Настройка песочницы sandbox. Использование программы Sandboxie

Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

WARNING

Неправильное использование описанной методики может нанести вред системе и привести к заражению! Будь внимателен и осторожен.

«Песочница» для анализа

Люди, которые занимаются компьютерной безопасностью, хорошо знакомы с концепцией «песочницы». Если вкратце, «песочница» - эта тестовая среда, в которой выполняется некая программа. При этом работа налажена таким образом, что все действия программы отслеживаются, все изменяемые файлы и настройки сохраняются, но в реальной системе ничего не происходит. В общем, можешь запускать любые файлы в полной уверенности, что на работоспособность системы это никак не повлияет. Такие инструменты можно использовать не только для обеспечения безопасности, но и для анализа тех действий зловреда, которые он выполняет после запуска. Еще бы, ведь если есть слепок системы до начала активных действий и картина того, что произошло в «песочнице», можно легко отследить все изменения.

Конечно, в Сети есть масса готовых онлайн-сервисов, которые предлагают анализ файлов: Anubis , CAMAS , ThreatExpert , ThreatTrack . Подобные сервисы используют разные подходы и имеют свои достоинства и недостатки, но можно выделить и общие основные минусы:

Необходимо иметь доступ к интернету. Необходимо ждать очереди в процессе обработки (в бесплатных версиях). Как правило, файлы, создаваемые или изменяемые в ходе выполнения, не предоставляются. Невозможно контролировать параметры выполнения (в бесплатных версиях). Невозможно вмешиваться в процесс запуска (например, нажимать на кнопки появляющихся окон). Как правило, невозможно предоставлять специфические библиотеки, необходимые для запуска (в бесплатных версиях). Как правило, анализируются только исполняемые РЕ-файлы.

Такие сервисы чаще всего строятся на основе виртуальных машин с установленным инструментарием, вплоть до отладчиков ядра. Их можно организовать и дома. Однако эти системы достаточно требовательны к ресурсам и занимают большой объем на жестком диске, а анализ логов отладчика уходит много времени. Это значит, что они весьма эффективны при глубоком исследовании определенных образцов, но вряд ли смогут оказаться полезными в рутинной работе, когда нет возможности нагружать ресурсы системы и тратить время на анализ. Использование «песочницы» для анализа позволяет обойтись без огромных затрат ресурсов.

Пара предупреждений

Сегодня мы попробуем сделать свой собственный анализатор на основе «песочницы», а именно утилиты Sandboxie. Эта программа доступна как условно-бесплатная на сайте автора www.sandboxie.com . Для нашего исследования вполне подойдет ограниченная бесплатная версия. Программа запускает приложения в изолированной среде, так что они не производят вредоносных изменений в реальной системе. Но тут есть два нюанса:

1. Sandboxie позволяет отслеживать только программы на уровне user mode. Вся деятельность вредоносного кода в режиме ядра не отслеживается. Поэтому максимум, что удастся узнать при изучении руткитов - это каким образом вредонос внедряется в систему. Проанализировать само поведение на уровне kernel mode, к сожалению, невозможно.
2. В зависимости от настроек Sandboxie может блокировать выход в Сеть, разрешать полный доступ или доступ только для отдельных программ. Понятно, что, если для нормального запуска вредоносу нужен выход в интернет, необходимо его предоставить. С другой стороны, если у тебя на флешке валяется Pinch, который запускается, собирает все пароли в системе и отправляет их на ftp злоумышленнику, то Sandboxie с открытым доступом в интернет не защитит тебя от потери конфиденциальной информации! Это очень важно, и об этом следует помнить.

Первичная настройка Sandboxie

Sandboxie - великолепный инструмент с большим количеством настроек. Упомяну лишь те из них, которые необходимы для наших задач.

После установки Sandboxie автоматически создается одна «песочница». Ты можешь добавить еще несколько «песочниц» под разные задачи. Доступ к настройкам «песочницы» осуществляется через контекстное меню. Как правило, все параметры, которые можно изменять, снабжены достаточно подробным описанием на русском языке. Для нас особенно важны параметры, перечисленные в разделах «Восстановление», «Удаление» и «Ограничения». Итак:

1. Необходимо убедиться, что в разделе «Восстановление» ничего не указано.
2. В разделе «Удаление» не должны быть никаких проставлены галки и/или отмечены добавленные папки и программы. Если неправильно выставить параметры в разделах, указанных в пунктах 1 и 2, это может привести к тому, что вредоносный код заразит систему или все данные для анализа будут уничтожены.
3. В разделе «Ограничения» необходимо выбрать настройки, соответствующие твоим задачам. Практически всегда необходимо ограничивать доступ низкого уровня и использование аппаратных средств для всех выполняемых программ, чтобы не допустить заражения системы руткитами. А вот ограничивать доступ на запуск и выполнение, а также забирать права, наоборот, не стоит, иначе подозрительный код будет выполняться в нестандартной среде. Впрочем, всё, в том числе и наличие доступа к интернету, зависит от задачи.
4. Для наглядности и удобства в разделе «Поведение» рекомендуется включить опцию «Отображать границу вокруг окна» и выбрать цвет для выделения программ, выполняемых в ограниченной среде.

