то ми пам'ятаємо:) Знову правою мишкою на ярлик - Властивості - Змінити значок - Огляд. Далі: Мій комп'ютер - Диск (С) - Program Files - Internet Explorer - iexplore.exe - Відкрити:

Вибираємо який подобається. Застосувати – ОК. Пробуємо запустити IE. Насолоджуємося:)))
Якщо хочете запустити IE без пісочниці, це можна зробити і з меню Пуск.

UPD 2:Трохи розібрався із поштовиком. За кодом помилки. Корисні посилання:

Для The Bat! створив нову пісочницю з такими самими налаштуваннями. Лише додав The Bat! сюди:

І сюди додав папку, куди я вручну зберігатиму листи з The Bat! Тобто. вікно, де пропонується зберегти файли, не з'являється і всі отримані листи автоматично знищуються. А якщо у The Bat! натиснути правою мишкою на лист і вибрати "Зберегти у файл" і вказати місце збереження, що зазначено в цьому вікні, воно там і збережеться. І більше ніде. Ніщотак:)

Маленький апдейтик: ще трохи помучив комп'ютер – як я зрозумів, у цьому вікні задається місце, де зміни не застосовуються. Тобто. винятки із захисту. Якщо сюди вказати місце де The Bat! зберігає інформацію (C:\Documents and Settings\Нік_користувача\Application Data\The Bat!, папка прихована), то й листи пропадати не будуть. Але й сенсу у такому захисті також немає.

UPD 3:Ще досліди – обмежив права. В обмеженому обліку вони й так відібрані, але так, про всяк випадок. З досвіду спілкування з DropMyRights, правда давнього, можуть не виконуватися скрипти і не програватися флеш. І ще щось забув уже. Але налаштування корисне. Прийняв це правило у всіх пісочницях. Перевірити IE не можу, т.к. він у мене заблокований, тож випробувайте самі. Якщо з IE це правило не сподобається, то можна для нього створити окрему пісочницю. Дуже повзлива програма:)

UPD 4:Багато пісочниць теж погано – у безкоштовній версії багато пісочниць одночасно не працюють. Якщо потрібно запустити кілька програм у пісочниці одночасно, їх треба запускати в одній пісочниці. Так, не забудьте додати їх до Обмеження - Доступ до Інтернету.

Деяким користувачам часом доводиться мати справу із софтом сумнівного походження – наприклад, з метою тестування. Найкращим варіантому таких випадках буде завести окремий комп'ютер або віртуальну машину для цього, проте таке не завжди можливе. Але рішення є — потрібно просто скористатися програмою-«пісочницею», до яких належить і Sandboxie.

Програма дозволяє запускати в «пісочниці» виконувані файли (у тому числі інсталятори програм), працювати з веб-браузером та файлами, налаштовувати їхню поведінку в тих чи інших випадках.

Запуск веб-браузера

Основна причина, через яку користувачів цікавить подібний Сендбоксі софт – безпечна робота в інтернеті. Ця програма дозволяє досягти цієї мети.

Запуск програм

Наступний сценарій використання середовища "пісочниці" - запуск софту.

Робота з файлами

У «пісочниці» середовища можна також відкривати різноманітні файли, наприклад, архіви сумнівного походження. Алгоритм дій такий самий, як із програмами (технічно спочатку відкривається софт для перегляду цільового документа), тому для відкриття файлів у «пісочниці» підійде і попередня інструкція.

Управління середовищем

Розробники надали користувачам також інструменти керування середовищем, в якому запускаються програми і відкриваються файли. Вони мають очевидну назву «Управління Sandboxie».

Встановлення параметрів Sandboxie

Пісочницю можна налаштувати під себе для більш комфортного використання.

Вирішення деяких проблем

На жаль, часом при використанні «пісочниці» виникають неполадки. Розглянемо найчастіші, та підкажемо варіанти їх усунення.

