телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Безопасно стартиране на програми Програма Sandboxie. Адаптиране на Sandboxie за анализиране на подозрителни файлове Как да стартирате файл в пясъчника на Windows 7

Някои потребители понякога трябва да се справят със софтуер със съмнителен произход, например за целите на тестването. Най-добрият вариант в такива случаи би бил да имате отделен компютър или виртуална машина за това, но това не винаги е възможно. Но има решение - просто трябва да използвате sandbox програма, която включва Sandboxie.

Приложението ви позволява да стартирате изпълними файлове (включително инсталатори на програми) в пясъчника, да работите с уеб браузър и файлове и да конфигурирате тяхното поведение в определени случаи.

Стартиране на уеб браузър

Основната причина, поради която потребителите се интересуват от софтуер като Sandboxy, е безопасното сърфиране в интернет. Разглежданата програма ни позволява да постигнем тази цел.

Стартиране на програми

Следващият сценарий за използване на средата на sandbox е стартирането на софтуер.

Работа с файлове

В „пясъчната кутия“ на въпросната среда можете също да отваряте различни файлове, например архиви със съмнителен произход. Алгоритъмът на действията е абсолютно същият като при програмите (технически софтуерът първо се отваря, за да прегледа целевия документ), така че предишните инструкции са подходящи и за отваряне на файлове в пясъчника.

Управление на околната среда

Разработчиците също са предоставили на потребителите инструменти за управление на средата, в която се стартират програми и се отварят файлове. Те имат очевидно име „Управление на пясъчник“.


Задаване на опции за Sandboxie

Пясъчната кутия може да се персонализира за по-удобна употреба.


Решения на някои проблеми

За съжаление, понякога възникват проблеми при използването на пясъчника. Нека да разгледаме най-често срещаните и да предложим варианти за премахването им.

Грешка „SBIE2204 Не може да стартира услуга RpcSs в пясъчна среда“
Подобен проблем е типичен за версии на Sandboxie 5.0 и по-стари, които са инсталирани на Windows 10. Причината е несъвместимостта на средата с възможностите на тази операционна система, така че единственото решение е да инсталирате най-новите актуализации на програмата.

Грешка „SBIE2310 Буферът за име е достигнал препълване“
Този проблем също се отнася до несъвместимост, но този път с конкретна програма. Най-често виновниците са антивируси с възможности за пясъчник или подобен софтуер. Методът за премахване на грешката също е очевиден - деактивирайте или деинсталирайте приложението, което е в конфликт с Sandboxie.

Грешка „SBIE2211 Услугата в пясъчна среда не успя да стартира: *име на приложение или файл*“
Този тип повреда най-често се среща в Потребители на Windows 7. Проблемът е в системата за контрол на потребителските акаунти, която пречи на работата или инсталирането на файл, който изисква администраторски права, за да работи. Решението е просто - в прозореца за избор на sandbox, когато отваряте такъв софтуер или документ, маркирайте опцията „Изпълни като UAC администратор“.

Заключение

Това завършва нашето ръководство за използване на Sandboxie. Накрая ви напомняме, че sandbox средата не е панацея за компютърната сигурност, така че ако трябва да се справите с подозрителен софтуер, по-добре е да използвате виртуална машина.

Интернет просто гъмжи от вируси. Може да са под прикритието полезни програми, или дори може да се вгради в желаната работеща програма. (Доста често се среща в хакнати програми, така че трябва да се отнасяте с недоверие към хакнати програми, особено ако изтегляте от подозрителни сайтове). Така че сте инсталирали програмата и нещо друго е инсталирано на вашия компютър като бонус (в най-добрия случай програми за скрито сърфиране или миньори), а в най-лошия - воини, задни вратички, крадци и други мръсни трикове.

Има 2 опции, ако нямате доверие на файла.
— Пускане на вирус в пясъчника
- Използване виртуални машини

В тази статия ще разгледаме първия вариант - пясъчник за прозорци.

Sandbox за Windows е чудесна възможност за работа с подозрителни файлове, ще разгледаме как да започнете да използвате пясъчника.
Ако използвате антивируси, пясъчниците често са вградени в тях. Но аз не харесвам тези неща и мисля, че е най-добре да изтеглите пясъчника от уебсайта www.sandboxie.com.

Програмата ви позволява да стартирате файл в специално определена зона, отвъд която вирусите не могат да избягат и да навредят на компютъра.

Можете да изтеглите програмата безплатно. Но след 2 седмици употреба ще се появи знак, указващ предложение за закупуване на абонамент, когато е включен, и програмата може да бъде стартирана след няколко секунди. Но програмата все още остава напълно функционална. Монтажът няма да е труден. А самият интерфейс е доста прост.

По подразбиране програмата ще се стартира сама, когато включите компютъра. Ако програмата работи, ще се появи икона в областта. Ако не, отидете на Старт-Всички програми-Sandboxie-Manage sandboxie.
Най-лесният начин да стартирате програма в пясъчника е да щракнете с десния бутон върху файла за стартиране или върху прекия път на желаната програма и в менюто ще видите думите „Изпълни в пясъчника“, щракнете и стартирайте. Изберете желания профил, в който да стартирате, и щракнете върху OK. Всичко, необходима програмаработи в безопасна средаи вирусите няма да избягат извън пясъчника.


Внимание: някои заразени програми не позволяват стартиране в пясъчници и виртуални машини, принуждавайки ви да ги стартирате директно. Ако срещнете такава реакция, най-добре е да изтриете файла, в противен случай бягате на свой собствен риск

.

Ако стартирането в пясъчника не се появи в контекстното меню (когато щракнете с десния бутон), отидете в прозореца на програмата, изберете Конфигуриране - Интегриране в Windows Explorer - и поставете отметка в двете квадратчета под думите „Действия - стартирайте в пясъчника. "

Можете да създавате различни пясъчни кутии. За да направите това, щракнете върху Sandbox - създайте пясъчник и напишете името на новия. Можете също да изтриете стари в секцията пясъчник (препоръчително).

Няма какво повече да се има предвид в програмата. Накрая искам да кажа - Погрижете се за данните и компютъра си!До следващия път

Подобни публикации:

Премахване на неизтриваеми файлове на вашия компютър Виртуална машина за windows. Преглед и настройка на програмата Windows 10 деактивира проследяването

Грешка е да се вярва, че вградената защита на операционната система, антивирусната програма или защитната стена напълно ще предпази от зловреден софтуер. Вредата обаче може да не е толкова очевидна, колкото в случая с вирусите: няколко приложения могат да се забавят Операция на Windows, водят до различни видове аномалии. С течение на времето последствията от неконтролираните процеси от страна на „аматьора“ софтуерсе усещат и деинсталирането, изтриването на ключове в системния регистър и други методи за почистване вече не помагат.

В такива ситуации програмите sandbox, които са предмет на този преглед, могат да играят отлична роля. Принципът на работа на пясъчниците е отчасти сравним с виртуални машини(Oracle VM VirtualBox и др., VMware Virtualization). Благодарение на виртуализацията, всички процеси, инициирани от програмата, се изпълняват в пясъчна среда - изолирана среда със строг контрол на системните ресурси.

Този метод на изолиране на код се използва доста активно в антивирусен софтуер (KIS 2013, avast!), в програми като Google Chrome(Flash работи в пясъчника). Не бива обаче да се заключава, че програмите sandbox са пълна гаранция за сигурност. Това е само едно от ефективните допълнителни средства за защита на операционната система (файлова система, регистър) от външни влияния.

Преглед на програмата за създаване виртуална среда- . Днес ще разгледаме други приложения в по-широк смисъл: това не са само десктоп решения, но и облачни услуги, които подобряват не само сигурността, но и анонимността, което прави възможно стартирането от преносим носител от друг компютър.

Пясъчник

Разработчикът Ronen Tzur сравнява действието на програмата Sandboxie с невидим слой, нанесен върху хартия: върху него може да се приложи всеки надпис; Когато защитата бъде премахната, листът ще остане недокоснат.

Има 4 основни начина за използване на пясъчници в Sandboxie:

  • Защитено сърфиране в интернет
  • Подобрена поверителност
  • Защитена имейл кореспонденция
  • Поддържане на операционната система в първоначалното й състояние

Последната точка предполага, че в пясъчника можете да инсталирате и стартирате всеки клиентски приложения- браузъри, IM месинджъри, игри - без да се засяга системата. Sandboxie контролира достъпа до файлове, дискови устройства, ключове в регистъра, процеси, драйвери, портове и други потенциално незащитени източници.

На първо място, SandboxIE е полезен, защото позволява на потребителя гъвкаво да конфигурира пясъчни кутии и привилегии с помощта на Sandboxie Control shell. Тук чрез контекстното и главното меню са достъпни основни операции:

  • Стартиране и спиране на програми под контрола на Sandboxie
  • Преглед на файлове в пясъчника
  • Възстановяване на необходимите файлове от пясъчника
  • Изтриване на всички работни или избрани файлове
  • Създаване, изтриване и конфигуриране на пясъчници

За да стартирате програма в пясъчник, просто плъзнете изпълнимия файл в прозореца за управление на Sandboxie, в пясъчника, създаден по подразбиране. Има и други начини - например меню Windows Explorerили област за уведомяване. Прозорецът на програмата, работещ в емулираната среда, ще има жълта рамка и решетка (#) в заглавната лента.

Ако, когато работите с програма в пясъчна среда, трябва да запишете резултатите на диск, всеки желан източник е посочен - файловете ще бъдат поставени в папката на пясъчника, докато посочен адрес, извън пясъчната кутия, няма да съществува. За „реално“ прехвърляне на файлове от пясъчника трябва да използвате опцията за възстановяване. Има два вида от тях - бързи или незабавни, и в двата случая, преди да стартирате програмата в пясъчника, трябва да конфигурирате папките за възстановяване („Настройки на пясъчника - Възстановяване“).

| Повече ▼ подробни настройкидостъп се намират в секциите „Ограничения“ и „Достъп до ресурси“. Те може да са необходими, ако приложението не може да работи без определени привилегии (изисква определена системна библиотека, драйвер и т.н.). В „Ограничения“, по отношение на програми или групи, достъп до интернет, до хардуер, IPC обекти, както и достъп до ниско ниво. В „Достъп до ресурси“ - съответните настройки за файлове, директории, регистър и други системни ресурси.

Също така в настройките на Sandboxie има важен раздел „Приложения“, където се събират групи от програми, които имат достъп до посочените ресурси. Първоначално всички елементи от списъка са деактивирани; за да приложите промени за конкретно приложение, трябва да го маркирате в списъка и да кликнете върху бутона „Добавяне“.

По този начин можете да създавате пясъчници с различни параметри. Имате право да клонирате конфигурацията на съществуваща пясъчна кутия; за да направите това, когато създавате нова, трябва да изберете от падащия списък средата, от която искате да прехвърлите настройките.

Резюме

С помощта на приложението Sandboxie можете да създавате виртуални среди с всякаква конфигурация, без ограничения за потребителя. Sandboxie предоставя голям брой настройки както за отделни приложения, така и за пясъчни кутии.

[+] Гъвкава настройкавсеки пясъчник
[+] Създаване на правила за група програми
[−] Не могат да се създават дистрибуции
[−] Липса на съветник за настройка

Evalaze

Символично е, че Evalaze произлиза от програмата Thinstall 2007, в момента от VMware.

Evalaze не е толкова известен като Sandboxie сред програмите за пясъчници, но има редица интересни функции, които го отличават от тълпата. подобни решения. Благодарение на виртуализацията приложенията могат да се стартират в самостоятелна среда от всеки компютър, независимо от наличието на драйвери, библиотеки или по-нови версии на стартираното приложение. Това не изисква предварителна конфигурация или допълнителни конфигурационни файлове или библиотеки или ключове в регистъра.

Evalaze не изисква инсталация, едно предупреждение: ще ви трябва Microsoft .NET, за да работи Рамкови версии 2.0 или по-висока. В безплатната версия, както и в професионалното издание, са налични съветник за настройка на виртуализацията и неограничен брой виртуални приложения. Можете да изтеглите пробната версия от уебсайта на разработчиците само при поискване (вижте имейла на разработчиците на уебсайта).

Получената конфигурация може да бъде запазена в проект. От началото до края, процесът на настройка на виртуално приложение отнема повече време от, да речем, Sandboxie, но е по-последователен и разбираем.

Трябва да се отбележат две допълнителни функции Evalaze, който вероятно ще представлява интерес за разработчиците на софтуер и тестерите: работи с виртуална файлова система и виртуален регистър. Тези автономни среди на Evalaze могат да се редактират по ваша преценка чрез добавяне на файлове, директории, ключове, необходими за функционирането на определена виртуална програма.

Можете също така да конфигурирате асоциации извън кутията в Evalaze: когато се стартира, виртуалното приложение веднага ще създаде необходимите асоциации с файлове в операционната система.

Резюме

Програма, с която можете да създавате самостоятелни приложения, удобни за използване във всякакви ситуации, което като цяло улеснява миграцията, съвместимостта и сигурността. Уви, безплатната версия е практически безполезна, интересна е само за много повърхностно проучване на функциите на Evalaze.

[−] Пробна версия с ниска функционалност
[−] Висока цена на Pro версията
[+] Има съветник за настройка
[+] Виртуална файлова система и регистър

Виртуална кутия Enigma

Enigma Virtual Box е проектиран да изпълнява приложения в изолирана виртуална среда. Списъкът с поддържаните формати включва dll, ocx (библиотеки), avi, mp3 (мултимедия), txt, doc (документи) и др.

Enigma Virtual Box моделира виртуалната среда около приложение, както следва. Преди стартиране на приложението се задейства зареждащото устройство на Virtual Box, което чете информацията, необходима за работата на програмата: библиотеки и други компоненти - и ги предоставя на приложението вместо системни. В резултат на това програмата работи автономно по отношение на операционната система.

Конфигурирането на пясъчници Sandboxie или Evalaze като правило отнема около 5 минути.На пръв поглед Virtual Box също не изисква продължителна настройка. В документацията използването на програмата всъщност се съдържа в едно изречение.

Има само 4 раздела - „Файлове“, „Регистър“, „Контейнери“ и всъщност „Опции“. Трябва да изберете изпълнимия файл, да посочите местоположението на крайния резултат и да започнете обработката. Но по-късно се оказва, че трябва сами да създадете виртуална среда. За целта са предназначени трите съседни раздела „Файлове“, „Регистър“ и „Контейнери“, където ръчно се добавят необходимите данни. След това можете да щракнете върху обработка, да стартирате изходния файл и да проверите функционалността на програмата.

Резюме

По този начин Enigma Virtual Box не анализира операционната система преди и след инсталирането на приложението, както е в случая с Evalaze. Акцентът е изместен към разработката - следователно Virtual Box е по-скоро полезен за тестване, проверка на съвместимост и създаване на изкуствени условия за изпълнение на програма. Виртуализацията на неизвестни приложения ще създаде трудности, тъй като потребителят ще бъде принуден да посочи всички програмни връзки независимо.

[−] Липса на удобни настройки
[+] Ресурсите, използвани от програмата, могат да се определят независимо

Камейо

Cameyo предлага виртуализация на приложения в три области: бизнес, разработка и лична употреба. В последния случай пясъчникът може да се използва за запазване на операционната система в „чисто“ състояние, съхраняване и стартиране на приложения на преносими носители и в облачни услуги. В допълнение, няколкостотин вече конфигурирани виртуални приложения са публикувани на портала cameyo.com, което също спестява време на потребителя.

Стъпките за създаване на виртуално приложение са подобни на Enigma Virtual Box: първо се създава моментна снимка на системата преди инсталацията, след това след нея. Промените между тези състояния се вземат предвид при създаването на пясъчника. Въпреки това, за разлика от Virtual Box, Cameyo се синхронизира с отдалечен сървъри публикува приложението в облачното хранилище. Благодарение на това приложенията могат да се изпълняват на всеки компютър с предоставен достъп до акаунта.

Чрез библиотеката можете да изтеглите популярни системни приложения (Public Virtual Apps) за последващо стартиране: архиватори, браузъри, плейъри и дори антивируси. Когато стартирате, ще бъдете помолени да изберете изпълним файл и да посочите дали е стабилен или не (което, очевидно, по някакъв начин се взема предвид от модераторите на галерията на Cameyo).

Друга интересна възможност е създаването на виртуално приложение чрез . Инсталационната програма може да бъде изтеглена от вашия компютър или можете да посочите URL адреса на файла.

Твърди се, че процесът на преобразуване отнема от 10 до 20 минути, но често времето за изчакване е няколко пъти по-малко. След завършване се изпраща известие по имейл с връзка към публикувания пакет.

Имейл известие за създаване на разпространение

С всички удобства на облака има две важни неща, които трябва да се отбележат. Първо: всяка програма се актуализира с времето и библиотеката съдържа доста остарели копия. Вторият аспект: приложенията, добавени от потребителите, могат да противоречат на лиценза на определена програма. Това трябва да се разбере и вземе предвид при създаването на персонализирани дистрибуции. И трето, никой не може да гарантира, че виртуалното приложение, публикувано в галерията, не е модифицирано от нападател.

Говорейки обаче за сигурност, Cameyo има 4 режима на работа на приложението:

  • Режим данни: програмата може да записва файлове в папка Документи и на работния плот
  • Изолиран: възможност за запис в файлова системаи регистърът липсва
  • Пълен достъп: безплатен достъп до файловата система и регистъра
  • Персонализирайте това приложение: модифициране на менюто за стартиране, избор къде да се съхранява програмата и т.н.

Резюме

Удобен облачна услуга, който може да бъде свързан към всеки компютър, което ви позволява бързо да създавате преносими приложения. Настройването на пясъчници е сведено до минимум, не всичко е прозрачно с проверката за вируси и сигурността като цяло - но в тази ситуация предимствата могат да компенсират недостатъците.

[+] Мрежова синхронизация
[+] Достъп до потребителски приложения
[+] Създаване на виртуални приложения онлайн
[−] Липса на настройки на пясъчника

Spoon.net

Spoon Tools е набор от инструменти за създаване на виртуални приложения. В допълнение към професионалната среда, spoon.net заслужава внимание като облачна услуга, която се интегрира с работния плот, което ви позволява бързо да създавате пясъчни кутии.

За да се интегрирате с работния плот, трябва да се регистрирате на сървъра spoon.net и да инсталирате специална джаджа. След регистрация потребителят има възможност да изтегля виртуални приложения от сървъра чрез удобна обвивка.

Четири функции, предоставени от джаджата:

  • Създавайте пясъчници за файлове и приложения
  • Почистване на вашия работен плот с помощта на преки пътища и менюта за бързо стартиране
  • Безопасно тестване на нови приложения, стартиране остарели версиивърху нови
  • Отмяна на промените, направени от пясъчника

Бързият достъп до джаджата spoon.net е възможен чрез клавишната комбинация Alt + Win. Черупката включва лента за търсене, а също и конзола. Той търси приложения на компютъра и в уеб услугата.

Организацията на работния плот е много удобна: можете да го плъзнете и пуснете върху виртуалния работен плот необходими файлове, който ще се синхронизира със spool.net. Нови пясъчни кутии могат да бъдат създадени само с две кликвания.

Разбира се, по отношение на настройката на пясъчници, Spoon не може да се конкурира с Sandboxie или Evalaze поради причината, че те просто не присъстват в Spoon. Не можете да зададете ограничения или да конвертирате „обикновено“ приложение във виртуално. Комплекс Spoon Studio е предназначен за тези цели.

Резюме

Spoon е „най-облачната“ обвивка за работа с виртуални приложения и в същото време най-малко персонализираната. Този продукт ще се хареса на потребители, които се грижат не толкова за сигурността чрез виртуализация, а по-скоро за удобството да работят с необходимите програми навсякъде.

[+] Интегриране на джаджата с работния плот
[+] Бързо създаване на пясъчници
[−] Липса на настройки за ограничаване на виртуални програми

Пивотна таблица

Програма/услугаПясъчникEvalazeВиртуална кутия EnigmaКамейоSpoon.net
РазработчикSandboxie Holdings LLCDogel GmbHЕкипът на разработчиците на Enigma ProtectorКамейоSpoon.net
РазрешителноShareware (€13+)Безплатен/споделен софтуер (€69,95)Безплатен софтуерБезплатен софтуерБезплатно (Основен акаунт)
Добавяне на приложения към пясъчника+
Персонализиране (създаване на преки пътища, интегриране в менюта)+ + + +
Съветник за настройка+ + +
Създаване на нови виртуални приложения+ + +
Онлайн синхронизация+ +
Задаване на привилегии на Sandbox+ + + +
Анализ на промените при създаване на пясъчник+ + +

Sandboxie ви позволява бързо да наблюдавате работата на приложенията, инсталирани на вашия компютър, а също така е инструмент за проактивна защита. За да премахнете напълно Sandboxie от всяко устройство, трябва да използвате някой от наличните методи за деинсталиране.

Относно програмата

Разработчикът е Ronen Tzur, приложението принадлежи към категорията shareware. Към януари 2019 г. има две версии на софтуерното решение:

  • 26 Конюшня;
  • 27.3 Бета.

Sandbox има прост и интуитивен интерфейс на английски и руски език. Възможна е инсталация на компютри с операционна система Windows система, започвайки от версия 7 и по-нова. Подходящ както за 32-битова, така и за 64-битова ОС. Помощната програма има така наречената „Sandbox“ - инструмент, който може значително да повиши нивото на сигурност на компютъра преди външни заплахи: похитители на браузъри, троянски коне, фишинг софтуер и други програми от категорията “Badware”.

Работи в Sandboxy

За да инсталирате, трябва да следвате прости стъпки:


Сега можете да започнете да работите в помощната програма, например да изтеглите всеки софтуер от интернет и да проверите изтеглената инсталация на пакета за вируси и софтуер на трети страни. За да сканирате всеки „exe“, ще трябва да изпълните следните стъпки:


В допълнение към проверката на софтуера за вируси, можете да стартирате всякакви приложения на вашия компютър, както и браузъри като Google Chrome, Opera, Mozilla Firefox, Internet Explorerи Yandex.Browser. За да направите това, просто следвайте тези прости стъпки:


Така с помощта на този софтуер можете да стартирате всякакви програми на вашия компютър в изолирана виртуална среда и да контролирате изпълняваните процеси. В този случай Sandbox няма да може да записва данни в регистъра, да има достъп до системни данни, да повлияе на производителността на компютъра и т.н.

Деинсталиране

Преди да започнете да деинсталирате Sandbox, ще трябва да почистите остатъчните файлове, които се появяват по време на работа на софтуера и запушват вашия компютър. Впоследствие, когато деинсталирате софтуера, потребителят няма да трябва да ги премахва ръчно. За да почистите „боклука“, трябва:


Стандартно деинсталиране

Премахнете напълно Sandboxie от вашия компютър с помощта на инсталатора „SandboxieInstall.exe“:

  1. Проверете дали програмата е затворена: отидете в „Диспечер на устройства“, като щракнете върху комбинацията Ctrl + Alt + Delete или като докоснете комбинацията Win + R и въведете командата „taskmgr“ в прозореца „Изпълнение“.
  2. В „Диспечер на задачите“ намерете изпълнимия exe файл с името на помощната програма, която трябва да бъде изтрита, в раздела „Процеси“, щракнете с левия бутон върху него и изберете опцията „Край на задачата“ в долната част на екрана.
  3. Отидете в прозореца „Стартиране“ и проверете дали софтуерът, който трябва да се деинсталира, има статус „Деактивиран“ и съответно не е в списъка за автоматично стартиране. За да направите това, щракнете с десния бутон върху обекта и щракнете върху „Деактивиране“. Ако се появи опцията от контекстното меню „Активиране“, значи всичко е наред, можете да продължите към следващата стъпка.
  4. Задръжте комбинацията Win + R и въведете кода „msconfig“, след което щракнете върху „OK“.
  5. В „Конфигурация на системата“ отидете в менюто „Зареждане“ и поставете отметка в квадратчето срещу опцията „ Безопасен режим" Не забравяйте да щракнете върху „Прилагане“, за да направени променивлязло в сила „ОК”.
  6. Потребителите на Windows OS версия 7 също ще трябва да отидат в раздела „Стартиране“ и да изключат софтуера от списъка за автоматично стартиране: щракнете с десния бутон върху името на файла в списъка с приложения за автоматично стартиране и изберете функцията „Деактивиране“.
  7. Рестартирайте компютъра си: Ще влезете в защитен режим.
  8. Стартирайте инсталационния файл “SandboxieInstall.exe” - “Напред”. В списъка с опции изберете „Изтриване на приложение“ (името на функцията може да се различава в зависимост от версията на инсталатора).
  9. Ще започне автоматичен процес на премахване на програмни компоненти от компютъра, след което се препоръчва допълнително да почистите компютъра от остатъчни файлове.
  10. Първо, трябва да отидете в “C:\ProgramFiles\”, да намерите директорията “Sanboxie” - щракнете с левия бутон върху намерената папка и натиснете Shift + Delete, за да деинсталирате обекта, без да го премествате в “Кошчето”.
  11. Сега трябва да задържите комбинацията Win + E и от прозореца „Explorer“ отидете на „Този ​​компютър“ - „Локален диск C“, изберете директорията „Потребители“, отидете в папката на текущия потребител, който е инсталирал помощната програма на неговия компютър изберете скрита папка"AppData".
  12. Ако указаната директория не се показва, тогава трябва да щракнете върху инструмента „Преглед“, намиращ се в горната част на „Explorer“ и да изберете „Опции“.
  13. Ще се отвори прозорецът „Опции за папки“, отидете на втория раздел, наречен „Преглед“, превъртете до най-долната част на екрана до секцията „Скрити файлове и папки“ и поставете отметка в квадратчето „Покажи“. скрити файлове..." Щракнете върху „Приложи“ и затворете „Опции на папката“.
  14. Отидете на AppData: в посочената директория има папки с имена „Local“, „LocalLow“ и „Roaming“ - проверете дали в тези папки няма файлове с име „Sandboxie“. Ако бъдат открити такива обекти, изберете ги и ги изтрийте с помощта на командата Shift + Delete.
  15. Върнете се на локалния диск „C“ и проверете скритата папка „ProgramData“ - тя не трябва да съдържа никакви файлове, свързани с отдалечената програма.
  16. Сега трябва да отидете в прозореца „Редактор на системния регистър“. Това може да стане с помощта на менюто "PowerShell (администратор)" - щракнете с десния бутон върху бутона "Старт" и отидете на съответната конзола.
  17. Запазете текущото състояние на регистъра, като използвате опцията „Експортиране...“, която се намира в менюто „Файл“. Посочете името на запазения reg файл и папка. Посочете диапазона за експортиране – „Цял регистър“. В бъдеще ще бъде възможно да възстановите регистъра от посочен файл(в случай, че възникнат проблеми след ръчно почистване на системния регистър).
  18. В прозореца на конзолата въведете кодовата фраза „regedit“ без кавички, „Enter“.
  19. Ще се отвори инструментът „Редактор на системния регистър“ - задръжте комбинацията Ctrl + F, въведете името на отдалечената „пясъчна кутия“ в лентата за търсене и след това щракнете върху „Намиране на следващия“.
  20. След няколко секунди мониторът ще покаже първия ключ на системния регистър, който остава след изтритото приложение. Щракнете двукратно върху обекта с левия бутон на мишката и проверете клетката „Стойност“ - тя трябва да съдържа препратка към „Пясъчна кутия“.
  21. За да изчистите системния регистър от намерен файл или папка, трябва да щракнете с десния бутон върху обекта и да започнете деинсталиране с помощта на опцията „Изтриване“. Потвърдете действието си, като кликнете върху „Да“. Преминете към следващия запис, като натиснете "F3".
  22. Повторете операцията за търсене и изтриване на ключове, докато на екрана се покаже съобщението „Търсенето в системния регистър е завършено“.
  23. За да рестартирате компютър.

Можете също да използвате една от наличните помощни програми за деинсталиране, за да премахнете Sandboxie от вашия компютър. Конкретно за това приложение CCleaner, RevoUninstaller, както и цялостен инструмент за почистване на системния регистър са най-подходящи Reg Organizer.

Нека да разгледаме механизма за деинсталиране във всяка от тези програми.

CCleaner

За да деинсталирате с помощта на този безплатен софтуер, трябва да изпълните следните стъпки:


Revo Uninstaller

За да премахнете Sandbox в Revo Uninstaller, ще трябва да извършите следните манипулации:


Reg Organizer

След като деинсталирате програмите, ще трябва да оптимизирате системния регистър. Помощната програма Reg Organizer, която може да бъде изтеглена от официалния уебсайт, се справя най-добре с тази задача. За да оптимизирате регистъра, ще ви трябва:


Има два основни начина за безопасно стартиране на подозрителен изпълним файл: под виртуална машина или в така наречената „пясъчна кутия“. Освен това последният може да бъде адаптиран по елегантен начин за оперативен анализ на файл, без да се прибягва до специализирани помощни програми и онлайн услуги и без да се използват много ресурси, както е в случая с виртуалната машина. Искам да ви разкажа за него.

ВНИМАНИЕ

Неправилното използване на описаната техника може да навреди на системата и да доведе до инфекция! Бъдете внимателни и внимателни.

Пясъчник за анализ

Хора, които го правят компютърна сигурност, са много запознати с концепцията за пясъчник. Накратко, sandbox е тестова среда, в която се изпълнява определена програма. В същото време работата е организирана по такъв начин, че всички действия на програмата се наблюдават, всички променени файлове и настройки се запазват, но нищо не се случва в реалната система. Като цяло можете да стартирате всякакви файлове с пълна увереност, че това няма да повлияе по никакъв начин на производителността на системата. Такива инструменти могат да се използват не само за осигуряване на сигурност, но и за анализиране на действията на зловреден софтуер, които извършва след стартиране. Разбира се, ако има моментна снимка на системата преди началото на активните действия и снимка на случилото се в пясъчника, можете лесно да проследите всички промени.

Разбира се, в интернет има много готови онлайн услуги, които предлагат анализ на файлове: Anubis, CAMAS, ThreatExpert, ThreatTrack. Такива услуги използват различни подходи и имат своите предимства и недостатъци, но можем да идентифицираме и общи основни недостатъци:

Трябва да имате достъп до интернет. Трябва да чакате на опашка по време на обработката (в безплатните версии). Обикновено файловете, създадени или модифицирани по време на изпълнение, не се предоставят. Не е възможно да се контролират параметрите за изпълнение (в безплатните версии). Невъзможно е да се намесите в процеса на стартиране (например щракнете върху бутоните на прозорците, които се появяват). Обикновено не е възможно да се осигурят специфичните библиотеки, необходими за изпълнение (в безплатните версии). По правило се анализират само изпълними PE файлове.

Такива услуги най-често се изграждат на базата на виртуални машини с инсталирани инструменти, включително дебъгери на ядрото. Могат да се организират и у дома. Тези системи обаче изискват доста ресурси и заемат голямо количество пространство на твърдия диск, а анализирането на регистрационните файлове на дебъгера отнема много време. Това означава, че те са много ефективни за задълбочено изследване на определени проби, но е малко вероятно да бъдат полезни в рутинна работа, когато няма начин да заредите системните ресурси и да губите време за анализ. Използването на пясъчник за анализ ви позволява да избегнете огромни разходи за ресурси.

Няколко предупреждения

Днес ще се опитаме да направим наш собствен анализатор, базиран на пясъчна кутия, а именно помощната програма Sandboxie. Тази програма е достъпна като shareware на уебсайта на автора www.sandboxie.com. За нашите изследвания ограничената безплатна версия е доста подходяща. Програмата изпълнява приложения в изолирана среда, така че да не правят злонамерени промени в реалната система. Но тук има два нюанса:

  1. Sandboxie ви позволява да наблюдавате само програми на ниво потребителски режим. Цялата дейност със зловреден код в режим на ядрото не се наблюдава. Следователно, най-много, което може да се научи при изучаването на руткитове, е как зловредният софтуер се въвежда в системата. За съжаление е невъзможно да се анализира самото поведение на ниво режим на ядрото.
  2. В зависимост от настройките Sandboxie може да блокира достъпа до интернет, да разреши пълен достъп или достъп само за индивидуални програми. Ясно е, че ако зловреден софтуер се нуждае от достъп до интернет, за да работи нормално, той трябва да бъде предоставен. От друга страна, ако на флашката ви лежи Pinch, който се стартира, събира всички пароли в системата и ги изпраща на атакуващия през ftp, тогава Sandboxie с свободен достъпинтернет няма да ви предпази от загуба конфиденциална информация! Това е много важно и трябва да се помни.

Първоначална настройка на Sandboxie

Sandboxie е страхотен инструмент с голяма суманастройки. Ще спомена само онези от тях, които са необходими за нашите задачи.

След инсталиране на Sandboxie автоматично се създава една пясъчна кутия. Можете да добавите още няколко пясъчника за различни задачи. Достъпът до настройките на пясъчника се осъществява чрез контекстно меню. По правило всички параметри, които могат да се променят, са снабдени с достатъчно Подробно описаниена руски. Параметрите, изброени в секциите „Възстановяване“, „Премахване“ и „Ограничения“, са особено важни за нас. Така:

  1. Трябва да се уверите, че нищо не е посочено в раздела „Възстановяване“.
  2. В секцията „Изтриване“ не трябва да има маркирани квадратчета и/или добавени папки и програми. Ако зададете неправилно параметрите в секциите, посочени в параграфи 1 и 2, това може да доведе до зловреден кодще зарази системата или всички данни за анализ ще бъдат унищожени.
  3. В секцията „Ограничения“ трябва да изберете настройките, които отговарят на вашите задачи. Почти винаги е необходимо да се ограничи достъпът на ниско ниво и използването на хардуер за всички работещи програми, за да се предотврати заразяването на системата с руткитове. Но ограничаването на достъпа до стартиране и изпълнение, както и отнемането на права, напротив, не си струва, в противен случай подозрителен код ще бъде изпълнен в нестандартна среда. Всичко обаче, включително наличието на достъп до интернет, зависи от задачата.
  4. За яснота и удобство в секцията „Поведение“ се препоръчва да активирате опцията „Показване на рамката около прозореца“ и да изберете цвят, за да подчертаете програмите, работещи в ограничена среда.

Свързване на добавки

С няколко щраквания получихме отлична изолирана среда за безопасно изпълнение на код, но не и инструмент за анализ на поведението му. За щастие, авторът на Sandboxie е предоставил възможност за използване на редица плъгини за своята програма. Концепцията е доста интересна. Добавките са динамични библиотеки, въведен в процес, работещ в пясъчник и по определен начин регистриращ или модифициращ неговото изпълнение.

Ще ни трябват няколко добавки, които са изброени по-долу.

  1. SBIExtra. Този плъгин прихваща редица функции за програма в пясъчна среда, за да блокира следните функции:
    • преглед на изпълняваните процеси и нишки;
    • достъп до процеси извън пясъчника;
    • извикване на функцията BlockInput (въвеждане от клавиатура и мишка);
    • Четене на заглавията на активните прозорци.
  2. Антидел. Добавката прихваща функции, отговорни за изтриването на файлове. Така всички временни файлове, чиято команда за изтриване идва от изходния код, остават на местата си.

Как да ги интегрирате в пясъчника? Тъй като това не се предоставя от интерфейса Sandboxie, ще трябва да редактирате конфигурационния файл ръчно. Създайте папка Plugins и разопаковайте всички подготвени добавки в нея. Сега внимание: Buster Sandbox Analyzer включва няколко библиотеки с общо име LOG_API*.dll, които могат да бъдат инжектирани в процеса. Има два типа библиотеки: Verbose и Standard. Първият показва почти пълен списък API повиквания, направени от програмата, включително повиквания към файлове и регистър, вторият е съкратен списък. Намаляването ви позволява да ускорите работата и да намалите дневника, който след това трябва да бъде анализиран. Лично аз не се страхувам от големи регистрационни файлове, но се страхувам, че част от необходимата информация ще бъде внимателно „изрязана“, затова избирам Verbose. Именно тази библиотека ще инжектираме. За да попречим на злонамерения софтуер да забележи инжектирането на библиотека по нейното име, ще използваме най-простата предпазна мярка: сменете името LOG_API_VERBOSE.dll с друго име, например LAPD.dll.


Сега в главния прозорец на Sandboxie изберете „Конфигуриране -> Редактиране на конфигурация“. Ще се отвори текстова конфигурация с всички настройки на програмата. Нека веднага да обърнем внимание на следните редове:

  • Параметърът FileRootPath в секцията указва общия път до папката на пясъчника, тоест папката, в която ще бъдат разположени всички файлове на пясъчника. За мен този параметър изглежда като FileRootPath=C:\Sandbox\%SANDBOX%, може да е различно за вас.
  • Разделът не представлява интерес за нас - пропускаме го и превъртаме по-нататък.
  • След това има раздел, чието име е същото като името на пясъчната кутия (нека бъде BSA). Това е мястото, където ще добавим добавки: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пътищата, разбира се, могат да се различават. Но редът на инжектираните библиотеки трябва да бъде точно такъв! Това изискване се дължи на факта, че функциите трябва да бъдат прихванати в посочения ред, в противен случай добавките няма да работят. За да приложите промените, изберете в главния прозорец на Sandboxie: „Конфигуриране -> Презареждане на конфигурацията“.

Сега нека конфигурираме самия плъгин Buster Sandbox Analyzer.

  1. Стартираме плъгина ръчно с помощта на файла bsa.exe от папката Plugins.
  2. Изберете „Опции -> Режим на анализ –> Ръчно“ и след това „Опции -> Опции на програмата -> Интегриране на Windows Shell -> Добавяне на действие с десния бутон на мишката „Изпълни BSA““.

Сега всичко е готово за работа: нашата пясъчна кутия е интегрирана в системата.

Преносима версия на пясъчника

Разбира се, на мнозина няма да им хареса факта, че трябва да инсталират, конфигурират и т.н. Тъй като всичко това също не ме харесва, направих преносима версия на инструмента, която може да се стартира без инсталация и конфигурация, директно от флаш шофиране. Можете да изтеглите тази версия тук: tools.safezone.cc/gjf/Sandboxie-portable.zip. За да стартирате пясъчника, просто стартирайте скрипта start.cmd и в края на работата не забравяйте да стартирате скрипта stop.cmd, който напълно ще разтовари драйвера и всички компоненти от паметта, а също така ще запази направените промени по време на работа в преносимия.

Самият portabelizer има много малко настройки: работата му се основава главно на манипулации с файла Sandboxie.ini.template, който се намира в папката Templates. По същество този файл е файл с настройки на Sandboxie, който се обработва правилно и се предава на програмата и когато приключи, се презаписва обратно в шаблони. Ако отворите този файл с Notepad, едва ли ще намерите нещо интересно. Определено трябва да обърнете внимание на модела $(InstallDrive), който се повтаря в редица параметри на пътя. Особено се интересуваме от параметъра FileRootPath. Ако изглежда така:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

След това ще бъдат създадени „пясъчни кутии“ на диска, където се намира преносимият Sandboxie. Ако параметърът има например следната форма:

FileRootPath=C:\Sandbox\%SANDBOX%

С други думи, той уточнява определен системен диск, тогава пясъчници ще бъдат създадени на този диск.

Лично аз препоръчвам винаги да създавате пясъчници на локални дискове. Това ускорява работата на инструмента, а когато работи от флашка, се ускорява с порядъци. Ако сте толкова измъчвани от параноя, че искате да пуснете и анализирате всичко на любимия си носител, който носите близо до сърцето си, тогава параметърът може да бъде променен, но тогава поне използвайте преносим твърди дисковетака че всичко да не се забави ужасно.

Практическа употреба

Нека изпробваме нашия инструмент върху реална заплаха. За да не ме обвини никой в ​​измама, направих едно просто нещо: отидох на www.malwaredomainlist.com и изтеглих най-новото нещо, което се появи там към момента на писане. Оказа се хубав файл pp.exe от някакъв заразен сайт. Самото име вдъхва голяма надежда, освен това моята антивирусна програма веднага изкрещя на този файл. Между другото, по-добре е да извършваме всички манипулации с изключена антивирусна програма, в противен случай рискуваме да блокираме/изтрием нещо от това, което изследваме. Как да изследваме поведението на двоичен файл? Просто щракнете с десния бутон върху този файл и изберете Run BSA от падащото меню. Ще се отвори прозорецът на Buster Sandbox Analyzer. Погледнете внимателно папката Sandbox, за да проверите. Всички параметри трябва да съвпадат с тези, които посочихме при настройката на Sandboxie, т.е. ако пясъчната среда е наречена BSA и пътят до папката е зададен на FileRootPath=C:\Sandbox\%SANDBOX%, тогава всичко трябва да е както на екранната снимка . Ако знаете много за извращенията и сте кръстили пясъчната среда по различен начин или сте конфигурирали параметъра FileRootPath на друго устройство или папка, трябва да го промените съответно. В противен случай Buster Sandbox Analyzer няма да знае къде да търси нови файлове и промени в системния регистър.


BSA включва много настройки за анализиране и изучаване на процеса на двоично изпълнение, до прихващане на мрежови пакети. Чувствайте се свободни да щракнете върху бутона Стартиране на анализ. Прозорецът ще премине в режим на анализ. Ако пясъчникът, избран за анализ, по някаква причина съдържа резултатите от предишно проучване, помощната програма ще предложи първо да го изчисти. Всичко е готово за стартиране на разследвания файл.

Готов? След това щракнете с десния бутон върху файла, който изучавате, и в менюто, което се отваря, изберете „Run in sandbox“, след което изберете „sandbox“, към който сме прикрепили BSA.

Веднага след това в прозореца на анализатора ще се изпълняват API извиквания, които ще бъдат записани в регистрационните файлове. Моля, обърнете внимание, че самият Buster Sandbox Analyzer не знае кога ще приключи анализът на процеса; всъщност сигналът за края е вашето щракване върху бутона Завършване на анализа. Откъде знаеш, че времето вече е дошло? Тук може да има два варианта.

  1. Прозорецът Sandboxie не показва никакви работещи процеси. Това означава, че програмата очевидно е прекратена.
  2. В списъка с извиквания на API за дълго времене се появява нищо ново или, напротив, едно и също нещо се показва в циклична последователност. В същото време нещо друго работи в прозореца на Sandboxie. Това се случва, ако програмата е конфигурирана за резидентно изпълнение или просто е замразена. В този случай той трябва първо да бъде прекратен ръчно, като щракнете с десния бутон върху съответната пясъчна кутия в прозореца на Sandboxie и изберете „Край на програмите“. Между другото, когато анализирах моя pp.exe, се случи точно тази ситуация.

След това можете спокойно да изберете Finish Analysis в прозореца на Buster Sandbox Analyzer.


Анализ на поведението

Щраквайки върху бутона Malware Analyzer, веднага ще получим обобщена информация за резултатите от изследването. В моя случай злонамереността на файла беше напълно очевидна: по време на изпълнение беше създаден и стартиран файлът C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, който беше добавен към стартирането (между другото, беше този файл, който не искаше да приключи сам), беше направена връзка с 190.9.35.199 и файлът hosts беше модифициран. Между другото, само пет антивирусни машини са открили файла на VirusTotal, както се вижда от регистрационните файлове, както и на уебсайта на VirusTotal.


Цялата информация за резултатите от анализа може да бъде получена директно от менюто Viewer в прозореца на Buster Sandbox Analyzer. Има и дневник на API извикванията, който със сигурност ще бъде полезен за подробно проучване. Всички резултати се съхраняват като текстови файлове в подпапката Reports на папката Buster Sandbox Analyzer. От особен интерес е отчетът Report.txt (извикан чрез View Report), който предоставя разширена информация за всички файлове. Именно оттам научаваме, че временните файлове всъщност са били изпълними, връзката е отивала към http://190.9.35.199/view.php?rnd=787714, злонамереният софтуер е създал специфичен mutex G4FGEXWkb1VANr и т.н. Можете не само да преглеждате доклади, но също така извлича всички файлове, създадени по време на изпълнение. За да направите това, в прозореца Sandboxie щракнете с десния бутон върху „пясъчната кутия“ и изберете „Преглед на съдържанието“. Ще се отвори прозорец на Explorer с цялото съдържание на нашата „пясъчна кутия“: папката на устройството съдържа файлове, създадени на физическите дискове на пясъчната среда, а потребителската папка съдържа файлове, създадени в активния потребителски профил (%userprofile%). Тук намерих dplaysvr.exe с библиотека dplayx.dll, временни tmp файлове и модифицирани hosts файл. Между другото се оказа, че към него са добавени следните редове:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Моля, имайте предвид, че в пясъчника има заразени файлове. Ако случайно щракнете двукратно върху тях, нищо няма да се случи (те ще се изпълняват в пясъчника), но ако ги копирате някъде и след това ги изпълните... хм, добре, схванахте идеята. Тук, в папката, можете да намерите дъмп на системния регистър, променен по време на работа, под формата на RegHive файл. Този файл може лесно да бъде преобразуван в по-четлив reg файл с помощта на следния команден скрипт:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Какво може и какво не може да направи инструментът

Полученият инструмент може:

  • Наблюдавайте извикванията на API от работещо приложение.
  • Нова песен генерирани файловеи настройки на системния регистър.
  • Прихващане на мрежов трафик, докато приложението работи.
  • Извършване на основен анализ на файлове и тяхното поведение (вграден поведенчески анализатор, анализ на VirusTotal чрез хешове, анализ с помощта на PEiD, ExeInfo и ssdeep и др.).
  • вземете малко Допълнителна информациячрез изпълнение на спомагателни програми (например Process Monitor) в пясъчната среда заедно с тази, която се анализира.

Този инструмент не може:

  • Анализирайте зловреден софтуер, работещ в режим на ядро ​​(изисква инсталиране на драйвер). Въпреки това е възможно да се идентифицира механизмът за инсталиране на драйвера (преди той действително да бъде внедрен в системата).
  • Анализирайте зловреден софтуер за проследяване на изпълнението в Sandboxie. Buster Sandbox Analyzer обаче включва редица механизми за предотвратяване на такова проследяване.

Така ще получите sandbox.reg, който съдържа редовете, добавени от зловреден софтуер по време на изпълнение. След като извършите анализа, изберете Отказ от анализа от менюто Опции, за да върнете всичко както си беше. Моля, обърнете внимание, че след тази операция всички регистрационни файлове за анализ ще бъдат изтрити, но съдържанието на пясъчника ще остане на мястото си. При следващото стартиране обаче програмата ще предложи да изтриете всичко.



Сподели с приятели:
Свързани публикации