Подключаем плагины

В несколько кликов мы получили отличную изолированную среду для безопасного выполнения кода, но не инструмент для анализа его поведения. К счастью, автор Sandboxie предусмотрел возможность использования целого ряда плагинов для своей программы. Концепция довольно интересна. Аддоны представляют собой динамические библиотеки, внедряемые в выполняемый в «песочнице» процесс и определенным образом регистрирующие или модифицирующие его выполнение.

Нам понадобится несколько плагинов, которые перечислены ниже.

1. SBIExtra . Этот плагин осуществляет перехват ряда функций для выполняемой в песочнице программы, чтобы блокировать следующие возможности:
   • обзор исполняемых процессов и потоков;
   • доступ к процессам вне пределов «песочницы»;
   • вызов функции BlockInput (ввод с клавиатуры и мыши);
   • считывание заголовков активных окон.
2. Antidel . Аддон перехватывает функции, отвечающие за удаление файлов. Таким образом, все временные файлы, команда на удаление которых поступает от исходного кода, все равно остаются на своих местах.

Как интегрировать их в «песочницу»? Поскольку это не предусмотрено средствами интерфейса Sandboxie, редактировать файл конфигурации придется вручную. Создаем папку Plugins и распаковываем в нее все подготовленные плагины. Теперь внимание: в состав Buster Sandbox Analyzer входит несколько библиотек с общим именем LOG_API*.dll, которые могут инжектироваться в процесс. Есть два типа библиотек: Verbose и Standard. Первый отображает практически полный список вызовов API, выполняемых программой, включая обращения к файлам и реестру, второй - сокращенный список. Сокращение позволяет ускорить работу и уменьшить журнал, который затем придется анализировать. Лично я не боюсь больших логов, зато опасаюсь того, что какая-нибудь нужная инфа будет заботливо «сокращена», поэтому выбираю Verbose. Именно эту библиотеку мы и будем инжектировать. Чтобы зловред не смог заметить инжект библиотеки по ее имени, применим простейшую меру предосторожности: сменим имя LOG_API_VERBOSE.dll на любое другое, например LAPD.dll.

Теперь в главном окне Sandboxie выбираем «Настроить -> Редактировать конфигурацию». Откроется текстовый конфиг со всеми настройками программы. Сразу обращаем внимание на следующие строки:

• Параметр FileRootPath в разделе указывает общий путь к папке изолированной среды, то есть к папке, где будут находиться все файлы «песочницы». У меня этот параметр имеет вид FileRootPath=C:\Sandbox\%SANDBOX%, у тебя он может отличаться.
• Раздел нас не интересует - его пропускаем и листаем дальше.
• Затем идет раздел, имя которого совпадает с названием «песочницы» (пусть это будет BSA). Сюда мы и будем добавлять плагины:InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD.dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пути, конечно, могут отличаться. Но порядок инжектируемых библиотек обязательно должен быть именно таким! Это требование связано с тем, что перехват функций должен осуществляться именно в указанном порядке, иначе плагины работать не будут. Чтобы применить изменения, выбираем в главном окне Sandboxie: «Настроить -> Перезагрузить конфигурацию».

Теперь настроим сам плагин Buster Sandbox Analyzer.

1. Запускаем плагин вручную, воспользовавшись файлом bsa.exe из папки Plugins.
2. Выбираем «Options -> Analysis mode –> Manual» и далее «Options -> Program Options -> Windows Shell Integration -> Add right-click action "Run BSA"».

Теперь всё готово для работы: наша «песочница» интегрирована в систему.

Portable-версия «песочницы»

Безусловно, многим не понравится, что надо что-то устанавливать, настраивать и т. д. Так как меня всё это тоже не прельщает, я сделал портабельную версию инструмента, который можно запускать без установки и настройки, прямо с флешки. Скачать такую версию можно здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip . Для запуска «песочницы» достаточно выполнить скрипт start.cmd, а по окончании работы не забыть выполнить скрипт stop.cmd, который полностью выгрузит драйвер и все компоненты из памяти, а также сохранит внесенные в ходе работы изменения в портабеле.

Настроек у самого портабелизатора совсем не много: его работа в основном основана на манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates. По сути, этот файл представляет собой файл настроек Sandboxie, который должным образом обрабатывается и передается программе, а по окончании работы перезаписывается обратно в Templates. Если открыть этот файл «Блокнотом», то ты вряд ли найдешь что-то интересное. Нужно обязательно обратить внимание на шаблон $(InstallDrive), повторяющийся в ряде параметров пути. Особенно нас интересует параметр FileRootPath. Если он имеет следующий вид:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

То «песочницы» будут создаваться на диске, где находится портабельная Sandboxie. Если же параметр имеет, например, такой вид:

FileRootPath=C:\Sandbox\%SANDBOX%

Иначе говоря в нем указан определенный системный диск, то «песочницы» будут создаваться на этом диске.

Лично я рекомендую всегда создавать песочницы на локальных дисках. Это ускоряет работу инструмента, а при запуске с флешки - ускоряет на порядки. Если же тебя настолько замучила паранойя, что хочется всё запускать и анализировать на любимом носителе, который ты носишь у сердца, то параметр можно поменять, но тогда хотя бы используй портабельные жесткие диски, чтобы всё безбожно не тормозило.

Практическое применение

Попробуем наш инструмент на реальной угрозе. Чтобы никто не упрекнул меня в подтасовке, я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее, что там появилось на момент написания статьи. Это оказался премилый файл pp.exe с какого-то зараженного сайта. Одно только название внушает большие надежды, кроме того, на этот файл сразу заорал мой антивирус. К слову, все наши манипуляции лучше производить при отключенном антивирусе, иначе мы рискуем заблокировать/удалить что-нибудь из того, что исследуем. Как изучить поведения бинарника? Просто нажимаем правой кнопкой на этот файл и выбираем в выпавшем меню пункт Run BSA. Откроется окно Buster Sandbox Analyzer. Внимательно смотрим в строку Sandbox folder to check. Все параметры должны совпадать с теми, которые мы указали при настройке Sandboxie, то есть если песочница получила название BSA, а в качестве пути к папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то вс,ёе должно быть как на скриншоте. Если же ты знаешь толк в извращениях и назвал песочницу по-другому или настроил параметр FileRootPath на другой диск или папку, его нужно изменить соответствующим образом. В противном случае Buster Sandbox Analyzer не будет знать, где искать новые файлы и изменения в реестре.

BSA включает в себя массу настроек по анализу и изучению процесса выполнения бинарника, вплоть до перехвата сетевых пакетов. Смело нажимай кнопку Start Analysis. Окно перейдет в режим анализа. Если песочница, выбранная для анализа, по каким-то причинам содержит результаты предыдущего исследования, утилита предложит предварительно ее очистить. Все готово к запуску исследуемого файла.

Готов? Тогда нажми на изучаемый файл правой кнопкой мыши и в открывшемся меню выбери «Запустить в песочнице», после чего укажи ту «песочницу», к которой мы прикрутили BSA.

Сразу после этого в окне анализатора побегут API-вызовы, которые будут фиксироваться в лог-файлах. Обрати внимание, что сам Buster Sandbox Analyzer не знает, когда завершится анализ процесса, фактически сигналом к окончанию служит именно твое жмакание на кнопку Finish Analysis. Как же узнать, что время уже наступило? Тут может быть два варианта.

1. В окне Sandboxie не отображается ни один выполняемый процесс. Это означает, что выполнение программы явно завершилось.
2. В списке API-вызовов долгое время не появляется ничего нового или, наоборот, одно и то же выводится в циклической последовательности. При этом в окне Sandboxie что-то еще выполняется. Такое бывает, если программа настроена на резидентное выполнение или попросту зависла. В этом случае ее необходимо вначале завершить вручную, нажав правой кнопкой в окне Sandboxie на соответствующую «песочницу» и выбрав «Завершить программы». Кстати, при анализе моего pp.exe произошла именно такая ситуация.

После этого можно смело выбирать Finish Analysis в окне Buster Sandbox Analyzer.

Анализ поведения

Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:\Documents and Settings\Администратор\Application Data\dplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу http://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user - файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Что умеет и не умеет инструмент

Полученный инструмент умеет:

• Отслеживать API-вызовы запущенного приложения.
• Отслеживать новые создаваемые файлы и параметры реестра.
• Перехватывать сетевой трафик при выполнении приложения.
• Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
• Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.

Этот инструмент не может:

• Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
• Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

Таким образом, ты получишь sandbox.reg, в котором указаны строки, внесенные зловредом в ходе выполнения. После выполнения анализа выбери в меню Options пункт Cancel analysis, чтобы вернуть всё как было. Учти, что после этой операции все журналы анализа будут удалены, но содержимое «песочницы» останется на месте. Впрочем, при следующем запуске программа сама предложит все удалить.

Программа Sandboxie создает на компьютере изолированную среду. Изолированная среда или «песочница» - это среда, где запущенные программы не имеют прямого доступа к системным файлам и важным настройкам компьютера.

Процессы, происходящие в запущенной программе, изолированы от остальной системы. Операционная система при этом защищена от изменений, которые могут произойти при запуске потенциально опасной программы.

Вы можете использовать изолированную среду для запуска неизвестной вам программы или после запуска браузера посетить потенциально опасный сайт, без риска для своего компьютера.

Если вредоносная программа все-таки проникла к вам на компьютер, то у нее не будет допуска к системным файлам, чтобы их изменить. А когда вы выйдите из изолированной среды, то все проникшие в изолированную среду файлы будут удалены.

Создать свою изолированную среду можно с помощью специализированных программ, которые ограничивают доступ к системным файлам. Одной из таких программ является программа Sandboxie.

Программа Sandboxie - песочница для потенциально опасных и незнакомых программ, а также для безопасного серфинга в Интернете.

Программа Sandboxie имеет статус условно-бесплатной. По завершении 30 дней работы с программой, программа будет просить вас перейти на платную версию. Но, большинство функций программы, будет работать в бесплатном режиме сколько угодно времени. Только некоторые функции этой программы будут отключены (например, одновременный запуск нескольких «песочниц»).

Скачать программу Sandboxie можно с официального сайта производителя.

Sandboxie скачать

После загрузки программы Sandboxie на свой компьютер, запускаете ее установку. В окне установки программы выбираете русский язык.

В следующем окне вы соглашаетесь на установку драйвера для программы Sandboxie, а затем нажимаете на кнопку «Далее». В последнем окне установки программы нажимаете на кнопку «Готово».

Программу можно запускать из меню «Пуск» => «Все программы» => «Sandboxie». Здесь есть несколько пунктов запуска программы для конкретных целей.

Программу Sandboxie также можно запустить и из Панели уведомлений (трея), нажав нажав для этого на значок программы. С ярлыка на Рабочем столе можно запустить в «песочнице» браузер, тот, который выбран в вашей системе браузером по умолчанию.

Запускаете Sandboxie, чтобы сделать несколько настроек программы. В главном окне программы отображается созданная по умолчанию изолированная среда - «песочница».

Теперь рассмотрим такой вопрос: как настроить Sandboxie.

Настройка Sandboxie

Для настройки программы нажмите правой кнопкой мыши по названию «песочницы». После этого в контекстном меню нажмите на пункт «Настройки песочницы».

В окне настройки песочницы - «DefaultBox», в разделе «Поведение» вы можете поставить флажок напротив пункта «Не показывать индикатор Sandboxie в заголовке окна», если вы не хотите, чтобы окна открытых в «песочнице» программ отмечались особым значком. Это можете делать на свое усмотрение.

При нажатии на желтое поле, в открывшемся окне «Цвет», вы можете выбрать цвет, для отображения тонкой границы вокруг окна программы запущенной в «песочнице». После этих настроек, если вы что-то поменяли в настройках программы, нажимаете на кнопку «Применить».

В разделе «Восстановление», в подразделе «Быстрое восстановление», вы можете выбрать папки для быстрого восстановления, если хотите изменить настройки программы по умолчанию.

В подразделе «Немедленное восстановление», вы можете исключить из немедленного восстановления файлы, папки или типы расширений файлов, если эти файлы будут сохранены программой, запущенной в «песочнице».

В разделе «Удаление» в подразделе «Предложение удаления», вы можете отметить флажком пункт «Никогда не удалять эту песочницу и не очищать ее содержимое», для того, чтобы не потерять хранившиеся в «песочнице» данные.

В разделе «Ограничения», в подразделе «Доступ в Internet» вы можете добавить программы в список или удалить программы из списка программ, которые могут получить доступ в Интернет. Вы можете разрешать или запрещать программам выходить в сеть Интернет, когда они находятся в безопасной среде. Если вы нажмете на кнопку блокировать все программы, то всем программам, запущенным в «песочнице» будет заблокирован выход в Интернет.

В разделе «Приложения» вы можете выбрать правила поведения для различных программ запущенных в программе Sandboxie.

В разделе меню «Песочница» нажав на пункт «Установить папку для хранения», вы можете изменить диск, на котором будут храниться «песочницы», если у вас мало места на диске «C».

После нажатия на пункт «Создать новую песочницу», вы можете создавать еще неограниченное количество «песочниц», каждую со своими настройками, чтобы запускать программы с разными настройками поведения из своей «песочницы».

Этот режим запуска нескольких песочниц одновременно, работает только в платном варианте программы, после завершения ознакомительного периода работы с программой.

Каждое виртуальное пространство работает отдельно, песочницы изолированы от системы и друг от друга. По умолчанию, в приложении предлагается одно изолированное пространство Sandbox DefaultBox.

Как пользоваться Sandboxie

Первый способ . Для того, чтобы запустить программу в безопасном режиме, кликните правой кнопкой мыши по названию «песочницы» и в контекстном меню нажмите на пункт «Запустить в песочнице». В списке пунктов запуска вы можете выбрать соответствующий пункт для запуска программы.

Вы можете запустить браузер, почтовый клиент, установленный по умолчанию, а также запустить любую программу отсюда или из меню «Пуск». Также вы можете запустить в безопасной среде Проводник, если нажмете на пункт «Запустить Windows Explorer».

После этого Проводник будет запущен в защищенной среде. Для завершения работы Проводника, в окне «Управление Sandboxie» нажмите правой кнопкой мыши по папке программы, а в контекстном меню выберите пункт «Завершить программу», или просто закройте Проводник обычным для программ способом, нажав для этого на красную кнопку.

Второй способ . Еще проще будет запустить программу в Sandboxie, просто нажав на папку или ярлык программы, а затем выбрать в контекстном меню пункт «Запустить в песочнице».

Если вы создали несколько «песочниц», то программа Sandboxie предложит вам выбрать для запуска программы нужную «песочницу». Выбираете изолированную среду, а потом нажимаете на кнопку «ОК».

После этого программа запускается в изолированной среде. При наведении курсора мыши на запущенную в изолированной среде программу, вокруг окна программы будет видна тонкая цветная граница.

Восстановление файлов в Sandboxie

Программа Sandboxie не позволяет файлам из программы запущенной в «песочнице» проникать в операционную систему без вашего разрешения. Все файлы созданные программой или загруженные из Интернета, по умолчанию будут удалены после закрытия изолированной среды.

Работая в программе Sandboxie можно создавать и сохранять файлы в обычных папках на своем компьютере. Эти файлы не будут видны, пока вы не дадите разрешения программе Sandboxie, перенести данные из изолированной среды в обычную среду.

После того, как вы скачали при помощи браузера, запущенного в изолированной среде, какие-нибудь файлы из интернета, эти файлы будут находиться в том месте, где у вас на компьютере сохраняются загрузки.

Но, вы не будете видеть эти файлы, пока они находятся в «песочнице». Вам нужно будет перенести эти файлы из изолированной среды в обычную среду.

В программе Sandboxie это называется «восстановление» файлов. Есть три режима восстановления файлов: «Немедленное восстановление», «Быстрое восстановление» и «Ручное восстановление».

Немедленное восстановление в Sandboxie

Это самый лучший способ восстановления, так как автоматически может вызвать функцию восстановления, как только файлы создаются. По умолчанию программа особенно пристально следит за папками «Загрузки», «Документы», «Избранное» и «Рабочий стол».

Вы можете добавить к этим папкам другие папки по своему усмотрению в настройках программы (нажать правой кнопкой мыши по папке изолированной среды => «Настройки песочницы» => «Восстановление»).

После того, как файл сохраняется на компьютер, программа Sandboxie сразу покажет окно «Немедленное восстановление». Вы можете нажать на кнопку «Восстановить», а если нажмете на кнопку «Перезапуск», то «Восстановить и исследовать» или «Восстановить и запустить».

Быстрое восстановление в Sandboxie

При быстром восстановлении файлы из изолированной среды переносятся в быстром ручном режиме. Вы можете настроить программу для того, чтобы восстанавливать файлы, сохраненные в «песочнице» при обращении к этому режиму.

Ручное восстановление в Sandboxie

Если вы захотите очистить «песочницу», нажав правой кнопкой мыши на название «песочницы» и выбрав пункт контекстного меню «Удалить содержимое». После этого появляется окно «Удалить песочницу».

В этом окне вы можете файлы, находящиеся в изолированной среде, «Восстановить в ту же папку», «Восстановить в любую папку» или «Добавить папку». Если вы нажмете на кнопку «Удалить песочницу,» то завершаются все процессы в ней и удаляется все ее содержимое.

Использование программы Sandboxie позволяет добиться большей безопасности при использовании своего компьютера. Вы можете безопасно запускать некоторые программы в изолированной среде, безопасно выходить в интернет.

Средства для создания изолированной среды также имеют некоторые антивирусные программы, например, .

Выводы статьи

Программа Sandboxie запускает приложения в песочнице, тем самым не позволяя проникать в систему возможным опасным компонентам. Также с помощью этой программы можно тестировать новые программы, не устанавливая их на свой компьютер.

Некоторым пользователям порой приходится иметь дело с софтом сомнительного происхождения – например, в целях тестирования. Лучшим вариантом в таких случаях будет завести отдельный компьютер или виртуальную машину для этого, однако подобное не всегда возможно. Но решение есть — нужно просто воспользоваться программой-«песочницей», к числу которых относится и Sandboxie.

Приложение позволяет запускать в «песочнице» исполняемые файлы (в том числе инсталляторы программ), работать с веб-браузером и файлами, настраивать их поведение в тех или иных случаях.

Запуск веб-браузера

Основная причина, по которой пользователей интересует подобный Сэндбокси софт – безопасная работа в интернете. Рассматриваемая программа позволяет достичь этой цели.

Запуск программ

Следующий сценарий использования среды «песочницы» – запуск софта.

Работа с файлами

В «песочнице» рассматриваемой среды можно также открывать разнообразные файлы, например, архивы сомнительного происхождения. Алгоритм действий точно такой же, как с программами (технически сначала открывается софт для просмотра целевого документа), поэтому для открытия файлов в «песочнице» подойдёт и предыдущая инструкция.

Управление средой

Разработчики предоставили пользователями также и инструменты управления средой, в которой запускаются программы и открываются файлы. Они имеют очевидное название «Управление Sandboxie» .

Установка параметров Sandboxie

Песочницу можно настроить «под себя» для более комфортного использования.

Решения некоторых проблем

Увы, но порой при использовании «песочницы» возникают неполадки. Рассмотрим наиболее частые, и подскажем варианты их устранения.

Ошибка «SBIE2204 Cannot start sandboxed service RpcSs»
Подобная проблема характерна для версий Sandboxie 5.0 и старше, которые установлены на Windows 10. Причина – несовместимость среды с возможностями этой операционной системы, поэтому единственное решение заключается в установке актуальных обновлений программы.

Ошибка «SBIE2310 Буфер имени достиг переполнения»
Эта проблема тоже касается несовместимости, но на этот раз с какой-то конкретной программой. Чаще всего виновниками выступают антивирусы с возможностями «песочницы» или аналогичное ПО. Метод устранения ошибки тоже очевиден – отключить либо деинсталлировать приложение, которое конфликтует с Sandboxie.

Ошибка «SBIE2211 Sandboxed service failed to start: *имя приложения или файла*»
Такой сбой чаще всего возникает у пользователей Windows 7. Проблема заключается в системе User Account Control, которая мешает работе либо установке файла, требующего администраторских полномочий для запуска. Решение простое – в окне выбора «песочницы» при открытии такого ПО или документа отметьте опцию «Запустить как UAC Administrator» .

Заключение

На этом наше руководство по использованию программы Sandboxie подходит к концу. Напоследок напоминаем – среда-«песочница» не панацея в отношении компьютерной безопасности, поэтому если приходится иметь дело с подозрительным софтом, лучше использовать виртуальную машину.

Интернет просто кишит вирусами. Они могут быть под видом полезных программ, или даже могут быть встроенны в рабочую нужную программу. (Довольно часто можно встретить в взломанных программах, так что ко взломанным программам стоит относится с недоверием, особенно если скачиваете с подозрительных сайтов). Вот вы поставили програмку а в компьютер вам бонусом поставилось что то ещё (в лучшем случае программы для скрытого серфинга или майнеры) а в худшем ратники, бэкдоры, стилеры и прочая пакость.

Есть 2 варианта если вы не доверяете файлу.
— Запуск вируса в песочнице
— Использование виртуальных машин

В этой статье мы рассмотрим 1-й вариант — песочница для windows .

Песочница для windows прекрасная возможность работы с подозрительными файлами, мы рассмотрим как начать пользоваться песочницей.
Если вы используете антивирусы, песочницы часто встраивают уже в них. Но я не люблю эти штуки и считаю оптимальным скачать песочницу на сайте www.sandboxie.com .

Программа позволяет запустить файл в специально-выделенной области, за пределы которой вирусы не могут вырваться и навредить компьютеру.

Вы можете скачать программу бесплатно. Но, после 2х недель использования будет повляться при влючении табличка о предложении купить подписку, и программу можно будет запустить через несколько секунд. Но программа все равно остаётся вполне работоспособной. Установка не вызовет затруднений. Да и сам интерфейс довольно простой.

По умолчанию программа будет запускаться сама при включении компьютера. Если программа запущена, появится значок в трее. Если нет следует запустить в Пуск-Все программы-Sandboxie- Управление sandboxie.
Самый простой способ запустить программу в песочнице, это щелкнуть правой кнопкой мыши по файлу запуска или по ярлыку нужной программы, и в меню вы увидите надпись «Запустить в песочнице» кликаете и запускаете. Выбираете нужный профиль в котором запустить и нажимаете OK. Всё, нужная программа работает в безопасной среде и вирусы не вырвутся за пределы песочницы.

Внимание: некоторые зараженные программы не допускают запуск в песочницах и виртуальных машинах, вынуждая запустить прямо так. Если вы столкнулись с такой реакцией лучшим будет удалить файл, иначе запускаете на свой страх и риск

Если в контекстном меню (при нажатии правой кнопкой) не появился запуск в песочнице, переходите в окно программы, выбираете Настроить — Интеграция в проводник Windows — и ставите галочку на два пункта под надписью " Действия — запускать в песочнице.

Вы можете создавать разные песочницы. Для этого нажимаем Песочница — создать песочницу и пишите название новой. Так же в разделе песочница можно удалять старые (рекомендуется).

Более рассматривать в программе нечего. На последок хочу сказать - Берегите свои данные и свой компьютер! До новых встреч

Related posts:

Удаление неудаляемых файлов на компьютере Виртуальная машина для windows. Обзор программ и настройка Windows 10 отключение слежки

Sandboxie позволяет осуществлять оперативный контроль за работой приложений, установленных на компьютере, а также является инструментом проактивной защиты. Чтобы полностью удалить Sandboxie с любого устройства, нужно воспользоваться любым из доступных методов деинсталляции.

О программе

Разработчиком является Ronen Tzur, приложение относится к категории условно-бесплатных. По состоянию на январь 2019 г. есть две версии программного решения:

• 26 Stable;
• 27.3 Beta.

Сандбокси имеет простой и интуитивно-понятный интерфейс как на английском, так и на русском языке. Установка возможна на компьютеры с операционной системой Windows, начиная с 7 версии и выше. Подходит как для 32-битных, так и для 64-битных ОС. В утилите есть так называемая «Песочница» — инструмент, который позволяет значительно увеличить уровень защищенности ПК перед внешними угрозами: «угонщиками» браузеров, троянами, фишинговым ПО и прочими программами из категории «Badware».

Работа в Сандбокси

Для установки потребуется выполнить простые шаги:

Теперь можно приступать к работе в утилите, например, загрузить из Интернета любое ПО и проверить скачиваемую пакетную установку на наличие вирусов и стороннего софта. Для сканирования любого «exe» понадобится выполнить следующие действия:

Кроме проверки ПО на наличие вирусов, можно запускать любые приложения на компьютере, а также браузеры, такие как Google Chrome, Opera, Mozilla Firefox, Internet Explorer и Yandex.Browser. Для этого достаточно выполнить простые действия:

Таким образом, при помощи данного софта можно запускать любые программы на компьютере в изолированной виртуальной среде и контролировать запускаемые процессы. При этом «Песочница» не сможет записывать данные в реестр, получать доступ к системным данным, влиять на работоспособность ПК и т.д.

Деинсталляция

Перед тем как приступить к деинсталляции «Песочницы», потребуется почистить остаточные файлы, которые появляются в процессе эксплуатации софта и засоряют ПК. Впоследствии при деинсталляции ПО пользователю не придется удалять их вручную. Чтобы почистить «мусор», необходимо:

Стандартная деинсталляция

Удалить Sandboxie с компьютера полностью при помощи установщика «SandboxieInstall.exe»:

1. Проверить, чтобы программа была закрыта: перейти в «Диспетчер устройств», нажав на комбинацию Ctrl + Alt + Delete, либо тапнув на сочетание Win + R и введя в окне «Выполнить» команду «taskmgr».
2. В «Task Manager» отыскать в закладке «Процессы» исполняемый exe-файл с именем удаляемой утилиты, щелкнуть по нему левой кнопкой мыши, в нижней части экрана вызвать опцию «Снять задачу».
   
3. Перейти в окно «Автозагрузка» и проверить, чтобы деинсталлируемое ПО имело статус «Отключено», и, соответственно, отсутствовало в списке autostart. Для этого – тапнуть по объекту правой клавишей мышки и нажать на «Отключить». Если появляется опция контекстного меню «Включить», то все нормально, можно приступать к следующему шагу.
4. Зажать комбинацию Win + R и вбить код «msconfig», после чего нажать на «ОК».
5. В «Конфигурации системы» зайти в меню «Загрузка» и установить галочку в поле напротив опции «Безопасный режим». Обязательно кликнуть «Применить» для того, чтобы внесенные изменения вступили в силу, «ОК».
   
6. Пользователям ОС Виндовс 7 версии также потребуется перейти во вкладку «Автозагрузка» и исключить ПО из списка autostart: щелкнуть по имени файла в списке автозапускаемых приложений правой клавишей мышки и выбрать функцию «Отключить».
7. Перезагрузить компьютер: вход будет выполнен в защищенном режиме.
8. Запустить установочный файл «SandboxieInstall.exe» — «Далее». В списке опций выбрать «Удалить приложение» (название функции может отличаться в зависимости от версии инсталлятора).
9. Запустится автоматический процесс удаления компонентов программы с ПК, после которого рекомендуется дополнительно почистить компьютер от остаточных файлов.
   
10. В первую очередь нужно зайти в «C:\ProgramFiles\», найти директорию «Sanboxie» — щелкнуть по найденной папке левой клавишей мыши и зажать Shift + Delete для деинсталляции объекта без перемещения в «Корзину».
11. Теперь нужно зажать комбинацию Win + E и из окна «Проводника» перейти в «Этот компьютер» — «Локальный диск С», выбрать директорию «Пользователи», зайти в папку текущего юзера, который устанавливал утилиту к себе на компьютер, выбрать скрытую папку «AppData».
12. Если указанная директория не отображается, то нужно кликнуть на инструмент «Вид», расположенный в верхней части «Проводника», и выбрать «Параметры».
13. Откроется окошко «Параметры папок», зайти на вторую закладку с именем «Вид», проскролить в самый низ экрана до раздела «Скрытые файлы и папки» и отметить галочкой поле «Показывать скрытые файлы…». Кликнуть на «Применить» и закрыть «Параметры папок».
    
14. Зайти в AppData: в указанной директории находятся фолдеры с именем «Local», «LocalLow» и «Roaming» — проверить, чтобы в данных папках не было файлов с названием «Sandboxie». При обнаружении таких объектов – выделить их и удалить при помощи команды Shift + Delete.
15. Вернуться на локальный диск «C» и проверить скрытый фолдер «ProgramData» — в нем не должно присутствовать файлов, имеющих отношение к удаленной программе.
16. Теперь нужно зайти в окошко «Registry Editor». Сделать это можно при помощи меню «PowerShell (администратор)» — щелкнуть правой клавишей мышки по кнопке «Start» и перейти в соответствующую консоль.
17. Сохранить текущее состояние реестра при помощи опции «Экспорт…», которая находится в меню «Файл». Указать имя сохраняемого reg-файла и фолдер. Диапазон экспорта указать – «Весь реестр». В будущем можно будет восстановить registry из указанного файла (в случае возникновения проблем после ручной очистки реестра).
    
18. В окне консоли вбить кодовую фразу «regedit» без кавычек, «Enter».
19. Откроется инструмент «Редактор реестра» — зажать комбинацию Ctrl + F, в строке поиска ввести наименование удаленной «песочницы», после чего нажать на «Найти далее».
20. Спустя пару секунд на мониторе отобразится первый ключ реестра, который остался после удаленного приложения. Щелкнуть по объекту левой клавишей мыши дважды и проверить ячейку «Значение» — в ней должна быть отсылка к «Песочнице».
21. Для очистки реестра от найденного файла или папки нужно щелкнуть по объекту правой кнопкой мышки и инициировать деинсталляцию при помощи опции «Удалить». Подтвердить свое действие, нажатием на «Да». Перейти к следующей записи, нажав на «F3».
    
22. Повторять операцию поиска и удаления ключей до тех пор, пока на экране не отобразится надпись «Поиск в реестре завершен».
23. Перезагрузить компьютер.

Также для удаления Sandboxie с компьютера можно воспользоваться одной из доступных утилит-деинсталляторов. Конкретно для данного приложения лучше всего подходит CCleaner, RevoUninstaller, а также инструмент для комплексной очистки реестра Reg Organizer.

Рассмотрим механизм деинсталляции в каждой из указанных программ.

CCleaner

Для деинсталляции при помощи данной бесплатного софта необходимо выполнить следующие действия:

Revo Uninstaller

Для удаления «Песочницы» в Revo Uninstaller потребуется выполнить следующие манипуляции:

Reg Organizer

После удаления программ потребуется оптимизировать реестр. Лучше всего с подобной задачей справляется утилита Reg Organizer, загрузить которую можно с официального сайта. Для того чтобы оптимизировать registry, потребуется: