Всім привіт, сьогодні хочу розповісти про дуже корисну зараз програму - Sandboxie. Sandboxie це комп'ютерна пісочниця, яка дозволяє убезпечити ваш комп'ютер від зараження вірусами та надати спокійний серфінг інтернету. У програми є ще кілька корисних можливостей, про які розповім пізніше.

Як працює програма Sandboxie?

Все дуже просто, програма створює виділене середовище всередині Windows, призначене для безпечного запуску додатків на ПК, а також блокує доступ шкідливих систем до системи. Деякі антивіруси мають подібні функції, наприклад, TS 360, Comodo Internet Security та Avast! Pro. Пісочниця на даний момент є одним із найкращих інструментів для боротьби з вірусами.

Запускаючи будь-яку програму в режимі пісочниці, ви локалізуєте всі можливості програми в пісочниці, програма чи вірус не може ніяк впливати на вашу ОС. Таким чином у пісочниці ви можете запускати та перевіряти будь-що без шкоди для ОС. Якщо запустити браузер у пісочниці, можна серфити інтернет без ризику заразити браузер або комп'ютер.

Основні напрямки використання пісочниці Sandboxie, це:

• Перевірка небезпечних та незнайомих програм
• Відстеження дій програм
• Безпечний серфінг інтернету

Докладніше про можливості пісочниці дивіться у моєму відео огляді:

Що ще може Sandboxie?

Ще програма може запускати кілька вікон програми, наприклад, можна запустити 2 або більше вікна скайпу, у звичайному режимі можна запустити лише одне вікно програми. Деякі через пісочницю запускають кілька вікон онлайн-ігор).

Також програма дозволяє завжди користуватися тріальними програмами. Наприклад, можна використовувати будь-яку програму, яка має обмежений термін на безкоштовне використання. щоразу запускаючи програму в пісочниці можна отримати скидання тріалу програми).

Якщо вам відомі інші методи використання пісочниці, напишіть про це в коментарях і я додам цю інформацію в основну статтю.

У процесі публікації останньої частини циклу статей «Брехня, велика брехня і антивіруси» з'ясувалась катастрофічна неосвіченість хабра-аудиторії в галузі антивірусних пісочниць, що вони являють собою і як працюють. Що найсмішніше в цій ситуації – в Мережі практично зовсім відсутні достовірні джерела інформації з цього питання. Лише купа маркетоїдного лушпиння та текстів від не зрозумій когось у стилі «одна бабця сказала, слухай сюди». Прийде мені заповнювати прогалини.

Визначення.

Отже, пісочниця. Сам термін походить не від дитячої пісочниці, як можуть дехто подумати, а від тієї, що користуються пожежники. Це бак з піском, де можна безпечно працювати з легкозаймистими предметами або кидати туди щось палаючий без страху підпалити щось ще. Відбиваючи аналогію даної технічної споруди на софтверну складову, можна визначити програмну пісочницю як ізольоване середовище виконання з контрольованими правами. Саме так, наприклад, працює пісочниця Java-машини. І будь-яка інша пісочниця теж, незалежно від призначення.

Переходячи до антивірусних пісочниць, суть яких є захист основної робочої системи від потенційно небезпечного контенту, можна виділити три базові моделі ізоляції простору пісочниці від решти системи.

1. Ізоляція з урахуванням повної віртуалізації. Використання будь-якої віртуальної машини як захисний шар над гостьовою операційною системою, де встановлений браузер та інші потенційно небезпечні програми, через які користувач може заразитися, дає досить високий рівень захисту основної робочої системи.

Недоліки такого підходу, крім монструозного розміру дистрибутива та сильного споживання ресурсів, криються в незручності обміну даними між основною системою та пісочницею. Понад те, потрібно постійно повертати стан файлової системи та реєстру до вихідним видалення зараження з пісочниці. Якщо цього не робити, то, наприклад, агенти спам-ботів продовжуватимуть свою роботу всередині пісочниці, як ні в чому не бувало. Блокувати їх пісочниці нема чим. Крім того, незрозуміло, що робити з носіями інформації (флешки, наприклад) або викачаними з Інтернету іграми, в яких можливі шкідливі закладки.

Приклад підходу-Invincea.

2. Ізоляція на основі часткової віртуалізації файлової системи та реєстру. Зовсім необов'язково тягати із собою двигун віртуальної машини, можна підпихати процесам в пісочниці дублікати об'єктів файлової системи та реєстру, поміщаючи в пісочницю додатки на робочій машині користувача. Спроба модифікації даних об'єктів призведе до зміни їх копій всередині пісочниці, реальні дані не постраждають. Контроль прав не дозволяє атакувати основну систему зсередини пісочниці через інтерфейси операційної системи.

Недоліки подібного підходу також очевидні – обмін даними між віртуальним та реальним оточенням утруднений, необхідне постійне очищення контейнерів віртуалізації для повернення пісочниці до первісного, незараженого стану. Також, можливі пробої або обхід такого виду пісочниць та вихід шкідливих програмних кодів в основну, незахищену систему.

Приклад підходу-SandboxIE, BufferZone, ZoneAlarm ForceField, ізольоване середовище Kaspersky Internet Security, Comodo Internet Security sandbox, Avast Internet Security sandbox.

3. Ізоляція з урахуванням правил. Усі спроби зміни об'єктів файлової системи та реєстру не віртуалізуються, але розглядаються з точки зору набору внутрішніх правил засоби захисту. Чим повніший і точніший такий набір, тим більший захист від зараження основної системи надає програма. Тобто, цей підхід є компромісом між зручністю обміну даними між процесами всередині пісочниці і реальною системою і рівнем захисту від шкідливих модифікацій. Контроль прав не дозволяє атакувати основну систему зсередини пісочниці через інтерфейси операційної системи.

До плюсів такого підходу відноситься також відсутність необхідності постійного відкату файлової системи і реєстру до початкового стану.

Недоліки подібного підходу – програмна складність реалізації максимально точного та повноцінного набору правил, можливість лише часткового відкату змін усередині пісочниці. Так само, як і кожна пісочниця, що працює на основі робочої системи, можливий пробій або обхід захищеного середовища і вихід шкідливих кодів в основне, незахищене середовище виконання.

Приклад підходу - DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.

Існують і змішані підходи до ізоляції процесів пісочниці від решти системи, що ґрунтуються як на правилах, так і на віртуалізації. Вони успадковують як переваги обох методів, і недоліки. Причому недоліки переважають через особливості психологічного сприйняття користувачів.

Приклади підходу - GeSWall, Windows User Account Control (UAC).

Методи ухвалення рішення про приміщення під захист.

Перейдемо до методів ухвалення рішення про приміщення процесів під захист пісочницею. Усього їх три базові:

1. На основі правил. Тобто модуль прийняття рішення дивиться на внутрішню базу правил запуску тих чи інших додатків або потенційно небезпечних файлів і, залежно від цього, запускає процеси в пісочниці або поза нею, на основній системі.

Переваги цього підходу-найбільший рівень захисту. Закриваються як шкідливі програмні файли, що прийшли з потенційно небезпечних місць через пісочницю, так і файли, що містять шкідливі скрипти.

Недоліки - можуть бути проблеми при встановленні програм, що прийшли через пісочницю (хоча білі списки і сильно полегшують це завдання), необхідність вручну запускати процеси в основній довіреній зоні для оновлення програм, що оновлюються тільки в собі (наприклад, Mozilla FireFox, Utorrent або Opera ).

Приклади програм з таким підходом - DefenseWall, SandboxIE, BufferZone, GeSWall.

2. На основі прав користувача. Так працює Windows Limited User Account та захист на основі SRP та ACL. При створенні нового користувача йому надаються права на доступ до певних ресурсів, а також обмеження на доступ до інших. При необхідності програми роботи із забороненими для даного користувача ресурсами необхідно або перелогінитися в системі під користувачем з відповідним набором прав і запустити програму, або запустити її одну під таким користувачем, без перелогування основного працюючого користувача (Fast User Switch).

Переваги такого підходу-відносно непоганий рівень загальної захищеності системи.

Недоліки – нетривіальність управління захистом, можливість зараження через дозволені для модифікації ресурси, оскільки модуль прийняття рішення не відслідковує такі зміни.

3. За підсумками евристичних підходів. У цьому випадку модуль прийняття рішення «дивиться» на файл, що виконується, і намагається за непрямими даними вгадати, запустити його на основній системі або в пісочниці. Приклади - Kaspersky Internet Security HIPS, Comodo Internet Security sandbox.

Переваги даного підходу - він прозоріший для користувача, ніж на основі правил. Простіше в обслуговуванні та реалізації для компанії-виробника.

Недоліки-неповноцінність такого захисту. Крім того, що евристик модуля прийняття рішення може «промахнутися» на виконуваному модулі, такі рішення демонструють практично нульову опір файлам, що не виконуються, що містять шкідливі скрипти. Ну, плюс ще кілька проблем (наприклад, із встановленням шкідливих розширень зсередини самого браузера, з тіла експлойта).

Окремо хотілося звернути увагу до метод використання пісочниці як засобу евристики, тобто. запуск програми в ній на деякий проміжок часу з подальшим аналізом дій та прийняттям загального рішення про шкідливість - повноцінною антивірусною пісочницею цей підхід не назвати. Ну що це за антивірусна пісочниця, яка встановлюється лише на стислий період часу з можливістю повного її зняття?

Режими використання антивірусних пісочниць.

Їх лише два основні.

1. Режим постійного захисту. При старті процесу, який може бути загрозою для основної системи, він автоматично поміщається до пісочниці.

2. Режим ручного захисту. Користувач самостійно приймає рішення про запуск тієї чи іншої програми всередині пісочниці.

Пісочниці, що мають основний режим роботи як «постійний захист» можуть також мати і ручний режим запуску. Так само як і навпаки.

Для пісочниць з ізоляцією на основі правил характерне використання режиму постійного захисту, оскільки обмін даними між основною системою та процесами всередині пісочниці є абсолютно прозорим.

Для евристичних пісочниць також характерне використання режиму постійного захисту, оскільки обмін даними між основною системою та процесами всередині пісочниці абсолютно несуттєвий або зводиться до нього.

Для неевристичних пісочниць із ізоляцією на основі часткової віртуалізації характерний режим ручного захисту. Це з утрудненим обміном даними між процесами всередині пісочниці і основний робочої системою.

Приклади:

1. DefenseWall (пісочниця з ізоляцією на основі правил) має основний режим роботи «постійний на правилах». Проте, запуск вручну додатків усередині пісочниці, як і поза нею, присутні.

2. SandboxIE (пісочниця та ізоляція на основі часткової віртуалізації) має основний режим роботи «ручний». Але при покупці ліцензії можна активувати режим "постійний на правилах".

3. Comodo Internet Security sandbox (пісочниця з ізоляцією на основі часткової віртуалізації) має основний режим роботи "постійний евристичний". Однак, запуск додатків вручну всередині пісочниці, як і поза нею, присутні.

Ось, в основному, базові речі, будь-який професіонал, що поважає себе, повинен знати про антивірусні пісочниці. У кожної окремої програми свої особливості реалізації, які ви вже самі повинні будете знайти, зрозуміти та оцінити ті плюси та мінуси, які вона несе.

Так звана пісочниця (англ. sandbox) – це відносно нова функція в умовно безкоштовних пакетах антивірусу Avast! Pro та Avast! Internet Security. Це особлива модель безпеки, завдяки якій користувач може відвідувати веб-сайти та запускати різноманітні програми, перебуваючи в безпечному середовищі. Ця функція допомагає уникнути вірусів при випадковому переході на потенційно. При попаданні на шкідливий ресурс браузер буде автоматично поміщений у «пісочницю», а тому зараження комп'ютера буде запобігти.

У безкоштовних версіях антивірусу Avast! "пісочниця" відсутня.

Нову функцію можна також запускати самостійно при включенні сторонніх програм, які здаються вам підозрілими чи ненадійними. Просто запустіть програму в «пісочниці», і ви дізнаєтеся, чи справді вона становить небезпеку, чи ваші побоювання безпідставні. Під час перевірки програми ваша система перебуватиме під захистом «Аваст». «Пісочницею» часто користуються під час перевірки софту, завантаженого з інтернету.

Як скористатися «пісочницею»

Для того, щоб запустити сумнівну програму або вийти в інтернет через «пісочницю», клацніть на запиті «запустити віртуалізований процес». Після цього перейдіть до потрібної вам програми на комп'ютері. Браузер або програма запустяться у новому спеціальному вікні, обрамленому червоною рамкою, що вказує на те, що програма успішно запущена з «пісочниці».

У вкладці «Розширені налаштування» ви можете призначити програми, які не потрібно віртуалізувати, а також ті, які слід запускати з «пісочниці» завжди.

Характерна риса «пісочниці» – можливість вбудовування у контекстне меню. Щоб підключити цю опцію, у вікні "Параметри" встановіть прапорець навпроти графи "вбудувати в контекстне меню, яке запускається правим клацанням миші". Опцію можна зробити доступною як для всіх користувачів, так і для користувачів, які мають права адміністратора. З її допомогою ви зможете запускати будь-який додаток у «пісочниці», лише клікнувши по ярлику правою кнопкою миші і вибравши команду «запустити з».

Зверніть увагу: якщо ви клацнете правою кнопкою миші по додатку, поміщеному в «пісочницю», у контекстному меню, що відкрилося, ви можете вибрати команду одноразового запуску поза «пісочницею» або видалення програми з неї.

Інтернет та комп'ютерні технології повністю захопили сучасний світ. Зараз майже кожна людина має електронний девайс, за допомогою якого він у будь-який час і в будь-якому місці може знайти необхідну інформацію в Інтернеті або поспілкуватися з друзями по чату. Але не варто забувати, що іноді за цим таїться і прихована загроза – віруси та шкідливі файли, створені та запущені до глобальної мережі для зараження даних користувачів. Крім стандартних антивірусів, були створені програми-«пісочниці», які допомагають запобігти їх доступу до комп'ютера.

Призначення та принцип програми

Програми-пісочниці призначені для забезпечення безпеки комп'ютера під час серфінгу в інтернеті або виконання різноманітних програм. Говорячи більш простою мовою, можна сказати, що ця програма є певним обмеженим віртуальним простором, в якому і здійснюються всі дії користувача. Програма, яку запустили в той час, як працює «пісочниця», працює тільки в цьому середовищі і, якщо шкідливий вірус, то його доступ до системних файлів блокується.

Плюси «пісочниці»

Мабуть, перша перевага цієї програми можна винести з абзацу вище - вона обмежує доступ шкідливих файлів до системи. Навіть якщо віруси, наприклад, трояни чи черв'яки, були підхоплені під час серфінгу в інтернеті, але в цей час користувач працював при включеній «пісочниці», віруси не проникнуть нікуди більше, а при очищенні «пісочниці» взагалі будуть видалені з комп'ютера без сліду . Крім того, такі програми допомагають прискорити комп'ютер. Так як здебільшого діяльність «пісочниці» пов'язана з роботою в браузерах, щоразу запускаючи його (Google Chrome, Opera, Mozilla Firefox), перед користувачем буде відкриватися абсолютно чистий і ніби заново встановлений браузер, який не має сміття, що зазвичай гальмує, - «кеша ».

Мінуси «пісочниці»

Такі теж є, і найголовнішим є видалення особистих даних, закладки, збережені при роботі в інтернеті сторінки або навіть історія. Програма не налаштована на те, щоб розпізнавати, що саме є шкідливим для пристрою, тому при очищенні безповоротно видаляються абсолютно всі дані. Користувачеві треба це враховувати і за необхідності синхронізувати потрібні закладки або використовувати спеціальні програми, призначені для збереження подібних даних.

На даний момент існує багато найменувань подібних програм, серед відомих можна виділити такі, як Sandboxie, Comodo Internet Security та ін. Кожен вибирає ту, яка йому доводиться більш зручною та зрозумілою. У жодному разі не варто забувати і про мінуси цих програм і використовувати їх акуратно.

Є два основні способи безпечно запустити підозрілий файл, що виконується: під віртуальною машиною або в так званій «пісочниці» (sandbox). Причому останню можна за допомогою витонченого способу адаптувати для оперативного аналізу файлу, не вдаючись до спеціалізованих утиліт та онлайн-сервісів і не використовуючи безліч ресурсів, як у випадку з віртуалкою. Про нього я хочу тобі розповісти.

WARNING

Неправильне використання описаної методики може завдати шкоди системі та призвести до зараження! Будь уважним і обережним.

«Пісочниця» для аналізу

Люди, які займаються комп'ютерною безпекою, добре знають концепцію «пісочниці». Якщо коротко, «пісочниця» - це тестове середовище, в якому виконується певна програма. При цьому робота налагоджена таким чином, що всі дії програми відстежуються, всі файли та настройки, що змінюються, зберігаються, але в реальній системі нічого не відбувається. Загалом можеш запускати будь-які файли в повній впевненості, що на працездатність системи це ніяк не вплине. Такі інструменти можна використовувати не тільки для забезпечення безпеки, але й для аналізу тих дій зловреда, які він виконує після запуску. Ще б пак, адже якщо є зліпок системи до початку активних дій і картина того, що сталося в «пісочниці», можна легко відстежити всі зміни.

Звичайно, в Мережі є маса готових онлайн-сервісів, які пропонують аналіз файлів: Anubis, CAMAS, ThreatExpert, ThreatTrack. Подібні сервіси використовують різні підходи та мають свої переваги та недоліки, але можна виділити і загальні основні мінуси:

Необхідно мати доступ до Інтернету. Необхідно чекати на черги в процесі обробки (у безкоштовних версіях). Як правило, файли, що створюються або змінюються під час виконання, не надаються. Неможливо контролювати параметри виконання (у безкоштовних версіях). Неможливо втручатися в процес запуску (наприклад, натискати на кнопки вікон, що з'являються). Як правило, неможливо надавати спеціальні бібліотеки, необхідні для запуску (у безкоштовних версіях). Як правило, аналізуються лише виконувані РЕ-файли.

Такі сервіси найчастіше будуються з урахуванням віртуальних машин із встановленим інструментарієм, до відладчиків ядра. Їх можна організувати і вдома. Однак ці системи досить вимогливі до ресурсів і займають великий обсяг на жорсткому диску, а аналіз логів відладчика витрачається багато часу. Це означає, що вони дуже ефективні при глибокому дослідженні певних зразків, але навряд чи зможуть виявитися корисними у рутинній роботі, коли немає можливості навантажувати ресурси системи та витрачати час на аналіз. Використання «пісочниці» для аналізу дозволяє уникнути величезних витрат ресурсів.

Пара попереджень

Сьогодні ми спробуємо зробити власний аналізатор на основі «пісочниці», а саме утиліти Sandboxie. Ця програма доступна як умовно безкоштовна на сайті автора www.sandboxie.com. Для нашого дослідження цілком підійде обмежена безкоштовна версія. Програма запускає програми в ізольованому середовищі, тому вони не роблять шкідливих змін у реальній системі. Але тут є два нюанси:

1. Sandboxie дозволяє відстежувати лише програми на рівні user mode. Вся діяльність шкідливого коду як ядра не відстежується. Тому максимум, що вдасться дізнатися щодо руткітів - це яким чином шкідливість впроваджується в систему. Проаналізувати саму поведінку на рівні kernel mode, на жаль, неможливо.
2. Залежно від налаштувань Sandboxie може блокувати вихід до мережі, дозволяти повний доступ або доступ тільки для окремих програм. Зрозуміло, що, якщо для нормального запуску шкідливості потрібен вихід в інтернет, необхідно його надати. З іншого боку, якщо у тебе на флешці валяється Pinch, який запускається, збирає всі паролі в системі та відправляє їх на ftp зловмиснику, то Sandboxie з відкритим доступом до інтернету не захистить тебе від втрати конфіденційної інформації! Це дуже важливо, і це слід пам'ятати.

Первинне налаштування Sandboxie

Sandboxie – чудовий інструмент з великою кількістю налаштувань. Згадаю лише ті з них, які потрібні для наших завдань.

Після встановлення Sandboxie автоматично створюється одна "пісочниця". Ти можеш додати ще кілька пісочниць під різні завдання. Доступ до налаштувань «пісочниці» здійснюється через контекстне меню. Як правило, всі параметри, які можна змінювати, мають досить докладний опис російською мовою. Для нас особливо важливими є параметри, перелічені в розділах «Відновлення», «Видалення» та «Обмеження». Отже:

1. Необхідно переконатися, що у розділі «Відновлення» нічого не вказано.
2. У розділі «Видалення» не повинні бути проставлені галки та/або зазначені додані папки та програми. Якщо неправильно виставити параметри в розділах, зазначених у пунктах 1 і 2, це може призвести до того, що шкідливий код заразить систему або всі дані для аналізу будуть знищені.
3. У розділі «Обмеження» необхідно вибрати налаштування, які відповідають твоїм завданням. Практично завжди необхідно обмежувати доступ низького рівня та використання апаратних засобів для всіх програм, щоб не допустити зараження системи руткітами. А ось обмежувати доступ на запуск та виконання, а також забирати права, навпаки, не варто, інакше підозрілий код виконуватиметься у нестандартному середовищі. Втім, все, в тому числі наявність доступу до інтернету, залежить від завдання.
4. Для наочності та зручності у розділі «Поведінка» рекомендується включити опцію «Відображати межу навколо вікна» та вибрати колір для виділення програм, що виконуються в обмеженому середовищі.

Підключаємо плагіни

У кілька кліків ми отримали відмінне ізольоване середовище для безпечного виконання коду, але не інструмент аналізу його поведінки. На щастя, автор Sandboxie передбачив можливість використання цілої низки плагінів для своєї програми. Концепція є досить цікавою. Аддони являють собою динамічні бібліотеки, що впроваджуються в процес, що виконується в «пісочниці» і певним чином реєструють або модифікують його виконання.

Нам знадобиться кілька плагінів, які наведені нижче.

1. SBIExtra. Цей плагін здійснює перехоплення ряду функцій для програми, що виконується в пісочниці, щоб блокувати наступні можливості:
   • огляд виконуваних процесів та потоків;
   • доступ до процесів поза межами «пісочниці»;
   • виклик функції BlockInput (введення з клавіатури та миші);
   • зчитування заголовків активних вікон.
2. Antidel. Аддон перехоплює функції, відповідальні видалення файлів. Таким чином, всі тимчасові файли, команда на видалення яких надходить від вихідного коду, залишаються на своїх місцях.

Як інтегрувати їх у «пісочницю»? Оскільки це не передбачено засобами інтерфейсу Sandboxie, редагувати конфігураційний файл доведеться вручну. Створюємо папку Plugins і розпаковуємо до неї всі підготовлені плагіни. Тепер увага: до складу Buster Sandbox Analyzer входить кілька бібліотек із загальним ім'ям LOG_API*.dll, які можуть інжектуватись у процес. Є два типи бібліотек: Verbose та Standard. Перший відображає практично повний список викликів API, що виконуються програмою, включаючи звернення до файлів та реєстру, другий – скорочений список. Скорочення дозволяє прискорити роботу та зменшити журнал, який потім доведеться аналізувати. Особисто я не боюся великих логів, зате побоююся того, що якась потрібна інформація буде дбайливо скорочена, тому вибираю Verbose. Саме цю бібліотеку ми й інжектуватимемо. Щоб зловред не зміг помітити інжект бібліотеки по її імені, застосуємо найпростіший запобіжний захід: змінимо ім'я LOG_API_VERBOSE.dll на будь-яке інше, наприклад LAPD.dll.

Тепер у головному вікні Sandboxie вибираємо "Налаштувати -> Редагувати конфігурацію". Відкриється текстовий конфіг з усіма параметрами програми. Відразу звертаємо увагу на такі рядки:

• Параметр FileRootPath у розділі вказує загальний шлях до папки ізольованого середовища, тобто до папки, де будуть знаходитись всі файли «пісочниці». У мене цей параметр має вигляд FileRootPath=C:Sandbox%SANDBOX%, у тебе він може відрізнятися.
• Розділ нас не цікавить – його пропускаємо та гортаємо далі.
• Потім іде розділ, ім'я якого збігається з назвою «пісочниці» (нехай це буде BSA). Сюди ми і будемо додавати плагіни: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Шляхи, звісно, ​​можуть відрізнятися. Але порядок бібліотек, що інжектуються, обов'язково повинен бути саме таким! Ця вимога пов'язана з тим, що перехоплення функцій має здійснюватися саме у зазначеному порядку, інакше плагіни не працюватимуть. Щоб застосувати зміни, вибираємо у головному вікні Sandboxie: "Налаштувати -> Перезавантажити конфігурацію".

Тепер налаштуємо сам плагін Buster Sandbox Analyzer.

1. Запускаємо плагін вручну, скориставшись файлом bsa.exe із папки Plugins.
2. Вибираємо "Options -> Analysis mode -> Manual" і далі "Options -> Program Options -> Windows Shell Integration -> Add right-click action "Run BSA"".

Тепер все готове до роботи: наша «пісочниця» інтегрована у систему.

Portable-версія «пісочниці»

Безумовно, багатьом не сподобається, що треба щось встановлювати, налаштовувати і т. д. Так як мене все це теж не спокушає, я зробив портабельну версію інструменту, який можна запускати без встановлення та налаштування прямо з флешки. Завантажити таку версію можна тут: tools.safezone.cc/gjf/Sandboxie-portable.zip. Для запуску «пісочниці» достатньо виконати скрипт start.cmd, а після закінчення роботи не забути виконати скрипт stop.cmd, який повністю вивантажить драйвер та всі компоненти з пам'яті, а також збереже внесені під час роботи зміни в портабелі.

Налаштувань у портабелизатора зовсім небагато: його робота в основному заснована на маніпуляціях з файлом Sandboxie.ini.template, що знаходиться в папці Templates. По суті, цей файл є файлом налаштувань Sandboxie, який належним чином обробляється і передається програмі, а після закінчення роботи перезаписується назад у Templates. Якщо відкрити цей файл Блокнотом, то ти навряд чи знайдеш щось цікаве. Потрібно обов'язково звернути увагу на шаблон $(InstallDrive), що повторюється у низці параметрів шляху. Особливо цікавить нас параметр FileRootPath. Якщо він має такий вигляд:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

То «пісочниці» створюватимуться на диску, де знаходиться портабельна Sandboxie. Якщо параметр має, наприклад, такий вид:

FileRootPath=C:\Sandbox\%SANDBOX%

Інакше кажучи, в ньому вказано певний системний диск, то «пісочниці» будуть створюватися на цьому диску.

Особисто рекомендую завжди створювати пісочниці на локальних дисках. Це прискорює роботу інструменту, а при запуску з флешки прискорює на порядки. Якщо ж тебе настільки замучила параноя, що хочеться все запускати та аналізувати на улюбленому носії, який ти носиш у серця, то параметр можна поміняти, але тоді хоча б використовуй портабельні жорсткі диски, щоби все безбожно не гальмувало.

Практичне застосування

Спробуємо наш інструмент реальної загрози. Щоб ніхто не дорікнув мені підтасовуванням, я вчинив просто: зайшов на www.malwaredomainlist.com і скачав останнє, що там з'явилося на момент написання статті. Це виявився премильний файл pp.exe із якогось зараженого сайту. Одна тільки назва вселяє великі надії, крім того, на цей файл відразу закричав мій антивірус. До речі, всі наші маніпуляції краще робити при відключеному антивірусі, інакше ми ризикуємо заблокувати/видалити щось із того, що досліджуємо. Як вивчити поведінку бінарника? Просто натискаємо правою кнопкою на цей файл і вибираємо в меню пункт Run BSA. Відкриється вікно Buster Sandbox Analyzer. Уважно дивимось у рядок Sandbox folder to check. Всі параметри повинні збігатися з тими, які ми вказали при налаштуванні Sandboxie, тобто якщо пісочниця отримала назву BSA, а як шлях до папки був заданий параметр FileRootPath = C: \ Sandbox \ % SANDBOX %, то все, що має бути як на скріншоті. Якщо ж ти розумієшся на збоченнях і назвав пісочницю по-іншому або налаштував параметр FileRootPath на інший диск або папку, його потрібно змінити відповідним чином. В іншому випадку Buster Sandbox Analyzer не знатиме, де шукати нові файли та зміни у реєстрі.

BSA включає масу налаштувань з аналізу та вивчення процесу виконання бінарника, аж до перехоплення мережевих пакетів. Сміливо натискай кнопку Start Analysis. Вікно перейде у режим аналізу. Якщо пісочниця, вибрана для аналізу, з якихось причин містить результати попереднього дослідження, утиліта запропонує її очистити. Все готове до запуску файлу, що досліджується.

Готовий? Тоді натисни на файл, що вивчається, правою кнопкою миші і в меню вибери «Запустити в пісочниці», після чого вкажи ту «пісочницю», до якої ми прикрутили BSA.

Відразу після цього у вікні аналізатора побіжать API-дзвінки, які фіксуватимуться в лог-файлах. Зверніть увагу, що сам Buster Sandbox Analyzer не знає, коли завершиться аналіз процесу, фактично сигналом до закінчення служить саме твоє жмання на кнопку Finish Analysis. Як дізнатися, що час вже настав? Тут може бути два варіанти.

1. У вікні Sandboxie не відображається жоден виконуваний процес. Це означає, що виконання програми очевидно завершилося.
2. У списку API-дзвінків довгий час не з'являється нічого нового або, навпаки, те саме виводиться в циклічній послідовності. При цьому у вікні Sandboxie щось виконується. Таке буває, якщо програма налаштована на резидентне виконання або просто зависла. У цьому випадку її необхідно спочатку завершити вручну, натиснувши правою кнопкою у вікні Sandboxie на відповідну "пісочницю" та вибравши "Завершити програми". До речі, під час аналізу мого pp.exe відбулася саме така ситуація.

Після цього можна сміливо вибирати Finish Analysis у вікні Buster Sandbox Analyzer.

Аналіз поведінки

Натиснувши кнопку Malware Analyzer, ми відразу отримаємо деяку зведену інформацію про результати дослідження. У моєму випадку шкідливість файлу була цілком очевидна: в ході виконання створювався і запускався файл C: Documents and Settings Адміністратор Application Data dplaysvr.exe, який додавався в автозавантаження (до речі, саме він не хотів завершуватися сам), відбувалося з'єднання з 190.9.35.199 та модифікувався hosts-файл. До речі, при цьому на VirusTotal файл детектували лише п'ять антивірусних двигунів, що видно з логів, а також на сайті VirusTotal.

Усю інформацію про результати аналізу можна отримати безпосередньо у меню Viewer у вікні Buster Sandbox Analyzer. Тут же дав притулок і журнал API-дзвінків, який, безумовно, буде корисний при докладному дослідженні. Усі результати зберігаються у вигляді текстових файлів у підпапці Reports папки Buster Sandbox Analyzer. Особливий інтерес представляє звіт Report.txt (викликається через View Report), в якому наводиться розширена інформація щодо всіх файлів. Саме звідти ми дізнаємося, що тимчасові файли насправді були виконуваними, з'єднання йшло за адресою http://190.9.35.199/view.php?rnd=787714, шкідливість створила специфічний мутекс G4FGEXWkb1VANr і т. д. Можна не тільки переглядати а й витягувати всі файли, створені під час виконання. Для цього у вікні Sandboxie натисніть правою кнопкою по «пісочниці» та вибери «Переглянути вміст». Відкриється вікно провідника з усім вмістом нашої "пісочниці": у папці drive знаходяться файли, що створюються на фізичних дисках "пісочниці", а в папці user - файли, що створюються у профілі активного користувача (%userprofile%). Тут я виявив dplaysvr.exe з бібліотекою dplayx.dll, тимчасові файли tmp та змінений файл hosts. До речі, виявилося, що до нього додані такі рядки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Зверни увагу, що в «пісочниці» валяються заражені файли. Якщо їх ненароком запустити подвійним кліком, нічого не буде (вони запустяться в «пісочниці»), але якщо ти їх кудись скопіюєш, а потім виконаєш… хм, ну, ти зрозумів. Тут же, у папці, можна знайти дамп реєстру, зміненого під час роботи, як файл RegHive. Цей файл можна легко перевести в читальніший reg-файл за допомогою наступного командного скрипту:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Що вміє та не вміє інструмент

Отриманий інструмент вміє:

• Відстежувати API-дзвінки запущеної програми.
• Відстежувати нові файли та параметри реєстру.
• Перехоплювати мережевий трафік під час виконання програми.
• Проводити базовий аналіз файлів та їх поведінки (вбудований поведінковий аналізатор, аналіз на VirusTotal за хешами, аналіз за допомогою PEiD, ExeInfo та ssdeep тощо).
• Отримувати деяку додаткову інформацію за рахунок виконання в «пісочниці» допоміжних програм (наприклад, Process Monitor) разом із аналізованою.

Цей інструмент не може:

• Аналізувати зловреди, що виконуються в kernel mode (вимагають установки драйвера). Тим не менш, можливо виявити механізм установки драйвера (до його фактичного впровадження в систему).
• Аналізувати зловреди, що відстежують виконання в Sandboxie. Однак Buster Sandbox Analyzer включає ряд механізмів, що перешкоджають такому відстеженню.

Таким чином, ти отримаєш sandbox.reg, в якому вказані рядки, внесені зловредом під час виконання. Після аналізу вибери в меню Options пункт Cancel analysis, щоб повернути все як було. Зверни увагу, що після цієї операції всі журнали аналізу будуть видалені, але вміст «пісочниці» залишиться на місці. Втім, за наступного запуску програма сама запропонує все видалити.

Можна нескінченно дивитися на вогонь, воду та активність програм ізольованих у пісочниці. Завдяки віртуалізації ти одним кліком можеш відправити результати цієї діяльності – найчастіше небезпечною – у небуття.

Втім, віртуалізація застосовується і в дослідних цілях: наприклад, захотілося тобі проконтролювати вплив свіжоскомпільованої програми на систему або запустити дві різні версії програми одночасно. Або створити автономну програму, яка не залишатиме слідів у системі. Варіантів застосування пісочниці – безліч. Не програма диктує свої умови у системі, а ти їй вказуєш дорогу та розподіляєш ресурси.

Якщо тебе не влаштовує повільність процесу, ти можеш поставити віртуалізацію на потік за допомогою тулзи ThinApp Converter. Інсталятори будуть створюватися на основі вказаного конфіга.

Взагалі, розробники рекомендують робити всі зазначені препарації в стерильних умовах, на новій ОС, щоб всі аспекти установки були враховані. Для цього можна використовувати віртуальну машину, але, зрозуміло, це накладе свій відбиток на швидкість роботи. VMware ThinApp і без того неслабо вантажить системні ресурси, причому не тільки в режимі сканування. Однак, як кажуть, повільно, але вірно.

BufferZone

• Сайт: www.trustware.com
• Розробник: Trustware
• Ліцензія: freeware

BufferZone контролює інтернет- та програмну активність програм за допомогою віртуальної зони, впритул наближаючись до файрволів. Інакше кажучи, тут застосовується віртуалізація, регульована з допомогою правил. BufferZone легко спрацьовується у зв'язці з браузерами, месенджерами, поштовими та P2P-клієнтами.

На момент написання статті розробники попереджали про можливі проблеми під час роботи з Windows 8. Програма здатна вбити систему, після чого її доведеться видаляти через безпечний режим. Виною тому драйвери BufferZone, які вступають у серйозний конфлікт з ОС.

Те, що під радар BufferZone, можна відстежити у головному розділі Summary. Число обмежених програм ти визначаєш сам: для цього призначено список Programs to run inside BufferZone. У нього вже включені потенційно небезпечні програми на кшталт браузерів та поштових клієнтів. Навколо вікна захопленої програми з'являється червона рамка, що надає впевненості при безпечному серфінгу. Хочеш запустити поза зоною – без проблем, контроль можна обійти через контекстне меню.

Крім віртуальної зони є таке поняття, як зона приватна. До неї можна додати сайти, на яких потрібно дотримуватись найсуворішої конфіденційності. Відразу слід зазначити, що функція працює лише в Internet Explorer ретро-версій. У сучасних браузерах є вбудовані кошти задля забезпечення анонімності.

У розділі Policy налаштовується політика щодо інсталяторів та оновлень, а також програм, запущених з пристроїв та мережевих джерел. У Configurations також дивись додаткові опції безпекової політики (Advanced Policy). Є шість рівнів контролю, залежно від чого змінюється ставлення BufferZone до програм: без захисту (1), автоматичний (2) та напівавтоматичний (3), повідомлення про запуск усіх (4) та непідписаних програм (5), максимальний захист (6) .

Як бачиш, цінність BufferZone полягає у тотальному інтернет-контролі. Якщо тобі потрібні гнучкіші правила, то будь-який файрвол тобі на допомогу. У BufferZone він також є, але більше для галочки: дозволяє блокувати програми, мережні адреси та порти. З практичної точки зору він малозручний для активного звернення до налаштувань.

Evalaze

• Сайт: www.evalaze.de/en/evalaze-oxid/
• Розробник: Dögel GmbH
• Ліцензія: freeware / commercial (2142 євро)

Головна фішка Evalaze полягає в гнучкості віртуалізованих програм: їх можна запускати зі змінних носіїв або з мережевого оточення. Програма дозволяє створювати повністю автономні дистрибутиви, що функціонують в емульованому середовищі файлової системи та реєстру.

Головна особливість Evalaze – це зручний майстер, який зрозумілий без читання мануалу. Спочатку ти робиш образ ОС до встановлення програми, потім інсталюєш її, виконуєш тестовий запуск, налаштовуєш. Далі, слідуючи майстру Evalaze, аналізуєш зміни. Дуже нагадує принцип роботи деінсталяторів (наприклад, Soft Organizer).

Віртуалізовані програми можуть працювати у двох режимах: у першому випадку операції запису перенаправляються в пісочницю, у другому програма зможе записувати та читати файли у реальній системі. Чи буде програма видаляти сліди своєї діяльності чи ні – вирішувати тобі, опція Delete Old Sandbox Automatic до твоїх послуг.

Багато цікавих фіч доступне тільки в комерційній версії Evalaze. Серед них – редагування елементів оточення (таких як файли та ключі реєстру), імпорт проектів, налаштування режиму читання. Однак ліцензія коштує понад дві тисячі євро, що, погодься, дещо перевищує психологічний ціновий бар'єр. За аналогічно непідйомною ціною пропонується використання онлайн-віртуалізації. Як розрада на сайті розробника є заготовлені віртуальні додатки-зразки.

Cameyo

• Сайт: www.cameyo.com
• Розробник: Cameyo
• Ліцензія: freeware

Побіжний огляд Cameyo наводить на думку, що функції аналогічні Evalaze і ти в три кліки можеш зліпити дистрибутив з віртуалізованим додатком. Пакувальник робить знімок системи, порівнює його зі змінами після встановлення софту та створює екосистему для запуску.

Найважливіша відмінність від Evalaze у тому, що програма повністю безкоштовна і блокує жодної опції. Налаштування зручно зосереджені: перемикання способу віртуалізації зі збереженням на диск або пам'ять, вибір режиму ізоляції: збереження документів у зазначені директорії, заборона запис або повний доступ. До того ж можеш налаштувати віртуальне середовище за допомогою редактора файлів та ключів реєстру. Кожна папка також має один із трьох рівнів ізоляції, який легко перевизначити.

Ти можеш вказати режим очищення пісочниці після виходу з автономної програми: видалення слідів, без очищення та запис змін реєстру до файлу. Доступна також інтеграція з провідником та можливість прив'язки до конкретних типів файлів у системі, чого немає навіть у платних аналогах Cameyo.

Однак найцікавіше - це не локальна частина Cameyo, а онлайн-пакувальник і публічні віртуальні програми. Достатньо вказати URL або закинути MSI або EXE-інсталятор на сервер, вказавши розрядність системи - і на виході отримуєш автономний пакет. З цього моменту він доступний під дахом твоєї хмари.

Резюме

Sandboxieбуде оптимальним вибором для експериментів у пісочниці. Програма найінформативніша серед перелічених інструментів, у ній доступна функція моніторингу. Широкий вибір налаштувань та непогані можливості управління групою додатків.

Не має якихось унікальних функцій, але дуже проста і безвідмовна. Цікавий факт: стаття писалася всередині цієї «пісочниці», і через прикру помилку всі зміни пішли в «тінь» (читай: астрал). Якби не Dropbox, на цій сторінці було б опубліковано зовсім інший текст - швидше за все, іншого автора.

Evalazeпропонує не комплексний підхід віртуалізації, а індивідуальний: ти контролюєш запуск конкретної програми, створивши при цьому штучні умови проживання. Тут є свої переваги та недоліки. Втім, з урахуванням урізаності безкоштовної версії Evalaze, і переваги померкнуть у твоїх очах.

Cameyoнесе в собі деякий «хмарний» присмак: програму можна завантажити з сайту, закинути на флешку або в Dropbox – це у багатьох випадках зручно. Щоправда, наводить на асоціації з фастфудом: за якість та відповідність змісту опису ручатися не доводиться.

А ось якщо ти волієш готувати за рецептом, VMware ThinApp- Твій варіант. Це рішення для експертів, яким важливим є кожен нюанс. Набір унікальних функцій доповнюється можливостями консолі. Ви можете конвертувати програми з командного рядка, використовуючи конфіги, сценарії - в індивідуальному та пакетному режимі.

BufferZoneє пісочницею з функцією файрвола. Цей гібрид далекий від досконалості та актуальності налаштувань, але для контролю інтернет-активності та програм, захисту від вірусів та інших загроз BufferZone використовувати можна.