Sandboxie - การรันโปรแกรมในแซนด์บ็อกซ์หรือสภาพแวดล้อมแบบแยก การเปิดตัวโปรแกรมอย่างปลอดภัย Sandboxie

อินเทอร์เน็ตเต็มไปด้วยไวรัส พวกเขาสามารถปลอมแปลงเป็นโปรแกรมที่มีประโยชน์ หรืออาจสร้างเป็นโปรแกรมที่ใช้งานได้ก็ได้ (มักพบในโปรแกรมที่ถูกแฮ็ก ดังนั้นคุณควรปฏิบัติต่อโปรแกรมที่ถูกแฮ็กด้วยความไม่ไว้วางใจ โดยเฉพาะอย่างยิ่งหากคุณดาวน์โหลดจากไซต์ที่น่าสงสัย) ดังนั้นคุณจึงติดตั้งโปรแกรมและมีอย่างอื่นถูกติดตั้งบนคอมพิวเตอร์ของคุณเป็นโบนัส (ที่ดีที่สุดคือโปรแกรมสำหรับการท่องเว็บแบบซ่อนเร้นหรือคนงานเหมือง) และที่แย่ที่สุดคือนักรบ แบ็คดอร์ ผู้ขโมย และลูกเล่นสกปรกอื่น ๆ

มี 2 ตัวเลือกหากคุณไม่เชื่อถือไฟล์
— การรันไวรัสในแซนด์บ็อกซ์
— การใช้เครื่องเสมือน

ในบทความนี้เราจะดูตัวเลือกที่ 1 - Sandbox สำหรับ Windows

Sandbox สำหรับ Windows เป็นโอกาสที่ดีเยี่ยมในการทำงานกับไฟล์ที่น่าสงสัย เราจะมาดูวิธีเริ่มใช้งาน Sandbox กัน
หากคุณใช้โปรแกรมป้องกันไวรัส แซนด์บ็อกซ์มักจะถูกสร้างไว้ในตัว แต่ฉันไม่ชอบสิ่งเหล่านี้ และฉันคิดว่าวิธีที่ดีที่สุดคือดาวน์โหลดแซนด์บ็อกซ์บนเว็บไซต์ www.sandboxie.com

โปรแกรมนี้ช่วยให้คุณสามารถเรียกใช้ไฟล์ในพื้นที่ที่กำหนดไว้เป็นพิเศษ ซึ่งไวรัสไม่สามารถหลบหนีและทำอันตรายต่อคอมพิวเตอร์ได้

คุณสามารถดาวน์โหลดโปรแกรมได้ฟรี แต่หลังจากใช้งานไป 2 สัปดาห์ ป้ายแสดงข้อเสนอซื้อการสมัครสมาชิกจะปรากฏขึ้นเมื่อเปิดใช้งาน และสามารถเปิดโปรแกรมได้ภายในไม่กี่วินาที แต่โปรแกรมยังคงทำงานได้อย่างสมบูรณ์ การติดตั้งจะไม่ใช่เรื่องยาก และอินเทอร์เฟซนั้นค่อนข้างเรียบง่าย

ตามค่าเริ่มต้น โปรแกรมจะเริ่มทำงานเองเมื่อคุณเปิดคอมพิวเตอร์ หากโปรแกรมกำลังทำงาน ไอคอนถาดจะปรากฏขึ้น ถ้าไม่ ให้ไปที่เริ่ม-โปรแกรมทั้งหมด-Sandboxie-จัดการ Sandboxie
วิธีที่ง่ายที่สุดในการรันโปรแกรมในแซนด์บ็อกซ์คือการคลิกขวาที่ไฟล์เรียกใช้งานหรือบนทางลัดของโปรแกรมที่ต้องการและในเมนูคุณจะเห็นคำว่า "เรียกใช้ในแซนด์บ็อกซ์" คลิกและรัน เลือกโปรไฟล์ที่ต้องการเรียกใช้แล้วคลิกตกลง เพียงเท่านี้ โปรแกรมที่จำเป็นจะทำงานในสภาพแวดล้อมที่ปลอดภัย และไวรัสจะไม่หลุดออกจากแซนด์บ็อกซ์

ข้อควรสนใจ: โปรแกรมที่ติดไวรัสบางโปรแกรมไม่อนุญาตให้เปิดตัวในแซนด์บ็อกซ์และเครื่องเสมือน บังคับให้คุณเปิดใช้งานโดยตรง หากคุณพบปฏิกิริยาดังกล่าว วิธีที่ดีที่สุดคือลบไฟล์ ไม่เช่นนั้น คุณจะต้องรับความเสี่ยงและอันตรายเอง

หากการเปิดตัวในแซนด์บ็อกซ์ไม่ปรากฏในเมนูบริบท (เมื่อคุณคลิกขวา) ให้ไปที่หน้าต่างโปรแกรมเลือกกำหนดค่า - การรวมเข้ากับ Windows Explorer - และทำเครื่องหมายทั้งสองช่องใต้คำว่า "การกระทำ - เรียกใช้ในแซนด์บ็อกซ์ "

คุณสามารถสร้างแซนด์บ็อกซ์ที่แตกต่างกันได้ ในการดำเนินการนี้คลิก Sandbox - สร้าง Sandbox และเขียนชื่อของ Sandbox ใหม่ คุณยังสามารถลบอันเก่าได้ในส่วนแซนด์บ็อกซ์ (แนะนำ)

ไม่มีอะไรต้องพิจารณาเพิ่มเติมในโปรแกรม สุดท้ายนี้ฉันอยากจะบอกว่า- ดูแลข้อมูลและคอมพิวเตอร์ของคุณ!จนกว่าจะถึงครั้งต่อไป

โพสต์ที่เกี่ยวข้อง:

การลบไฟล์ที่ไม่สามารถลบได้ในคอมพิวเตอร์ของคุณ เครื่องเสมือนสำหรับ windows ภาพรวมและการตั้งค่าโปรแกรม Windows 10 ปิดการใช้งานการติดตาม

แซนด์บ็อกซ์ที่เรียกว่าเป็นคุณสมบัติที่ค่อนข้างใหม่ในแพ็คเกจป้องกันไวรัส Avast ของแชร์แวร์! มือโปรและ Avast! ความปลอดภัยทางอินเทอร์เน็ต นี่เป็นรูปแบบการรักษาความปลอดภัยแบบพิเศษ ซึ่งทำให้ผู้ใช้สามารถเยี่ยมชมเว็บไซต์และใช้งานแอพพลิเคชั่นต่างๆ ได้ในขณะที่อยู่ในสภาพแวดล้อมที่ปลอดภัย ฟังก์ชันนี้ช่วยหลีกเลี่ยงไวรัสหากคุณเปลี่ยนไปใช้ไฟล์ที่อาจเป็นไปได้โดยไม่ได้ตั้งใจ หากพบทรัพยากรที่เป็นอันตราย เบราว์เซอร์จะถูกวางลงในแซนด์บ็อกซ์โดยอัตโนมัติ และดังนั้นการติดไวรัสในคอมพิวเตอร์จึงได้รับการป้องกันการ

ใน Avast! เวอร์ชันฟรี ไม่มีกล่องทราย

ฟังก์ชั่นใหม่นี้สามารถเปิดใช้งานได้อย่างอิสระเมื่อคุณเปิดใช้งานโปรแกรมบุคคลที่สามที่ดูน่าสงสัยหรือไม่น่าเชื่อถือสำหรับคุณ เพียงรันโปรแกรมในแซนด์บ็อกซ์แล้วคุณจะพบว่ามันก่อให้เกิดภัยคุกคามจริง ๆ หรือความกลัวของคุณไม่มีมูลความจริงหรือไม่ เมื่อตรวจสอบโปรแกรม ระบบของคุณจะได้รับการปกป้องโดย Avast แซนด์บ็อกซ์มักใช้เมื่อตรวจสอบซอฟต์แวร์ที่ดาวน์โหลดจากอินเทอร์เน็ต

วิธีใช้แซนด์บ็อกซ์

หากต้องการเปิดแอปพลิเคชันที่น่าสงสัยหรือเข้าถึงอินเทอร์เน็ตผ่านแซนด์บ็อกซ์ ให้คลิกที่คำขอ "เรียกใช้กระบวนการเสมือนจริง" หลังจากนั้นไปที่โปรแกรมที่คุณต้องการบนคอมพิวเตอร์ของคุณ เบราว์เซอร์หรือแอปพลิเคชันจะเปิดขึ้นในหน้าต่างพิเศษใหม่ โดยมีกรอบสีแดง แสดงว่าโปรแกรมเปิดตัวจากแซนด์บ็อกซ์ได้สำเร็จ

ในแท็บ "การตั้งค่าขั้นสูง" คุณสามารถกำหนดแอปพลิเคชันที่ไม่จำเป็นต้องจำลองเสมือนได้ รวมถึงแอปพลิเคชันที่ควรเปิดใช้งานจากแซนด์บ็อกซ์เสมอ

คุณลักษณะเฉพาะของแซนด์บ็อกซ์คือความสามารถในการฝังลงในเมนูบริบท หากต้องการเปิดใช้งานตัวเลือกนี้ ในหน้าต่าง "ตัวเลือก" ให้ทำเครื่องหมายในช่องถัดจาก "ฝังในเมนูบริบทคลิกขวา" ตัวเลือกนี้สามารถใช้ได้กับทั้งผู้ใช้ทั้งหมดและผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ ด้วยความช่วยเหลือนี้ คุณสามารถเรียกใช้แอปพลิเคชันใดๆ ในแซนด์บ็อกซ์ได้เพียงคลิกขวาที่ทางลัดและเลือกคำสั่ง “run with”

โปรดทราบว่าหากคุณคลิกขวาที่แอปพลิเคชันแซนด์บ็อกซ์ เมนูบริบทที่เปิดขึ้นจะทำให้คุณมีตัวเลือกในการเรียกใช้แอปพลิเคชันนั้นทันทีนอกแซนด์บ็อกซ์หรือลบแอปพลิเคชันออกจากแซนด์บ็อกซ์

เทคโนโลยีอินเทอร์เน็ตและคอมพิวเตอร์ได้เข้ายึดครองโลกสมัยใหม่อย่างสมบูรณ์ ตอนนี้เกือบทุกคนมีอุปกรณ์อิเล็กทรอนิกส์ที่สามารถค้นหาข้อมูลที่จำเป็นบนอินเทอร์เน็ตหรือสนทนากับเพื่อนได้ทุกที่ทุกเวลา แต่เราไม่ควรลืมว่าบางครั้งมีภัยคุกคามที่ซ่อนอยู่เบื้องหลัง - ไวรัสและไฟล์ที่เป็นอันตรายที่สร้างและเปิดตัวในเครือข่ายทั่วโลกเพื่อแพร่เชื้อข้อมูลผู้ใช้ นอกเหนือจากโปรแกรมป้องกันไวรัสมาตรฐานแล้ว โปรแกรมแซนด์บ็อกซ์ยังถูกสร้างขึ้นเพื่อช่วยป้องกันการเข้าถึงคอมพิวเตอร์อีกด้วย

วัตถุประสงค์และหลักการของโครงการ

โปรแกรมแซนด์บ็อกซ์ได้รับการออกแบบมาเพื่อความปลอดภัยของคอมพิวเตอร์ของคุณขณะท่องอินเทอร์เน็ตหรือใช้งานโปรแกรมต่างๆ พูดง่ายๆ ก็คือโปรแกรมนี้เป็นพื้นที่เสมือนที่จำกัดซึ่งผู้ใช้จะดำเนินการทั้งหมด โปรแกรมที่เปิดใช้งานในขณะที่แซนด์บ็อกซ์กำลังทำงานอยู่จะทำงานในสภาพแวดล้อมนี้เท่านั้น และหากเป็นไวรัสที่เป็นอันตราย การเข้าถึงไฟล์ระบบจะถูกบล็อก

ข้อดีของกระบะทราย

บางทีข้อได้เปรียบแรกของแอปพลิเคชันนี้อาจนำมาจากย่อหน้าด้านบน - โดยจำกัดการเข้าถึงไฟล์ที่เป็นอันตรายในระบบ แม้ว่าไวรัส เช่น โทรจันหรือเวิร์ม จะถูกตรวจพบขณะท่องอินเทอร์เน็ต แต่ในขณะนั้นผู้ใช้กำลังทำงานโดยเปิดแซนด์บ็อกซ์ไว้ ไวรัสจะไม่ทะลุไปที่อื่น และเมื่อแซนด์บ็อกซ์ถูกทำความสะอาด ไวรัสจะ จะถูกลบออกจากคอมพิวเตอร์อย่างสมบูรณ์อย่างไร้ร่องรอย นอกจากนี้โปรแกรมดังกล่าวยังช่วยเพิ่มความเร็วให้กับคอมพิวเตอร์ของคุณ เนื่องจากกิจกรรมแซนด์บ็อกซ์ส่วนใหญ่เกี่ยวข้องกับการทำงานในเบราว์เซอร์ แต่ละครั้งที่คุณเปิดใช้งาน (Google Chrome, Opera, Mozilla Firefox) ผู้ใช้จะเห็นเบราว์เซอร์ที่สะอาดหมดจดและราวกับว่าเบราว์เซอร์ที่เพิ่งติดตั้งใหม่ ซึ่งไม่มีขยะที่ช้าลงตามปกติ - "แคช" "

ข้อเสียของกระบะทราย

มีสิ่งเหล่านั้นเช่นกัน และสิ่งที่สำคัญที่สุดคือการลบข้อมูลส่วนบุคคล ไม่ว่าจะเป็นบุ๊กมาร์ก หน้าที่บันทึกไว้ขณะท่องอินเทอร์เน็ต หรือแม้แต่ประวัติ โปรแกรมไม่ได้กำหนดค่าให้รับรู้สิ่งที่เป็นอันตรายต่ออุปกรณ์อย่างแน่นอน ดังนั้นเมื่อทำความสะอาดแล้ว ข้อมูลทั้งหมดจะถูกลบออกจากอุปกรณ์อย่างถาวร ผู้ใช้จำเป็นต้องคำนึงถึงสิ่งนี้และหากจำเป็นให้ซิงโครไนซ์บุ๊กมาร์กที่จำเป็นหรือใช้แอปพลิเคชันพิเศษที่ออกแบบมาเพื่อบันทึกข้อมูลดังกล่าว

ในขณะนี้มีชื่อโปรแกรมดังกล่าวมากมาย ในบรรดาโปรแกรมที่รู้จักกันดี ได้แก่ Sandboxie, Comodo Internet Security เป็นต้น ทุกคนเลือกโปรแกรมที่สะดวกและเข้าใจง่ายกว่าสำหรับเขา ไม่ว่าในกรณีใดคุณไม่ควรลืมข้อเสียของโปรแกรมเหล่านี้และใช้อย่างระมัดระวัง

Avast เป็นหนึ่งในโปรแกรมป้องกันไวรัส การติดตั้งและการลงทะเบียนทำได้ง่ายที่สุด มีเวอร์ชันสำหรับพีซีและอุปกรณ์มือถือ ในกรณีนี้สามารถรับใบอนุญาตสำหรับการใช้งานปีแรกได้ฟรี Avast มีตัวเลือกการป้องกันเพิ่มเติมมากมาย ความสามารถในการเพิ่มข้อยกเว้นก็ถูกนำมาใช้ที่นี่เช่นกัน

คุณจะต้อง

คอมพิวเตอร์ อุปกรณ์เคลื่อนที่ อินเทอร์เน็ต

คำแนะนำ

ภายในหน้าจอระบบไฟล์ ให้คลิกปุ่ม "การตั้งค่า" จากนั้นเลือกแท็บ "ข้อยกเว้น" เมื่อคลิกที่ "เรียกดู" คุณจะเห็นเนื้อหาของฮาร์ดไดรฟ์ เลือกข้อยกเว้นโดยดับเบิลคลิกโฟลเดอร์หรือไฟล์ที่ต้องการ แล้วคลิกตกลง ยืนยันการเลือกของคุณในหน้าต่างถัดไปโดยคลิกตกลงอีกครั้ง

ในกระบวนการเผยแพร่ส่วนสุดท้ายของชุดบทความ "Lies, Big Lies และ Antiviruses" เป็นที่ชัดเจนว่าผู้ชม Habra ไม่มีการศึกษาอย่างหายนะในด้านแซนด์บ็อกซ์แอนติไวรัสว่าพวกเขาคืออะไรและทำงานอย่างไร สิ่งที่ตลกเกี่ยวกับสถานการณ์นี้คือแทบไม่มีแหล่งข้อมูลที่เชื่อถือได้เกี่ยวกับปัญหานี้บนอินเทอร์เน็ต แค่เปลือกมาร์เก็ตอยด์และข้อความจากฉันไม่เข้าใจใครแบบ “ยายคนหนึ่งพูด ฟังนี่” ฉันจะต้องกรอกข้อมูลในช่องว่าง

คำจำกัดความ

ดังนั้นแซนด์บ็อกซ์ คำนี้ไม่ได้มาจากกระบะทรายสำหรับเด็กอย่างที่บางคนคิด แต่มาจากคำที่นักดับเพลิงใช้ นี่คือถังทรายที่คุณสามารถทำงานกับวัตถุไวไฟได้อย่างปลอดภัยหรือโยนบางสิ่งที่ลุกไหม้อยู่แล้วลงไปโดยไม่ต้องกลัวว่าจะทำให้สิ่งอื่นติดไฟ สะท้อนให้เห็นถึงความคล้ายคลึงของโครงสร้างทางเทคนิคนี้กับส่วนประกอบซอฟต์แวร์ เราสามารถกำหนดแซนด์บ็อกซ์ซอฟต์แวร์เป็น "สภาพแวดล้อมการดำเนินการที่แยกออกจากกันพร้อมสิทธิ์ที่ควบคุมได้" นี่คือวิธีการทำงานของแซนด์บ็อกซ์ของเครื่อง Java และแซนด์บ็อกซ์อื่นๆ ด้วย โดยไม่คำนึงถึงวัตถุประสงค์

มุ่งสู่แซนด์บ็อกซ์แอนตี้ไวรัส ซึ่งมีสาระสำคัญคือการปกป้องระบบการทำงานหลักจากเนื้อหาที่อาจเป็นอันตราย เราสามารถแยกแยะแบบจำลองพื้นฐานได้สามแบบสำหรับการแยกพื้นที่แซนด์บ็อกซ์ออกจากส่วนที่เหลือของระบบ

1. การแยกตามการจำลองเสมือนเต็มรูปแบบ การใช้เครื่องเสมือนเป็นชั้นป้องกันเหนือระบบปฏิบัติการของแขกซึ่งมีการติดตั้งเบราว์เซอร์และโปรแกรมที่อาจเป็นอันตรายอื่น ๆ ซึ่งผู้ใช้สามารถติดไวรัสได้ ให้การป้องกันในระดับที่ค่อนข้างสูงสำหรับระบบการทำงานหลัก

ข้อเสียของแนวทางนี้ นอกเหนือจากขนาดการกระจายที่ใหญ่โตและการใช้ทรัพยากรที่สูงแล้ว ยังอยู่ที่ความไม่สะดวกในการแลกเปลี่ยนข้อมูลระหว่างระบบหลักและแซนด์บ็อกซ์ นอกจากนี้ คุณต้องคืนสถานะของระบบไฟล์และรีจิสตรีให้เป็นสถานะดั้งเดิมอย่างต่อเนื่องเพื่อลบการติดไวรัสออกจากแซนด์บ็อกซ์ หากยังไม่เสร็จสิ้น ตัวแทนสแปมบอทจะทำงานต่อภายในแซนด์บ็อกซ์ราวกับว่าไม่มีอะไรเกิดขึ้น แซนด์บ็อกซ์ไม่มีอะไรที่จะปิดกั้นพวกเขา นอกจากนี้ ยังไม่ชัดเจนว่าจะทำอย่างไรกับสื่อจัดเก็บข้อมูลแบบพกพา (เช่น แฟลชไดรฟ์) หรือเกมที่ดาวน์โหลดจากอินเทอร์เน็ต ซึ่งอาจมีบุ๊กมาร์กที่เป็นอันตราย

ตัวอย่างของแนวทางคือ Invincea

2. การแยกตามการจำลองเสมือนบางส่วนของระบบไฟล์และรีจิสทรี ไม่จำเป็นเลยที่จะต้องพกพากลไกเครื่องเสมือนติดตัวไปด้วย คุณสามารถพุชระบบไฟล์และอ็อบเจ็กต์รีจิสตรีเพื่อประมวลผลในแซนด์บ็อกซ์ โดยวางแอปพลิเคชันบนเครื่องทำงานของผู้ใช้ในแซนด์บ็อกซ์ ความพยายามในการแก้ไขออบเจ็กต์เหล่านี้จะเปลี่ยนเฉพาะสำเนาภายในแซนด์บ็อกซ์เท่านั้น จะไม่ได้รับผลกระทบ การควบคุมสิทธิ์ไม่ได้ทำให้สามารถโจมตีระบบหลักจากภายในแซนด์บ็อกซ์ผ่านอินเทอร์เฟซระบบปฏิบัติการได้

ข้อเสียของวิธีนี้ก็ชัดเจนเช่นกัน - การแลกเปลี่ยนข้อมูลระหว่างสภาพแวดล้อมเสมือนและสภาพแวดล้อมจริงเป็นเรื่องยาก จำเป็นต้องทำความสะอาดคอนเทนเนอร์การจำลองเสมือนอย่างต่อเนื่องเพื่อให้แซนด์บ็อกซ์กลับสู่สถานะดั้งเดิมที่ไม่ติดไวรัส นอกจากนี้ การแยกย่อยหรือบายพาสแซนด์บ็อกซ์ประเภทนี้และการปล่อยโค้ดโปรแกรมที่เป็นอันตรายเข้าสู่ระบบหลักที่ไม่ได้รับการป้องกันก็เป็นไปได้

วิธีการตัวอย่างคือ SandboxIE, BufferZone, ZoneAlarm ForceField, แซนด์บ็อกซ์ Kaspersky Internet Security, แซนด์บ็อกซ์ Comodo Internet Security, แซนด์บ็อกซ์ Avast Internet Security

3. การแยกตามกฎ ความพยายามทั้งหมดในการแก้ไขระบบไฟล์และออบเจ็กต์รีจิสตรีจะไม่ถูกจำลองเสมือน แต่จะพิจารณาจากมุมมองของชุดกฎภายในของเครื่องมือป้องกัน ยิ่งชุดดังกล่าวสมบูรณ์และแม่นยำมากเท่าใด โปรแกรมก็จะยิ่งป้องกันการติดไวรัสของระบบหลักมากขึ้นเท่านั้น นั่นคือแนวทางนี้แสดงถึงการประนีประนอมระหว่างความสะดวกในการแลกเปลี่ยนข้อมูลระหว่างกระบวนการภายในแซนด์บ็อกซ์และระบบจริง และระดับการป้องกันการแก้ไขที่เป็นอันตราย การควบคุมสิทธิ์ไม่ได้ทำให้สามารถโจมตีระบบหลักจากภายในแซนด์บ็อกซ์ผ่านอินเทอร์เฟซระบบปฏิบัติการได้

ข้อดีของวิธีนี้ยังรวมถึงการไม่จำเป็นต้องย้อนกลับระบบไฟล์และรีจิสตรีเป็นสถานะดั้งเดิมอย่างต่อเนื่อง

ข้อเสียของแนวทางนี้คือความซับซ้อนของซอฟต์แวร์ในการใช้ชุดกฎที่แม่นยำและครบถ้วนที่สุด และความเป็นไปได้ที่จะย้อนกลับการเปลี่ยนแปลงภายในแซนด์บ็อกซ์เพียงบางส่วนเท่านั้น เช่นเดียวกับแซนด์บ็อกซ์ใดๆ ที่ทำงานบนพื้นฐานของระบบการทำงาน การแยกย่อยหรือบายพาสสภาพแวดล้อมที่ได้รับการป้องกันและการปล่อยโค้ดที่เป็นอันตรายออกสู่สภาพแวดล้อมการดำเนินการหลักที่ไม่มีการป้องกันก็เป็นไปได้

ตัวอย่างของแนวทางคือ DefenseWall, นโยบายการจำกัดซอฟต์แวร์ Windows, บัญชีผู้ใช้แบบจำกัด + ACL

นอกจากนี้ยังมีแนวทางที่หลากหลายในการแยกกระบวนการแซนด์บ็อกซ์ออกจากส่วนที่เหลือของระบบ โดยอิงตามกฎและการจำลองเสมือน พวกเขาสืบทอดทั้งข้อดีและข้อเสียของทั้งสองวิธี ยิ่งไปกว่านั้นข้อเสียยังมีอยู่เนื่องจากลักษณะเฉพาะของการรับรู้ทางจิตวิทยาของผู้ใช้

ตัวอย่างของแนวทางนี้คือ GeSWall, Windows User Account Control (UAC)

วิธีการตัดสินใจเกี่ยวกับการจัดตำแหน่งภายใต้การคุ้มครอง

มาดูวิธีการตัดสินใจว่าจะวางกระบวนการไว้ภายใต้การป้องกันแซนด์บ็อกซ์หรือไม่ มีสามสิ่งพื้นฐาน:

1. ตามกฎเกณฑ์ นั่นคือโมดูลการตัดสินใจจะพิจารณาที่ฐานภายในของกฎสำหรับการเปิดใช้แอปพลิเคชันบางอย่างหรือไฟล์ที่อาจเป็นอันตราย และเปิดใช้กระบวนการในแซนด์บ็อกซ์หรือภายนอกบนระบบหลัก ขึ้นอยู่กับสิ่งนี้

ข้อดีของแนวทางนี้คือการป้องกันระดับสูงสุด ทั้งไฟล์โปรแกรมที่เป็นอันตรายที่มาจากตำแหน่งที่อาจเป็นอันตรายผ่านแซนด์บ็อกซ์ และไฟล์ที่ไม่สามารถเรียกใช้งานได้ซึ่งมีสคริปต์ที่เป็นอันตรายจะถูกปิด

ข้อเสีย - อาจมีปัญหาเมื่อติดตั้งโปรแกรมที่มาจากแซนด์บ็อกซ์ (แม้ว่ารายการที่อนุญาตจะช่วยอำนวยความสะดวกในงานนี้ได้อย่างมาก) ความจำเป็นในการเปิดกระบวนการด้วยตนเองในโซนหลักที่เชื่อถือได้เพื่ออัปเดตโปรแกรมที่อัปเดตภายในตัวเองเท่านั้น (เช่น Mozilla FireFox , Utorrent หรือ Opera )

ตัวอย่างของโปรแกรมที่มีแนวทางนี้คือ DefenseWall, SandboxIE, BufferZone, GeSWall

2. ขึ้นอยู่กับสิทธิ์ของผู้ใช้ นี่คือการทำงานของบัญชีผู้ใช้ Windows Limited และการป้องกันที่ใช้ SRP และ ACL เมื่อมีการสร้างผู้ใช้ใหม่ เขาจะได้รับสิทธิ์ในการเข้าถึงทรัพยากรบางอย่าง เช่นเดียวกับข้อจำกัดในการเข้าถึงผู้อื่น หากคุณต้องการโปรแกรมเพื่อทำงานกับทรัพยากรที่ไม่ได้รับอนุญาตสำหรับผู้ใช้รายใดรายหนึ่ง คุณจะต้องเข้าสู่ระบบอีกครั้งภายใต้ผู้ใช้ที่มีสิทธิ์ที่เหมาะสมและรันโปรแกรม หรือรันโปรแกรมโดยลำพังภายใต้ผู้ใช้ดังกล่าว โดยไม่ต้องเข้าสู่ระบบใหม่ในผู้ใช้งานหลัก (Fast User Switch)

ข้อดีของแนวทางนี้คือระดับความปลอดภัยของระบบโดยรวมค่อนข้างดี

ข้อเสีย: การจัดการความปลอดภัยที่ไม่สำคัญ ความเป็นไปได้ที่จะติดไวรัสผ่านทรัพยากรที่อนุญาตให้แก้ไข เนื่องจากโมดูลการตัดสินใจไม่ได้ติดตามการเปลี่ยนแปลงดังกล่าว

3. ขึ้นอยู่กับแนวทางการศึกษาสำนึก ในกรณีนี้ โมดูลการตัดสินใจจะ "ดู" ที่ไฟล์ปฏิบัติการและพยายามคาดเดาว่าจะรันไฟล์บนระบบหลักหรือในแซนด์บ็อกซ์โดยอิงตามข้อมูลทางอ้อม ตัวอย่าง – Kaspersky Internet Security HIPS, แซนด์บ็อกซ์ Comodo Internet Security

ข้อดีของแนวทางนี้คือมีความโปร่งใสต่อผู้ใช้มากกว่าแนวทางที่อิงตามกฎ ง่ายต่อการบำรุงรักษาและนำไปใช้สำหรับบริษัทผู้ผลิต

ข้อเสีย: ความด้อยกว่าของการป้องกันดังกล่าว นอกเหนือจากข้อเท็จจริงที่ว่าการศึกษาพฤติกรรมของโมดูลการตัดสินใจสามารถ "พลาด" ในโมดูลปฏิบัติการได้ โซลูชันดังกล่าวยังแสดงให้เห็นถึงความต้านทานเกือบเป็นศูนย์ต่อไฟล์ที่ไม่สามารถปฏิบัติการได้ซึ่งมีสคริปต์ที่เป็นอันตราย บวกกับปัญหาอีกสองสามอย่าง (ตัวอย่างเช่นการติดตั้งส่วนขยายที่เป็นอันตรายจากภายในเบราว์เซอร์เองจากเนื้อหาของการหาประโยชน์)

แยกกัน ฉันต้องการดึงความสนใจไปที่วิธีการใช้แซนด์บ็อกซ์เป็นวิธีการศึกษาพฤติกรรม เช่น การรันโปรแกรมในนั้นในช่วงระยะเวลาหนึ่งตามด้วยการวิเคราะห์การกระทำและการตัดสินใจทั่วไปเกี่ยวกับความเป็นอันตราย - วิธีการนี้ไม่สามารถเรียกได้ว่าเป็นแซนด์บ็อกซ์ป้องกันไวรัสที่มีคุณสมบัติครบถ้วน นี่คือแซนด์บ็อกซ์ป้องกันไวรัสประเภทใดซึ่งติดตั้งเพียงช่วงเวลาสั้น ๆ และมีความเป็นไปได้ที่จะลบออกทั้งหมด?

โหมดการใช้แซนด์บ็อกซ์ป้องกันไวรัส

มีเพียงสองหลักเท่านั้น

1. โหมดการป้องกันเปิดตลอดเวลา เมื่อกระบวนการเริ่มต้นซึ่งอาจเป็นภัยคุกคามต่อระบบหลัก กระบวนการนั้นจะถูกวางไว้ในแซนด์บ็อกซ์โดยอัตโนมัติ

2. โหมดการป้องกันด้วยตนเอง ผู้ใช้ตัดสินใจอย่างอิสระที่จะเปิดตัวแอปพลิเคชันนี้หรือแอปพลิเคชันนั้นภายในแซนด์บ็อกซ์

แซนด์บ็อกซ์ที่มีโหมดการทำงานหลักเป็น “การป้องกันที่เปิดตลอดเวลา” ก็สามารถมีโหมดการเปิดใช้งานด้วยตนเองได้เช่นกัน เช่นเดียวกับในทางกลับกัน

โดยทั่วไปแซนด์บ็อกซ์ที่มีการแยกตามกฎจะใช้โหมดการป้องกันแบบถาวร เนื่องจากการสื่อสารระหว่างระบบโฮสต์และกระบวนการภายในแซนด์บ็อกซ์มีความโปร่งใสโดยสมบูรณ์

แซนด์บ็อกซ์แบบศึกษาพฤติกรรมยังมีลักษณะเฉพาะด้วยการใช้โหมดการป้องกันอย่างต่อเนื่อง เนื่องจากการแลกเปลี่ยนข้อมูลระหว่างระบบหลักและกระบวนการภายในแซนด์บ็อกซ์นั้นไม่มีนัยสำคัญหรือลดลงเลย

แซนด์บ็อกซ์ที่ไม่ใช่แบบฮิวริสติกที่มีการแยกตามการจำลองเสมือนบางส่วนจะมีโหมดการป้องกันแบบแมนนวล นี่เป็นเพราะการแลกเปลี่ยนข้อมูลที่ยากลำบากระหว่างกระบวนการภายในแซนด์บ็อกซ์และระบบการทำงานหลัก

ตัวอย่าง:

1. DefenseWall (แซนด์บ็อกซ์ที่มีการแยกตามกฎ) มีโหมดการทำงานหลัก "ตามกฎ" อย่างไรก็ตาม มีการเปิดใช้แอปพลิเคชันด้วยตนเองทั้งภายในแซนด์บ็อกซ์และภายนอกแซนด์บ็อกซ์

2. SandboxIE (แซนด์บ็อกซ์และการแยกตามการจำลองเสมือนบางส่วน) มีโหมดการทำงานหลัก "ด้วยตนเอง" แต่เมื่อซื้อใบอนุญาต คุณสามารถเปิดใช้งานโหมด "กฎคงที่" ได้

3. Sandbox Comodo Internet Security (แซนด์บ็อกซ์ที่มีการแยกตามการจำลองเสมือนบางส่วน) มีโหมดการทำงานหลักของ "การวิเคราะห์พฤติกรรมคงที่" อย่างไรก็ตาม มีการเปิดใช้แอปพลิเคชันด้วยตนเองทั้งภายในแซนด์บ็อกซ์และภายนอกแซนด์บ็อกซ์

โดยพื้นฐานแล้วสิ่งเหล่านี้คือสิ่งพื้นฐานที่มืออาชีพที่เคารพตนเองควรรู้เกี่ยวกับแซนด์บ็อกซ์แอนตี้ไวรัส แต่ละโปรแกรมมีคุณสมบัติการใช้งานของตัวเองซึ่งคุณจะต้องค้นหาทำความเข้าใจและประเมินข้อดีข้อเสียที่เกิดขึ้น

คำจำกัดความ

ตัวอย่างของแนวทางคือ Invincea

ตัวอย่างของแนวทางนี้คือ GeSWall, Windows User Account Control (UAC)

วิธีการตัดสินใจเกี่ยวกับการจัดตำแหน่งภายใต้การคุ้มครอง

ตัวอย่างของโปรแกรมที่มีแนวทางนี้คือ DefenseWall, SandboxIE, BufferZone, GeSWall

ข้อดีของแนวทางนี้คือระดับความปลอดภัยของระบบโดยรวมค่อนข้างดี

โหมดการใช้แซนด์บ็อกซ์ป้องกันไวรัส

มีเพียงสองหลักเท่านั้น

ตัวอย่าง:

นานก่อนที่แนวคิดของ Docker จะเกิดขึ้นในใจของผู้สร้าง โครงการ LXC (LinuX Containers) ก็ปรากฏขึ้น ขึ้นอยู่กับเทคโนโลยีเดียวกันสำหรับการแยกเนมสเปซ (Linux Namespaces) และในลักษณะเดียวกันทำให้สามารถสร้างสภาพแวดล้อมการดำเนินการที่เรียบง่ายและสมบูรณ์ในตัวเอง (แซนด์บ็อกซ์ คอนเทนเนอร์) สำหรับการเรียกใช้บริการหรือแอปพลิเคชันที่ไม่ปลอดภัย อย่างไรก็ตาม LXC ไม่เป็นมิตรกับผู้ใช้ใหม่มากนัก และไม่มีฟีเจอร์ Docker เช่น ระบบไฟล์แบบเลเยอร์ ความสามารถในการดาวน์โหลดและรันแอปพลิเคชันสำเร็จรูปอย่างรวดเร็ว และกำหนดค่าสำหรับสภาพแวดล้อมการสร้างโดยอัตโนมัติ

ก่อนหน้านี้ FreeBSD ได้เปิดตัวเทคโนโลยีคุกซึ่งช่วยให้คุณสามารถสร้างแซนด์บ็อกซ์ที่คล้ายกับ chroot แต่เน้นที่การแยกในระดับที่ลึกกว่า เป็นเวลานานมาแล้วที่คุกถือเป็นความภาคภูมิใจของ FreeBSD และยังทำหน้าที่เป็นต้นแบบสำหรับเทคโนโลยี Solaris Zones อีกด้วย อย่างไรก็ตาม ทุกวันนี้ ไม่สามารถให้ระดับความยืดหยุ่นและการจัดการทรัพยากรตามที่ LXC และ Docker เสนอได้อีกต่อไป ดังนั้น โดยทั่วไปแล้ว การจำคุกจึงพบว่าตัวเองอยู่นอกกรอบของประวัติศาสตร์ ปัจจุบัน แซนด์บ็อกซ์ Linux สามารถสร้างขึ้นได้หลายวิธี สิ่งเหล่านี้คือ LXC และ Docker ที่กล่าวถึงแล้วพร้อมเนมสเปซ นี่คือกลไก seccomp ที่ Chrome ใช้เพื่อแยกแท็บและปลั๊กอิน ซึ่งเป็นเทคโนโลยี SELinux/AppArmor ที่ช่วยให้คุณควบคุมการเข้าถึงของแอปพลิเคชันได้อย่างละเอียด ในบทความนี้ เราจะแนะนำเครื่องมือที่ใช้งานง่ายที่สุดซึ่งเหมาะที่สุดสำหรับการแก้ปัญหาในชีวิตประจำวัน เช่น:

การเปิดตัวแอปพลิเคชันที่ไม่น่าเชื่อถือซึ่งอาจเป็นอันตรายต่อระบบ
การแยกเบราว์เซอร์ ไคลเอนต์อีเมล และแอปพลิเคชันอื่น ๆ เพื่อให้การแฮ็กไม่นำไปสู่การรั่วไหลของข้อมูล
เปิดตัวแอปพลิเคชั่น “ครั้งเดียว” ที่ไม่ควรทิ้งร่องรอยไว้ในระบบ

แซนด์บ็อกซ์ MBOX

เริ่มจากแซนด์บ็อกซ์ที่ง่ายที่สุดอันหนึ่งกันก่อน Mbox ไม่ใช่เครื่องมือแยกมาตรฐานโดยสมบูรณ์ มันไม่ได้ตัดสิทธิ์ของแอปพลิเคชันที่รันอยู่ ไม่จำลองสแต็กเครือข่าย และไม่มีการตั้งค่าใดๆ งานเดียวของ Mbox คือต้องแน่ใจว่าแอปพลิเคชันไม่สามารถเขียนอะไรลงในระบบไฟล์ได้ เมื่อต้องการทำเช่นนี้ ระบบจะสร้างระบบไฟล์เสมือนพิเศษที่จะเปลี่ยนเส้นทางคำขอ I/O ทั้งหมด ด้วยเหตุนี้ภายใต้การควบคุมของ Mbox แอปพลิเคชันจึงทำงานราวกับว่าไม่มีอะไรเกิดขึ้น แต่ในระหว่างการดำเนินการคุณจะได้รับโอกาสในการใช้หรือปฏิเสธการเปลี่ยนแปลงบางอย่างกับระบบไฟล์เสมือนกับระบบไฟล์จริง

แนวคิดนี้แสดงให้เห็นได้ดีที่สุดโดยตัวอย่างจากหน้า Mbox อย่างเป็นทางการ:

$ mbox - ไปที่ google .com

. . .

สรุปเครือข่าย:

> [ 11279 ] - & gt ; 173.194.43.51: 80

> [ 11279 ] สร้างซ็อกเก็ต (PF_INET, . . . )

> [ 11279 ] - & gt ; a00 :: 2607 : f8b0 : 4006 : 803 : 0

. . .

รากแซนด์บ็อกซ์:

> /tmp/แซนด์บ็อกซ์ - 11275

> N:/tmp/index.html

[c] ยอมจำนน, [i] ไม่สนใจ, [d] iff, [l] ist, [s] นรก, [q] uit? >

ในกรณีนี้ Wget เปิดตัวภายใต้การควบคุมของ Mbox Mbox บอกเราอย่างระมัดระวังว่า Wget เข้าถึง 173.194.43.51 และพอร์ต 80 และเขียนไฟล์ index.html ที่เราสามารถนำไปใช้กับระบบหลัก (กด "c" เพื่อทำสิ่งนี้) ละเว้น (i) ดูความแตกต่าง ดำเนินการอื่น ๆ หรือยุติการสมัครโดยสิ้นเชิง คุณสามารถตรวจสอบวิธีการทำงานทั้งหมดได้โดยเพียงแค่ติดตั้งแพ็คเกจ Mbox สำเร็จรูป ใน Debian/Ubuntu ทำได้ดังนี้:

$ wget http: / / pdos .csail .mit .edu / mbox / mbox - ล่าสุด - amd64 .deb

$ sudo dpkg - ฉัน mbox - ล่าสุด - amd64 .deb

บน Arch Linux นั้น Mbox มีให้บริการใน AUR ทำให้ติดตั้งได้ง่ายยิ่งขึ้น:

$ yaourt - S mbox - git

นี่คือทั้งหมด ตอนนี้คุณสามารถรันไบนารีใดๆ ได้โดยไม่ต้องกังวลว่าจะทิ้งแบ็คดอร์ไว้ในระบบไฟล์ หากแอปพลิเคชันจำเป็นต้องจำกัดการเข้าถึงบางส่วนของระบบไฟล์ ก็สามารถใช้โปรไฟล์ได้ ไฟล์เหล่านี้เป็นไฟล์ข้อความธรรมดาที่แสดงรายการไดเร็กทอรีที่อนุญาตและปฏิเสธ ตัวอย่างเช่น โปรไฟล์ต่อไปนี้จะปฏิเสธไม่ให้แอปพลิเคชันเข้าถึงโฮมไดเร็กตอรี่ของคุณ (~) แต่จะอนุญาตให้ทำงานกับไฟล์ในไดเร็กทอรีปัจจุบัน (.):

อีกตัวเลือกที่มีประโยชน์คือ -n มันปฏิเสธการเข้าถึงอินเทอร์เน็ตของแอปพลิเคชันโดยสิ้นเชิง

การแยกแอปพลิเคชันเปิดตัวโดยใช้ FIREJAIL

ดำเนินไปโดยไม่ได้บอกว่าการปฏิเสธการเข้าถึงไฟล์นั้นน้อยเกินไปที่จะสร้างแซนด์บ็อกซ์ที่แยกได้อย่างแท้จริง รหัสที่เป็นอันตรายหรือแฮ็กเกอร์ไม่สามารถเขียนสิ่งใด ๆ ลงในระบบได้เลย แต่เพียงนำกระเป๋าเงิน Bitcoin และฐานข้อมูลรหัสผ่าน KeePass ของคุณออกไป หรือใช้ช่องโหว่ของแอปพลิเคชันเพื่อรับสิทธิ์รูทและออกจากแซนด์บ็อกซ์ นอกจากนี้ Mbox ไม่เป็นมิตรกับซอฟต์แวร์กราฟิกและโดยทั่วไปแล้วไม่เหมาะสำหรับการรันแอปพลิเคชันที่ซับซ้อนที่สามารถเขียนไฟล์ชั่วคราวจำนวนมากลงดิสก์และอัปเดตฐานข้อมูลอย่างต่อเนื่อง

ระบบแยกแอปพลิเคชัน SANDBOX

หากไม่มีแอปพลิเคชันที่คุณต้องการในโปรไฟล์ 95 ของ Firejail และแนวคิดในการเขียนโปรไฟล์ด้วยตัวเองไม่ได้ทำให้คุณตื่นเต้นมากเกินไป Sandbox คือทางเลือกของคุณ แซนด์บ็อกซ์ประเภทนี้มีความแตกต่างทางเทคนิคอย่างมากจากเครื่องมือทั้งสองที่อธิบายไว้แล้ว (ใช้กฎ SELinux แทน seccomp และ Namespaces) แต่ในแง่ของฟังก์ชันการทำงาน เป็นสิ่งที่อยู่ระหว่างนั้น

เช่นเดียวกับ Mbox Sandbox จะตัดแอปพลิเคชันออกจากโลกภายนอกโดยสิ้นเชิง ช่วยให้คุณสามารถอ่านได้เฉพาะ stdin (นั่นคือคุณสามารถส่งผ่านข้อมูลจากแอปพลิเคชันอื่นไปยังอินพุตของแอปพลิเคชันที่ทำงานใน Sandbox) และเขียนไปยัง stdout เท่านั้น (แสดง ข้อมูลบนหน้าจอหรือเปลี่ยนเส้นทางไปยังแอปพลิเคชันอื่น) สิ่งอื่นๆ ทั้งหมด รวมถึงการเข้าถึงระบบไฟล์ สัญญาณ กระบวนการอื่นๆ และเครือข่าย จะถูกปฏิเสธ ตัวอย่างการใช้งานที่ง่ายที่สุด:

$cat /etc/passwd | ตัดแซนด์บ็อกซ์ - d : - f1 & gt ; /tmp/ผู้ใช้

คำสั่งนี้อ่านไฟล์ /etc/passwd แยกชื่อผู้ใช้ออกมา และเขียนลงในไฟล์ /tmp/users มันไม่มีประโยชน์ แต่มันแสดงให้เห็นถึงหลักการของ Sandbox ได้อย่างสมบูรณ์แบบ ในแซนด์บ็อกซ์ มีเพียงคำสั่ง cut เท่านั้นที่รัน และไฟล์ /etc/passwd เองจะถูกส่งผ่านไปโดยใช้คำสั่งภายนอก ในทางกลับกัน เอาต์พุตจะถูกนำไปใช้โดยใช้การเปลี่ยนเส้นทาง stdout ปกติ