Помилка «SBIE2204 Cannot start sandboxed service RpcSs»
Подібна проблема характерна для версій Sandboxie 5.0 та старших, які встановлені на Windows 10. Причина – несумісність середовища з можливостями цієї операційної системи, тому єдине рішення полягає у встановленні актуальних оновлень програми.

Помилка «SBIE2310 Буфер імені досяг переповнення»
Ця проблема також стосується несумісності, але цього разу з якоюсь конкретною програмою. Найчастіше винуватцями виступають антивіруси з можливостями «пісочниці» чи аналогічне ПЗ. Метод усунення помилки теж очевидний - відключити або деінсталювати програму, яка конфліктує з Sandboxie.

Помилка «SBIE2211 Sandboxed service failed to start: ім'я програми або файлу»
Такий збій найчастіше виникає у користувачів Windows 7. Проблема полягає в системі User Account Control, яка заважає роботі або встановленню файлу, що вимагає адміністраторських повноважень для запуску. Рішення просте – у вікні вибору «пісочниці» при відкритті такого програмного забезпечення або документа відзначте опцію "Запустити як UAC Administrator".

Висновок

На цьому посібник з використання програми Sandboxie добігає кінця. Насамкінець нагадуємо – середовище-«пісочниця» не панацея щодо комп'ютерної безпеки, тому якщо доводиться мати справу з підозрілим софтом, краще використовувати віртуальну машину.

Є два основні способи безпечно запустити підозрілий виконуваний файл: під віртуальною машиною або в так званій пісочниці (sandbox). Причому останню можна за допомогою витонченого способу адаптувати для оперативного аналізу файлу, не вдаючись до спеціалізованих утиліт та онлайн-сервісів і не використовуючи безліч ресурсів, як у випадку з віртуалкою. Про нього я хочу тобі розповісти.

WARNING

Неправильне використання описаної методики може завдати шкоди системі та призвести до зараження! Будь уважним і обережним.

«Пісочниця» для аналізу

Люди, які займаються комп'ютерною безпекоюдобре знайомі з концепцією «пісочниці». Якщо коротко, «пісочниця» - це тестове середовище, в якому виконується певна програма. При цьому робота налагоджена таким чином, що всі дії програми відстежуються, файли, що змінюютьсята налаштування зберігаються, але в реальній системінічого не відбувається. Загалом можеш запускати будь-які файли в повній впевненості, що на працездатність системи це ніяк не вплине. Такі інструменти можна використовувати не тільки для забезпечення безпеки, але й для аналізу тих шкідливих дій, які він виконує після запуску. Ще б пак, адже якщо є зліпок системи до початку активних дій і картина того, що сталося в «пісочниці», можна легко відстежити всі зміни.

Звичайно, в Мережі є маса готових онлайн-сервісів, які пропонують аналіз файлів: Anubis, CAMAS, ThreatExpert, ThreatTrack. Подібні сервіси використовують різні підходи та мають свої переваги та недоліки, але можна виділити і загальні основні мінуси:

Необхідно мати доступ до Інтернету. Необхідно чекати на черги в процесі обробки (у безкоштовних версіях). Як правило, файли, що створюються або змінюються під час виконання, не надаються. Неможливо контролювати параметри виконання (у безкоштовних версіях). Неможливо втручатися в процес запуску (наприклад, натискати на кнопки вікон, що з'являються). Як правило, неможливо надавати спеціальні бібліотеки, необхідні для запуску (у безкоштовних версіях). Як правило, аналізуються лише виконувані РЕ-файли.

Такі послуги найчастіше будуються на основі віртуальних машиніз встановленим інструментарієм, аж до відладчиків ядра. Їх можна організувати і вдома. Однак ці системи досить вимогливі до ресурсів і займають великий обсяг на жорсткому диску, а аналіз логів відладчика витрачається багато часу. Це означає, що вони дуже ефективні при глибокому дослідженніпевних зразків, але навряд чи зможуть виявитися корисними у рутинній роботі, коли немає можливості навантажувати ресурси системи та витрачати час на аналіз. Використання «пісочниці» для аналізу дозволяє уникнути величезних витрат ресурсів.

Пара попереджень

Сьогодні ми спробуємо зробити власний аналізатор на основі «пісочниці», а саме утиліти Sandboxie. Ця програма доступна як умовно безкоштовна на сайті автора www.sandboxie.com. Для нашого дослідження цілком підійде обмежена безкоштовна версія. Програма запускає програми в ізольованому середовищі, тому вони не роблять шкідливих змін у реальній системі. Але тут є два нюанси:

1. Sandboxie дозволяє відстежувати лише програми на рівні user mode. Вся діяльність шкідливого коду як ядра не відстежується. Тому максимум, що вдасться дізнатися щодо руткітів - це яким чином шкідливість впроваджується в систему. Проаналізувати саму поведінку на рівні kernel mode, на жаль, неможливо.
2. Залежно від налаштувань Sandboxie може блокувати вихід до мережі, дозволяти повний доступабо доступ лише для окремих програм. Зрозуміло, що, якщо для нормального запуску шкідливості потрібен вихід в інтернет, необхідно його надати. З іншого боку, якщо у тебе на флешці валяється Pinch, який запускається, збирає всі паролі в системі та відправляє їх на ftp зловмиснику, то Sandboxie з відкритим доступомв інтернет не захистить тебе від втрати конфіденційної інформації! Це дуже важливо, і це слід пам'ятати.

Первинне налаштування Sandboxie

Sandboxie – чудовий інструмент з великою кількістю налаштувань. Згадаю лише ті з них, які необхідні для наших завдань.

Після встановлення Sandboxie автоматично створюється одна "пісочниця". Ти можеш додати ще кілька пісочниць під різні завдання. Доступ до налаштувань «пісочниці» здійснюється через контекстне меню. Як правило, всі параметри, які можна змінювати, мають достатньо докладним описомросійською мовою. Для нас особливо важливими є параметри, перелічені в розділах «Відновлення», «Видалення» та «Обмеження». Отже:

1. Необхідно переконатися, що у розділі «Відновлення» нічого не вказано.
2. У розділі «Видалення» не повинні бути проставлені галки та/або зазначені додані папки та програми. Якщо неправильно виставити параметри в розділах, зазначених у пунктах 1 і 2, це може призвести до того, що шкідливий код заразить систему або всі дані для аналізу будуть знищені.
3. У розділі «Обмеження» необхідно вибрати налаштування, які відповідають твоїм завданням. Практично завжди необхідно обмежувати доступ низького рівня та використання апаратних засобів для всіх програм, щоб не допустити зараження системи руткітами. А ось обмежувати доступ на запуск та виконання, а також забирати права, навпаки, не варто, інакше підозрілий код виконуватиметься у нестандартному середовищі. Втім, все, в тому числі наявність доступу до інтернету, залежить від завдання.
4. Для наочності та зручності у розділі «Поведінка» рекомендується включити опцію «Відображати межу навколо вікна» та вибрати колір для виділення програм, що виконуються в обмеженому середовищі.

Підключаємо плагіни

У кілька кліків ми отримали відмінне ізольоване середовище для безпечного виконання коду, але не інструмент аналізу його поведінки. На щастя, автор Sandboxie передбачив можливість використання цілої низки плагінів для своєї програми. Концепція є досить цікавою. Аддони являють собою динамічні бібліотеки, що впроваджуються в процес, що виконується в «пісочниці» і певним чином реєструють або модифікують його виконання.

Нам знадобиться кілька плагінів, які наведені нижче.

1. SBIExtra. Цей плагін здійснює перехоплення ряду функцій для програми, що виконується в пісочниці, щоб блокувати наступні можливості:
   • огляд виконуваних процесів та потоків;
   • доступ до процесів поза межами «пісочниці»;
   • виклик функції BlockInput (введення з клавіатури та миші);
   • зчитування заголовків активних вікон.
2. Antidel. Аддон перехоплює функції, відповідальні видалення файлів. Таким чином, всі тимчасові файли, команда на видалення яких надходить від вихідного коду, все одно залишаються на своїх місцях.

Як інтегрувати їх у «пісочницю»? Оскільки це не передбачено засобами інтерфейсу Sandboxie, редагувати конфігураційний файл доведеться вручну. Створюємо папку Plugins і розпаковуємо до неї всі підготовлені плагіни. Тепер увага: до складу Buster Sandbox Analyzer входить кілька бібліотек із загальним ім'ям LOG_API*.dll, які можуть інжектуватись у процес. Є два типи бібліотек: Verbose та Standard. Перший відображає майже повний перелік викликів API, що виконуються програмою, включаючи звернення до файлів та реєстру, другий - скорочений список. Скорочення дозволяє прискорити роботу та зменшити журнал, який потім доведеться аналізувати. Особисто я не боюся великих логів, зате побоююся того, що якась потрібна інформація буде дбайливо скорочена, тому вибираю Verbose. Саме цю бібліотеку ми й інжектуватимемо. Щоб зловред не зміг помітити інжект бібліотеки по її імені, застосуємо найпростіший запобіжний захід: змінимо ім'я LOG_API_VERBOSE.dll на будь-яке інше, наприклад LAPD.dll.

Тепер у головному вікні Sandboxie вибираємо "Налаштувати -> Редагувати конфігурацію". Відкриється текстовий конфіг з усіма параметрами програми. Відразу звертаємо увагу на такі рядки:

• Параметр FileRootPath у розділі вказує загальний шлях до папки ізольованого середовища, тобто до папки, де будуть знаходитись всі файли «пісочниці». У мене цей параметр має вигляд FileRootPath=C:Sandbox%SANDBOX%, у тебе він може відрізнятися.
• Розділ нас не цікавить – його пропускаємо та гортаємо далі.
• Потім іде розділ, ім'я якого збігається з назвою «пісочниці» (нехай це буде BSA). Сюди ми і будемо додавати плагіни: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Шляхи, звісно, ​​можуть відрізнятися. Але порядок бібліотек, що інжектуються, обов'язково повинен бути саме таким! Ця вимога пов'язана з тим, що перехоплення функцій має здійснюватися саме у зазначеному порядку, інакше плагіни не працюватимуть. Щоб застосувати зміни, вибираємо у головному вікні Sandboxie: "Налаштувати -> Перезавантажити конфігурацію".

Тепер налаштуємо сам плагін Buster Sandbox Analyzer.

1. Запускаємо плагін вручну, скориставшись файлом bsa.exe із папки Plugins.
2. Вибираємо "Options -> Analysis mode -> Manual" і далі "Options -> Program Options -> Windows Shell Integration -> Add right-click action "Run BSA"".

Тепер все готове до роботи: наша «пісочниця» інтегрована у систему.

Portable-версія «пісочниці»

Безумовно, багатьом не сподобається, що треба щось встановлювати, налаштовувати і т. д. Так як мене все це теж не спокушає, я зробив портабельну версію інструменту, який можна запускати без встановлення та налаштування прямо з флешки. Завантажити таку версію можна тут: tools.safezone.cc/gjf/Sandboxie-portable.zip. Для запуску «пісочниці» достатньо виконати скрипт start.cmd, а по закінченні роботи не забути виконати скрипт stop.cmd, який повністю вивантажить драйвер та всі компоненти з пам'яті, а також збереже внесені під час роботи зміни в портабелі.

Налаштувань у портабелизатора зовсім небагато: його робота в основному заснована на маніпуляціях з файлом Sandboxie.ini.template, що знаходиться в папці Templates. По суті, цей файл є файлом налаштувань Sandboxie, який належним чином обробляється і передається програмі, а після закінчення роботи перезаписується назад у Templates. Якщо відкрити цей файл Блокнотом, то ти навряд чи знайдеш щось цікаве. Потрібно обов'язково звернути увагу на шаблон $(InstallDrive), що повторюється у низці параметрів шляху. Особливо цікавить нас параметр FileRootPath. Якщо він має такий вигляд:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

То «пісочниці» створюватимуться на диску, де знаходиться портабельна Sandboxie. Якщо параметр має, наприклад, такий вид:

FileRootPath=C:\Sandbox\%SANDBOX%

Інакше кажучи, в ньому вказано певний системний диск, то «пісочниці» створюватимуться на цьому диску.

Особисто рекомендую завжди створювати пісочниці на локальних дисках. Це прискорює роботу інструменту, а при запуску з флешки прискорює на порядки. Якщо ж тебе настільки замучила параноя, що хочеться все запускати та аналізувати на улюбленому носії, який ти носиш у серця, то параметр можна поміняти, але тоді хоча б використовуй портабельні жорсткі диски, щоби все безбожно не гальмувало.

Практичне застосування

Спробуємо наш інструмент реальної загрози. Щоб ніхто не дорікнув мені підтасовуванням, я вчинив просто: зайшов на www.malwaredomainlist.com і скачав останнє, що там з'явилося на момент написання статті. Це виявився премильний файл pp.exe з якогось зараженого сайту. Одна тільки назва вселяє великі надії, крім того, на цей файл відразу закричав мій антивірус. До речі, всі наші маніпуляції краще робити при відключеному антивірусі, інакше ми ризикуємо заблокувати/видалити щось із того, що досліджуємо. Як вивчити поведінку бінарника? Просто натискаємо правою кнопкою на цей файл і вибираємо в меню пункт Run BSA. Відкриється вікно Buster Sandbox Analyzer. Уважно дивимось у рядок Sandbox folder to check. Всі параметри повинні збігатися з тими, які ми вказали при налаштуванні Sandboxie, тобто якщо пісочниця отримала назву BSA, а як шлях до папки був заданий параметр FileRootPath = C: \ Sandbox \ % SANDBOX %, то все, що має бути як на скріншоті. Якщо ж ти розумієшся на збоченнях і назвав пісочницю по-іншому або налаштував параметр FileRootPath на інший диск або папку, його потрібно змінити відповідним чином. В іншому випадку Buster Sandbox Analyzer не знатиме, де шукати нові файли та зміни у реєстрі.

BSA включає в себе масу налаштувань щодо аналізу та вивчення процесу виконання бінарника, аж до перехоплення мережевих пакетів. Сміливо натискай кнопку Start Analysis. Вікно перейде у режим аналізу. Якщо пісочниця, вибрана для аналізу, з якихось причин містить результати попереднього дослідження, утиліта запропонує її очистити. Все готове до запуску файлу, що досліджується.

Готовий? Тоді натисни на файл, що вивчається, правою кнопкою миші і в меню вибери «Запустити в пісочниці», після чого вкажи ту «пісочницю», до якої ми прикрутили BSA.

Відразу після цього у вікні аналізатора побіжать API-дзвінки, які фіксуватимуться в лог-файлах. Зверніть увагу, що сам Buster Sandbox Analyzer не знає, коли завершиться аналіз процесу, фактично сигналом до закінчення служить саме твоє жмання на кнопку Finish Analysis. Як дізнатися, що час вже настав? Тут може бути два варіанти.

1. У вікні Sandboxie не відображається жоден виконуваний процес. Це означає, що виконання програми очевидно завершилося.
2. У списку API-дзвінків довгий час не з'являється нічого нового або, навпаки, те саме виводиться в циклічній послідовності. При цьому у вікні Sandboxie щось виконується. Таке буває, якщо програма налаштована на резидентне виконання або просто зависла. У цьому випадку її необхідно спочатку завершити вручну, натиснувши правою кнопкою у вікні Sandboxie на відповідну "пісочницю" та вибравши "Завершити програми". До речі, під час аналізу мого pp.exe відбулася саме така ситуація.

Після цього можна сміливо вибирати Finish Analysis у вікні Buster Sandbox Analyzer.

Аналіз поведінки

Натиснувши кнопку Malware Analyzer, ми відразу отримаємо деяку зведену інформацію про результати дослідження. У моєму випадку шкідливість файлу була цілком очевидна: в ході виконання створювався і запускався файл C: Documents and Settings Адміністратор Application Data dplaysvr.exe, який додавався в автозавантаження (до речі, саме він не хотів завершуватися сам), відбувалося з'єднання з 190.9.35.199 та модифікувався hosts-файл. До речі, при цьому на VirusTotal файл детектували лише п'ять антивірусних двигунів, що видно з логів, а також на сайті VirusTotal.

Усю інформацію про результати аналізу можна отримати безпосередньо у меню Viewer у вікні Buster Sandbox Analyzer. Тут же дав притулок і журнал API-дзвінків, який, безумовно, буде корисний при докладному дослідженні. Усі результати зберігаються у вигляді текстових файліву підпапці Reports папки Buster Sandbox Analyzer. Особливий інтерес представляє звіт Report.txt (викликається через View Report), в якому наводиться розширена інформація щодо всіх файлів. Саме звідти ми дізнаємося, що тимчасові файли насправді були виконуваними, з'єднання йшло за адресою http://190.9.35.199/view.php?rnd=787714, шкідливість створила специфічний мутекс G4FGEXWkb1VANr і т. д. Можна не тільки переглядати а й витягувати всі файли, створені під час виконання. Для цього у вікні Sandboxie натисніть правою кнопкою по «пісочниці» та вибери «Переглянути вміст». Відкриється вікно провідника з усім вмістом нашої "пісочниці": у папці drive знаходяться файли, що створюються на фізичних дисках "пісочниці", а в папці user - файли, що створюються у профілі активного користувача (%userprofile%). Тут я виявив dplaysvr.exe з бібліотекою dplayx.dll, тимчасові файли tmp та змінений файл hosts. До речі, виявилося, що до нього додані такі рядки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Зверни увагу, що в «пісочниці» валяються заражені файли. Якщо їх ненароком запустити подвійним кліком, нічого не буде (вони запустяться в «пісочниці»), але якщо ти їх кудись скопіюєш, а потім виконаєш… хм, ну, ти зрозумів. Тут, у папці, можна знайти дамп реєстру, зміненого під час роботи, як файл RegHive. Цей файл можна легко перевести в читальніший reg-файл за допомогою наступного командного скрипту:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Що вміє та не вміє інструмент

Отриманий інструмент вміє:

• Відстежувати API-дзвінки запущеної програми.
• Відстежувати нові створювані файлита параметри реєстру.
• Перехоплювати мережевий трафік під час виконання програми.
• Проводити базовий аналіз файлів та їх поведінки (вбудований поведінковий аналізатор, аналіз на VirusTotal за хешами, аналіз за допомогою PEiD, ExeInfo та ssdeep тощо).
• Отримувати деяку додаткову інформаціюза рахунок виконання у «пісочниці» допоміжних програм(наприклад, Process Monitor) разом із аналізованою.

Цей інструмент не може:

• Аналізувати зловреди, що виконуються в kernel mode (вимагають установки драйвера). Проте можливо виявити механізм установки драйвера (до фактичного впровадження у систему).
• Аналізувати зловреди, що відстежують виконання в Sandboxie. Однак Buster Sandbox Analyzer включає ряд механізмів, що перешкоджають такому відстеженню.

Таким чином, ти отримаєш sandbox.reg, в якому вказані рядки, внесені зловредом під час виконання. Після аналізу вибери в меню Options пункт Cancel analysis, щоб повернути все як було. Зверніть увагу, що після цієї операції всі журнали аналізу будуть видалені, але вміст «пісочниці» залишиться на місці. Втім, за наступного запуску програма сама запропонує все видалити.

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити