Thực đơn
trang chủWindows 10

Cách chạy trình duyệt trong hộp cát. Làm việc trong hộp cát – Sandboxie

Sandboxie chắc chắn là phần mềm sandbox nổi tiếng nhất.
Chương trình này sử dụng phương pháp cổ điển để bảo vệ ứng dụng do người dùng chỉ định bằng cách đặt nó trong một môi trường biệt lập đặc biệt, do đó ứng dụng không thể ảnh hưởng đến hoạt động của chính hệ thống. Điều thú vị nhất là Sandboxie được thiết kế đặc biệt để sử dụng với trình duyệt Internet Explorer, vốn là mục tiêu chính duy nhất của tội phạm mạng. Tuy nhiên, ngày nay Sandboxie hoạt động với hầu hết mọi ứng dụng trong môi trường Windows.

Một tính năng của Sandboxie giúp phân biệt rõ ràng với nhiều chương trình nổi tiếng thuộc loại này là khả năng tạo số lượng hộp cát không giới hạn. Mặc dù thực tế là người dùng có thể dễ dàng lập danh sách các ứng dụng của mình sẽ chỉ hoạt động trong đó. Theo mặc định, chương trình sẽ tự tạo một hộp cát có tên DefaultBox, vì vậy bạn có thể yên tâm làm việc với Sandboxie ngay sau khi cài đặt. Để xem tài liệu hoặc chương trình trong môi trường được bảo vệ của SandBoxie, bạn cần chọn mục "Chạy trong hộp cát", nằm trong menu ngữ cảnh của Windows.

Nếu cần tạo thêm hộp cát trong tương lai, bạn cần yêu cầu chương trình mở các tệp và ứng dụng trong môi trường được bảo vệ khác mà bạn đã tạo. Bạn chỉ cần chọn “Sandboxie Start Menu” từ menu Start và thay thế “sandbox”, chương trình này sẽ được chương trình mặc định sử dụng trong tương lai.

Bạn có thể khởi chạy hộp cát không chỉ từ menu ngữ cảnh mà còn từ chính cửa sổ hộp cát Sandboxie. Để thực hiện việc này, chỉ cần nhấp chuột phải vào “hộp cát” đã chọn và chọn lệnh mong muốn (menu này cũng có sẵn khi bạn nhấp vào biểu tượng Sandboxie trên khay hệ thống).

Ngoài ra, để tăng tốc độ lựa chọn ứng dụng, bạn có thể sử dụng lệnh “Khởi chạy trình duyệt Web”, “Khởi chạy ứng dụng email”, lệnh này có thể khởi chạy các ứng dụng được chỉ định trong hệ thống theo mặc định. Sử dụng menu ngữ cảnh hộp cát, bạn có thể thực hiện nhiều lệnh khác, chẳng hạn như bạn có thể nhấp để đóng tất cả các ứng dụng trong môi trường hộp cát cùng một lúc, bạn cũng có thể xem nội dung và xóa hoàn toàn nội dung đó.

Để nhanh chóng xác định chương trình đang chạy trong hộp cát, một lệnh bổ sung được cung cấp: “Cửa sổ trong hộp cát?”, khi được sử dụng, một dấu thập sẽ xuất hiện trên màn hình của bạn và bằng cách trỏ nó vào cửa sổ mong muốn, bạn có thể nhanh chóng lấy thông tin về chương trình đang chạy.

Nếu hộp cát được khởi chạy với các tham số mặc định thì công cụ này sẽ không cần thiết vì biểu tượng [#] ngay lập tức xuất hiện trong tiêu đề bên cạnh tên ứng dụng. Nếu một biểu tượng xuất hiện trong tiêu đề, thì bạn cần tắt ứng dụng và thực hiện các thay đổi trong cài đặt của hộp cát. Có thể thêm tên “hộp cát” của bạn vào tiêu đề cửa sổ và đặt khung màu xung quanh cửa sổ theo màu bạn thích, điều này sẽ giúp bạn nhanh chóng xác định xem nó có thuộc về nó hay không.

Bằng cách xem xét các cài đặt hộp cát khác, bạn có thể định cấu hình quyền truy cập và quyền đối với nhiều tài nguyên khác nhau một cách nhanh chóng và linh hoạt. Vì vậy, bạn có thể nhanh chóng đặt tham số truy cập cho một số tệp và thư mục nhất định mà quyền truy cập sẽ bị từ chối. Những chương trình nào có thể truy cập chúng ở chế độ chỉ đọc và tính khả dụng của các cài đặt để làm việc với sổ đăng ký hệ thống.

Nếu cần, trong cài đặt, bạn có thể chọn các ứng dụng sẽ chạy trong đó. Những thứ kia. Khi bạn khởi chạy tệp bạn chỉ định, Sandboxie sẽ chặn ứng dụng được kích hoạt ngay lập tức và không cho phép nó hoạt động ở chế độ thông thường. Chương trình cho phép bạn chỉ định không chỉ các tệp được sử dụng riêng lẻ mà còn cả các thư mục mà khi khởi chạy các ứng dụng khác, chúng sẽ được khởi chạy trong môi trường an toàn đã được thiết lập. Cái sau có thể được sử dụng để khởi chạy các chương trình đáng ngờ mà bạn đã tải xuống từ Internet.

Thật sai lầm khi tin rằng tính năng bảo vệ tích hợp của hệ điều hành, phần mềm chống vi-rút hoặc tường lửa sẽ bảo vệ hoàn toàn khỏi phần mềm độc hại. Tuy nhiên, tác hại có thể không rõ ràng như trường hợp vi-rút: một số ứng dụng có thể làm chậm Windows và dẫn đến nhiều loại bất thường khác nhau. Theo thời gian, hậu quả của các quy trình không được kiểm soát từ phần mềm “nghiệp dư” khiến chúng trở nên rõ ràng và việc gỡ cài đặt, xóa khóa đăng ký và các phương pháp dọn dẹp khác không còn hữu ích nữa.

Trong những tình huống như vậy, các chương trình hộp cát, chủ đề của bài đánh giá này, có thể đóng một vai trò tuyệt vời. Nguyên lý hoạt động của hộp cát một phần có thể so sánh với máy ảo (Oracle VM VirtualBox, v.v., VMware Virtualization). Nhờ ảo hóa, tất cả các quy trình do chương trình khởi tạo đều được thực thi trong hộp cát - một môi trường biệt lập với sự kiểm soát chặt chẽ tài nguyên hệ thống.

Phương pháp cách ly mã này được sử dụng khá tích cực trong phần mềm chống vi-rút (KIS 2013, avast!), trong các chương trình như Google Chrome (Flash chạy trong hộp cát). Tuy nhiên, không nên kết luận rằng các chương trình hộp cát là sự đảm bảo hoàn toàn về tính bảo mật. Đây chỉ là một trong những phương tiện bổ sung hiệu quả để bảo vệ HĐH (hệ thống tệp, sổ đăng ký) khỏi những tác động từ bên ngoài.

Đánh giá về chương trình tạo môi trường ảo đã được xuất bản trên trang web. Hôm nay chúng ta sẽ xem xét các ứng dụng khác, theo nghĩa rộng hơn: đây không chỉ là các giải pháp máy tính để bàn mà còn là các dịch vụ đám mây giúp cải thiện không chỉ tính bảo mật mà còn cả tính ẩn danh, giúp có thể chạy từ phương tiện di động, từ một máy tính khác.

hộp cát

Nhà phát triển Ronen Tzur so sánh hoạt động của chương trình Sandboxie với một lớp vô hình được áp dụng trên mặt giấy: bất kỳ dòng chữ nào cũng có thể được áp dụng cho nó; Khi lớp bảo vệ được gỡ bỏ, tấm sẽ vẫn còn nguyên.

Có 4 cách chính để sử dụng sandbox trong Sandboxie:

  • Lướt Internet được bảo vệ
  • Cải thiện quyền riêng tư
  • Thư từ email an toàn
  • Giữ hệ điều hành ở trạng thái ban đầu

Điểm cuối cùng ngụ ý rằng trong hộp cát, bạn có thể cài đặt và chạy bất kỳ ứng dụng khách nào - trình duyệt, trình nhắn tin IM, trò chơi - mà không ảnh hưởng đến hệ thống. Sandboxie kiểm soát quyền truy cập vào các tệp, thiết bị đĩa, khóa đăng ký, quy trình, trình điều khiển, cổng và các nguồn có khả năng không được bảo vệ khác.

Trước hết, SandboxIE rất hữu ích vì nó cho phép người dùng cấu hình linh hoạt các hộp cát và đặc quyền bằng cách sử dụng shell Sandboxie Control. Tại đây, thông qua ngữ cảnh và menu chính, có sẵn các thao tác cơ bản:

  • Khởi động và dừng các chương trình dưới sự kiểm soát của Sandboxie
  • Xem tập tin bên trong hộp cát
  • Khôi phục các tệp cần thiết từ hộp cát
  • Xóa tất cả công việc hoặc tập tin đã chọn
  • Tạo, xóa và định cấu hình hộp cát

Để chạy một chương trình trong hộp cát, chỉ cần kéo tệp thực thi vào cửa sổ Sandboxie Control, vào hộp cát được tạo theo mặc định. Có nhiều cách khác - ví dụ: menu Windows Explorer hoặc vùng thông báo. Cửa sổ chương trình chạy trong môi trường giả lập sẽ có khung màu vàng và dấu thăng (#) trên thanh tiêu đề.

Nếu khi làm việc với một chương trình bị cô lập, bạn cần lưu kết quả vào đĩa, bất kỳ nguồn mong muốn nào sẽ được chỉ định - các tệp sẽ được đặt trong thư mục hộp cát, trong khi nó sẽ không ở địa chỉ đã chỉ định, bên ngoài hộp cát. Để truyền tệp “thực” từ hộp cát, bạn nên sử dụng tùy chọn khôi phục. Có hai loại trong số chúng - nhanh hoặc ngay lập tức, trong cả hai trường hợp, trước khi khởi động chương trình trong hộp cát, bạn cần định cấu hình các thư mục để khôi phục (“Cài đặt hộp cát - Khôi phục”).

Cài đặt quyền truy cập chi tiết hơn nằm trong phần “Hạn chế” và “Truy cập vào tài nguyên”. Chúng có thể được yêu cầu nếu ứng dụng không thể chạy nếu không có một số đặc quyền nhất định (yêu cầu một thư viện hệ thống, trình điều khiển nhất định, v.v.). Trong “Hạn chế”, liên quan đến các chương trình hoặc nhóm, quyền truy cập vào Internet, phần cứng, đối tượng IPC và quyền truy cập cấp thấp được định cấu hình. Trong “Quyền truy cập vào tài nguyên” - cài đặt tương ứng cho các tệp, thư mục, sổ đăng ký và các tài nguyên hệ thống khác.

Ngoài ra, trong cài đặt Sandboxie còn có một phần “Ứng dụng” quan trọng, nơi tập hợp các nhóm chương trình có quyền truy cập vào các tài nguyên được chỉ định. Ban đầu, tất cả các thành phần của danh sách đều bị vô hiệu hóa, để áp dụng các thay đổi cho một ứng dụng cụ thể, bạn cần đánh dấu nó trong danh sách và nhấp vào nút “Thêm”.

Vì vậy, bạn có thể tạo hộp cát với các thông số khác nhau. Bạn được phép sao chép cấu hình của hộp cát hiện có, để thực hiện việc này, khi tạo một hộp cát mới, bạn cần chọn từ danh sách thả xuống môi trường mà bạn muốn chuyển cài đặt.

Bản tóm tắt

Sử dụng ứng dụng Sandboxie, bạn có thể tạo môi trường ảo với bất kỳ cấu hình nào mà không bị hạn chế đối với người dùng. Sandboxie cung cấp một số lượng lớn cài đặt cho cả ứng dụng riêng lẻ và hộp cát.

[+] Cấu hình linh hoạt từng sandbox
[+] Tạo quy tắc cho một nhóm chương trình
[-] Không thể tạo bản phân phối
[-] Thiếu trình hướng dẫn thiết lập

Đánh giá

Việc Evalaze bắt nguồn từ chương trình Thinstall 2007 mang tính biểu tượng, hiện tại là của VMware.

Evalaze không nổi tiếng như Sandboxie trong số các chương trình sandbox, nhưng nó có một số tính năng thú vị khiến nó nổi bật so với một số giải pháp tương tự. Nhờ ảo hóa, các ứng dụng có thể được khởi chạy trong môi trường độc lập từ bất kỳ máy tính nào, bất kể trình điều khiển, thư viện hoặc phiên bản mới hơn của ứng dụng đang được khởi chạy có sẵn hay không. Điều này không yêu cầu bất kỳ cấu hình sơ bộ hoặc tệp cấu hình hoặc thư viện hoặc khóa đăng ký bổ sung nào.

Evalaze không yêu cầu cài đặt, một lưu ý: để hoạt động, bạn sẽ cần Microsoft .NET Framework phiên bản 2.0 trở lên. Trong phiên bản miễn phí, cũng như trong phiên bản chuyên nghiệp, có sẵn trình hướng dẫn thiết lập ảo hóa và số lượng ứng dụng ảo không giới hạn. Bạn chỉ có thể tải xuống phiên bản dùng thử từ trang web của nhà phát triển khi có yêu cầu (xem email của nhà phát triển trên trang web).

Cấu hình kết quả có thể được lưu vào một dự án. Từ đầu đến cuối, quá trình thiết lập một ứng dụng ảo mất nhiều thời gian hơn Sandboxie, nhưng nó nhất quán và dễ hiểu hơn.

Điều đáng chú ý là hai tính năng bổ sung của Evalaze có thể sẽ được các nhà phát triển và người thử nghiệm phần mềm quan tâm: nó hoạt động với hệ thống tệp ảo và sổ đăng ký ảo. Các môi trường Evalaze tự trị này có thể được chỉnh sửa theo ý của bạn bằng cách thêm các tệp, thư mục, khóa cần thiết cho hoạt động của một chương trình ảo cụ thể.

Bạn cũng có thể định cấu hình các liên kết ngay lập tức trong Evalaze: khi khởi chạy, ứng dụng ảo sẽ ngay lập tức tạo các liên kết cần thiết với các tệp trong HĐH.

Bản tóm tắt

Một chương trình mà bạn có thể tạo các ứng dụng độc lập thuận tiện để sử dụng trong mọi tình huống, thường tạo điều kiện thuận lợi cho việc di chuyển, khả năng tương thích và bảo mật. Than ôi, phiên bản miễn phí thực tế vô dụng, nó chỉ thú vị khi nghiên cứu rất sơ sài về các chức năng của Evalaze.

[-] Phiên bản dùng thử chức năng thấp
[-] Bản Pro giá cao
[+] Có hướng dẫn cài đặt
[+] Hệ thống tập tin ảo và sổ đăng ký

Hộp ảo Enigma

Enigma Virtual Box được thiết kế để chạy các ứng dụng trong môi trường ảo biệt lập. Danh sách các định dạng được hỗ trợ bao gồm dll, ocx (thư viện), avi, mp3 (đa phương tiện), txt, doc (tài liệu), v.v.

Enigma Virtual Box mô hình hóa môi trường ảo xung quanh một ứng dụng như sau. Trước khi ứng dụng khởi động, trình tải Hộp ảo được kích hoạt, trình tải này sẽ đọc thông tin cần thiết để chương trình hoạt động: thư viện và các thành phần khác - và cung cấp chúng cho ứng dụng thay vì hệ thống. Kết quả là chương trình hoạt động tự chủ trong mối quan hệ với hệ điều hành.

Thông thường, việc định cấu hình hộp cát Sandboxie hoặc Evalaze mất khoảng 5 phút, thoạt nhìn, Virtual Box cũng không yêu cầu thiết lập dài dòng. Trong tài liệu, việc sử dụng chương trình thực sự được chứa trong một câu.

Chỉ có 4 tab - “Tệp”, “Đăng ký”, “Vùng chứa” và trên thực tế là “Tùy chọn”. Bạn cần chọn tệp thực thi, chỉ định vị trí của kết quả cuối cùng và bắt đầu xử lý. Nhưng sau này hóa ra bạn cần phải tự tạo một môi trường ảo. Với mục đích này, ba phần liền kề “Tệp”, “Đăng ký” và “Vùng chứa” được thiết kế để dữ liệu cần thiết được thêm theo cách thủ công. Sau đó, bạn có thể nhấp vào xử lý, chạy tệp đầu ra và kiểm tra chức năng của chương trình.

Bản tóm tắt

Do đó, Enigma Virtual Box không phân tích hệ điều hành trước và sau khi cài đặt ứng dụng như trường hợp của Evalaze. Trọng tâm được chuyển sang phát triển - do đó, Virtual Box rất hữu ích cho việc thử nghiệm, kiểm tra tính tương thích và tạo điều kiện nhân tạo để chạy chương trình. Việc ảo hóa các ứng dụng không xác định sẽ gây khó khăn vì người dùng sẽ buộc phải chỉ định tất cả các kết nối chương trình một cách độc lập.

[-] Thiếu cài đặt tiện lợi
[+] Các tài nguyên mà chương trình sử dụng có thể được xác định độc lập

Cameyo

Cameyo cung cấp ảo hóa ứng dụng trong ba lĩnh vực: kinh doanh, phát triển và sử dụng cá nhân. Trong trường hợp thứ hai, hộp cát có thể được sử dụng để lưu HĐH ở trạng thái “sạch”, lưu trữ và chạy các ứng dụng trên phương tiện di động và trong các dịch vụ đám mây. Ngoài ra, hàng trăm ứng dụng ảo đã được định cấu hình sẵn sẽ được xuất bản trên cổng cameyo.com, điều này cũng giúp tiết kiệm thời gian của người dùng.

Các bước tạo ứng dụng ảo tương tự như Enigma Virtual Box: đầu tiên, ảnh chụp nhanh của hệ thống được tạo trước khi cài đặt, sau đó là sau đó. Những thay đổi giữa các trạng thái này được tính đến khi tạo hộp cát. Tuy nhiên, không giống như Virtual Box, Cameyo đồng bộ hóa với máy chủ từ xa và xuất bản ứng dụng lên bộ lưu trữ đám mây. Nhờ đó, các ứng dụng có thể chạy trên bất kỳ máy tính nào có quyền truy cập vào tài khoản.

Thông qua Thư viện, bạn có thể tải xuống các ứng dụng hệ thống phổ biến (Ứng dụng ảo công cộng) để khởi chạy lần sau: trình lưu trữ, trình duyệt, trình phát và thậm chí cả phần mềm chống vi-rút. Khi bắt đầu, bạn được yêu cầu chọn một tệp thực thi và cho biết liệu nó có ổn định hay không (điều này dường như đã được người kiểm duyệt thư viện Cameyo tính đến bằng cách nào đó).

Một khả năng thú vị khác là tạo một ứng dụng ảo thông qua . Trình cài đặt có thể được tải xuống từ máy tính của bạn hoặc bạn có thể chỉ định URL của tệp.

Quá trình chuyển đổi được cho là mất từ ​​10 đến 20 phút, nhưng thường thì thời gian chờ đợi ít hơn nhiều lần. Sau khi hoàn thành, một thông báo sẽ được gửi qua email kèm theo liên kết đến gói đã xuất bản.

Thông báo qua email về việc tạo phân phối

Với tất cả sự tiện lợi của đám mây, có hai điều quan trọng cần lưu ý. Thứ nhất: mỗi chương trình đều được cập nhật theo thời gian và thư viện chứa các bản sao khá lỗi thời. Khía cạnh thứ hai: các ứng dụng do người dùng thêm vào có thể chạy trái với giấy phép của một chương trình cụ thể. Điều này phải được hiểu và tính đến khi tạo bản phân phối tùy chỉnh. Và thứ ba, không ai có thể đảm bảo rằng ứng dụng ảo được đăng trong thư viện không bị kẻ tấn công sửa đổi.

Tuy nhiên, nói về bảo mật, Cameyo có 4 chế độ hoạt động của ứng dụng:

  • Chế độ dữ liệu: chương trình có thể lưu file vào thư mục Documents và trên Desktop
  • Bị cô lập: Hệ thống tập tin và sổ đăng ký không thể ghi được
  • Toàn quyền truy cập: truy cập miễn phí vào hệ thống tập tin và sổ đăng ký
  • Tùy chỉnh ứng dụng này: sửa đổi menu khởi chạy, chọn nơi lưu trữ chương trình, v.v.

Bản tóm tắt

Một dịch vụ đám mây tiện lợi mà bạn có thể kết nối trên bất kỳ máy tính nào, cho phép bạn nhanh chóng tạo các ứng dụng di động. Việc thiết lập sandbox được giữ ở mức tối thiểu, không phải mọi thứ đều minh bạch với việc kiểm tra và bảo mật vi-rút nói chung - tuy nhiên, trong tình huống này, những ưu điểm có thể bù đắp cho những nhược điểm.

[+] Đồng bộ hóa mạng
[+] Truy cập vào các ứng dụng tùy chỉnh
[+] Tạo ứng dụng ảo trực tuyến
[-] Thiếu cài đặt hộp cát

Spoon.net

Spoon Tools là bộ công cụ tạo ứng dụng ảo. Ngoài môi trường chuyên nghiệp, Spoon.net xứng đáng được chú ý vì là dịch vụ đám mây tích hợp với Máy tính để bàn, cho phép bạn nhanh chóng tạo hộp cát.

Để tích hợp với Desktop, bạn cần đăng ký trên máy chủ Spoon.net và cài đặt một tiện ích đặc biệt. Sau khi đăng ký, người dùng có cơ hội tải xuống các ứng dụng ảo từ máy chủ thông qua một shell tiện lợi.

Bốn tính năng do widget mang lại:

  • Tạo hộp cát cho các tập tin và ứng dụng
  • Dọn dẹp màn hình của bạn bằng phím tắt và menu khởi chạy nhanh
  • Kiểm tra an toàn các ứng dụng mới, chạy phiên bản cũ trên phiên bản mới
  • Hoàn tác các thay đổi được thực hiện bởi hộp cát

Có thể truy cập nhanh vào tiện ích muỗng.net bằng cách sử dụng tổ hợp phím Alt + Win. Shell bao gồm một thanh tìm kiếm và một bảng điều khiển. Nó tìm kiếm các ứng dụng trên máy tính và trên dịch vụ web.

Việc tổ chức màn hình nền rất thuận tiện: bạn có thể kéo và thả các tệp cần thiết vào màn hình ảo, tệp này sẽ được đồng bộ hóa với spool.net. Hộp cát mới có thể được tạo chỉ bằng hai cú nhấp chuột.

Tất nhiên, về mặt thiết lập sandbox thì Spoon không thể cạnh tranh được với Sandboxie hay Evalaze vì đơn giản là chúng không có mặt trong Spoon. Bạn không thể đặt giới hạn hoặc chuyển đổi ứng dụng “thông thường” thành ứng dụng ảo. Khu phức hợp Spoon Studio được thiết kế cho những mục đích này.

Bản tóm tắt

Spoon là lớp vỏ "nhiều mây" nhất để làm việc với các ứng dụng ảo, đồng thời, ít tùy chỉnh nhất. Sản phẩm này sẽ thu hút những người dùng không quan tâm nhiều đến bảo mật thông qua ảo hóa mà là sự tiện lợi khi làm việc với các chương trình cần thiết ở mọi nơi.

[+] Tích hợp widget với Desktop
[+] Tạo nhanh hộp cát
[-] Thiếu cài đặt để hạn chế các chương trình ảo

Bảng tổng hợp

Chương trình/dịch vụhộp cátĐánh giáHộp ảo EnigmaCameyoSpoon.net
Nhà phát triểnSandboxie Holdings LLCDogel GmbHNhóm phát triển Enigma ProtectorCameyoSpoon.net
Giấy phépPhần mềm chia sẻ (€13+)Phần mềm miễn phí/Phần mềm chia sẻ (€69,95)Phần mềm miễn phíPhần mềm miễn phíMiễn phí (Tài khoản cơ bản)
Thêm ứng dụng vào sandbox+
Cá nhân hóa (tạo phím tắt, tích hợp vào menu)+ + + +
Trình hướng dẫn cài đặt+ + +
Tạo các ứng dụng ảo mới+ + +
Đồng bộ hóa trực tuyến+ +
Đặt đặc quyền hộp cát+ + + +
Phân tích các thay đổi khi tạo sandbox+ + +

Một số ứng dụng lớn (chẳng hạn như tường lửa Tường lửa Outpost Security Suite và Online Armor Premium, cũng như các tệp exe và msi thực thi có nội dung khó hiểu được tải xuống từ Internet) có thể phá vỡ tính toàn vẹn và ổn định của hệ thống. Việc cài đặt chúng trong một hệ điều hành đang hoạt động có thể dẫn đến sự xuất hiện của màn hình BSOD khi tải hệ điều hành, các thay đổi trong cài đặt trình duyệt và thậm chí là sự lây lan của sâu và Trojan, rất có thể dẫn đến việc kẻ tấn công đánh cắp mật khẩu vào tài khoản mạng xã hội, dịch vụ web. bạn sử dụng, hộp thư điện tử, v.v.

Trước đây chúng tôi đã viết về các phương pháp phổ biến để thử nghiệm phần mềm mới trong các bài viết về và. Trong bài viết này, chúng ta sẽ nói về một cách đơn giản, nhanh chóng và hiệu quả khác để chạy bất kỳ ứng dụng nào trong Windows trong môi trường được bảo vệ, biệt lập và tên của nó là hộp cát Sandboxie.

Hộp cát là gì?

Trong lĩnh vực bảo mật máy tính, hộp cát là một môi trường chuyên dụng đặc biệt được thiết kế để chạy các ứng dụng trên PC một cách an toàn. Một số sản phẩm phần mềm phức tạp có chế độ môi trường an toàn (hộp cát). Những ứng dụng như vậy bao gồm tường lửa Comodo Internet Security, phần mềm chống vi-rút Avast! (phiên bản trả phí), những phát triển trong lĩnh vực bảo vệ dữ liệu từ Kaspersky Lab. Chủ đề trong hướng dẫn bài viết của chúng tôi, chương trình Sandboxie, là một công cụ chính thức để thử nghiệm bất kỳ chương trình nào trên quy mô lớn mà không thực hiện thay đổi cấu trúc và thông số của hệ điều hành đang hoạt động. Cách làm việc với nó - đọc tiếp.

Tải xuống bản phân phối và cài đặt Sandboxie

Trước khi bắt đầu cài đặt, như mọi khi, bạn cần tải xuống gói cài đặt trực tuyến. Hãy tận dụng lợi thế Trang web chính thức dự án.

Mặc dù các nhà phát triển cung cấp các phiên bản trả phí của sản phẩm để sử dụng tại nhà và văn phòng, nhưng phiên bản miễn phí cũng khá phù hợp với chúng tôi. Nó không có hạn chế về thời gian. Điểm trừ duy nhất là khả năng hoạt động chỉ với một hộp cát và không thể truy cập được một số thông số không quan trọng lắm.

Sau khi tải xuống bản phân phối, hãy bắt đầu quy trình cài đặt. Nó diễn ra trong 2 giai đoạn. Đầu tiên, thư viện hệ thống và tệp thực thi Sandboxie được cài đặt.

Ở giai đoạn cuối, bạn sẽ được yêu cầu cài đặt trình điều khiển hệ thống, đây là phần cốt lõi của ứng dụng. Trình điều khiển sẽ hoạt động cùng với các tệp dịch vụ, thời gian cài đặt của nó sẽ mất một vài phút. Chúng tôi đồng ý và đi tiếp.

Lần đầu tiên ra mắt sandbox Sandboxie

Khi bạn khởi chạy ứng dụng lần đầu tiên, màn hình sẽ hiển thị danh sách các chương trình mà bạn có thể cải thiện khả năng tương thích hộp cát. Mặc dù thực tế là không phải tất cả các ứng dụng có sẵn trong HĐH đều được hiển thị trong danh sách này, chương trình hộp cát đã tự động xác định rằng theo mặc định, các chương trình này không có sẵn để quản lý trong Sandboxie. Chúng tôi đồng ý cải thiện khả năng tương thích bằng cách kiểm tra tất cả các mục trong danh sách và nhấp vào OK.

Tiếp theo, chúng ta phải trải qua phần giới thiệu ngắn gọn về cách làm việc với ứng dụng, nơi chúng ta có thể làm quen với nguyên lý hoạt động chung của sản phẩm phần mềm, cơ chế khởi chạy trình duyệt web ở chế độ được bảo vệ, cũng như chức năng xóa nội dung của sandbox đang hoạt động. Hướng dẫn sử dụng rất ngắn gọn, tất cả nội dung của nó được rút gọn chỉ bằng một vài lần nhấn nút để thực hiện các hành động phổ biến nhất và hình ảnh minh họa bằng đồ họa với phương pháp cơ bản của dịch vụ.

Vì vậy, khi hết tài liệu hướng dẫn, chúng ta có thể bắt đầu làm việc trong môi trường biệt lập. Bạn có thể khởi chạy ứng dụng bằng cách chọn mục tương ứng trong menu “Start”, hoặc bằng cách nhấp vào biểu tượng tương ứng ở dạng “Ứng dụng” (Win 8/8.1).

Một cách khác là nhấp đúp vào biểu tượng hộp cát Sandboxie trên thanh tác vụ.

Sau khi khởi chạy chương trình, một biểu mẫu có hộp cát đang hoạt động có sẵn cho người dùng sẽ xuất hiện trên màn hình (chúng tôi xin nhắc bạn một lần nữa rằng trong phiên bản miễn phí, bạn chỉ có thể tạo một hộp cát). Hầu như tất cả các hoạt động đều được gọi từ biểu mẫu này.

Chạy trình duyệt ở chế độ sandbox

Chà, hãy khởi chạy trình duyệt ở chế độ được bảo vệ. Để thực hiện việc này, bạn có thể sử dụng phím tắt trên màn hình hoặc nhấp chuột phải vào DefaultBox và chọn “Chạy trong hộp cát” -> “Khởi chạy trình duyệt web” từ menu ngữ cảnh. Điều đáng chú ý là bằng cách này, bạn có thể làm việc với trình duyệt được cài đặt trên hệ thống làm trình duyệt đang hoạt động theo mặc định.

Việc bao gồm một môi trường biệt lập an toàn được biểu tượng bằng một cạnh màu vàng bao quanh biểu mẫu trình duyệt.

Làm thế nào để làm việc với nó? Bằng cách chạy trình duyệt của bạn trong hộp cát, bạn có thể tự do truy cập bất kỳ tài nguyên nào, thậm chí có thể nguy hiểm mà không có nguy cơ lây nhiễm bất kỳ mã độc hại nào vào PC của bạn. Chế độ này chắc chắn sẽ hữu ích nếu bạn đang tìm kiếm chìa khóa cho các chương trình, vết nứt hoặc bạn đặt trẻ em sử dụng máy tính dưới sự giám sát của mình và sợ rằng trẻ có thể gây hại cho hệ thống bằng cách chuyển sang các tài nguyên không an toàn thông qua biểu ngữ hoặc thay đổi địa chỉ email. cài đặt trình duyệt bằng cách cài đặt phần bổ sung "siêu độc đáo" tiếp theo. Mọi tệp được tải xuống bằng trình duyệt này cũng sẽ không có quyền truy cập vào hệ thống làm việc.

Khi cố gắng tải xuống tệp bằng trình duyệt hộp cát, hãy chú ý đến tiêu đề của biểu mẫu để chỉ định tên lưu. Tên của biểu mẫu này được bao quanh bởi hai ký hiệu #, biểu thị rằng khi lưu đối tượng sẽ được đặt trong Windows Sandboxie shell và sẽ không có sẵn trên thiết bị đĩa thông thường.

Điều tương tự cũng áp dụng cho các chương trình đã khởi chạy.

Theo mặc định, các tệp được tải xuống từ mạng sẽ được đặt trong thư mục Màn hình nền hoặc Tải xuống. Những thư mục này phù hợp cho sandboxing.

Làm cách nào để đảm bảo rằng tệp đã tải xuống được lưu trong hộp cát?

Trong menu trên cùng, chọn Xem và chọn tùy chọn Tệp và thư mục. Bạn sẽ thấy một cây đĩa có sẵn và thư mục người dùng mà bạn có thể làm việc ở chế độ được bảo vệ. Mở thư mục bạn cần và đảm bảo có các tệp tương ứng ở đó.

Có thể trích xuất một tệp từ hộp cát bằng cách đặt nó vào một thư mục tương tự trên ổ đĩa dịch vụ thông thường không?

Tất nhiên, để thực hiện việc này, hãy nhấp chuột phải vào tệp cần khôi phục và chọn “Khôi phục vào cùng thư mục” trong menu ngữ cảnh. Sau đó, tập tin sẽ được giải nén.

Bạn cũng có thể thêm đường dẫn mới vào các thư mục có sẵn để lưu bằng cách chỉ định chúng trong biểu mẫu Cài đặt hộp cát, danh mục Khôi phục -> phần Khôi phục nhanh.

Để mở biểu mẫu Cài đặt hộp cát, hãy đi tới tùy chọn Hộp cát ở menu trên cùng, sau đó chọn mục con DefaultBox và trong menu ngữ cảnh xuất hiện, nhấp vào phần tử Cài đặt hộp cát.

Làm cách nào để cài đặt ứng dụng mới trong sandbox?

Nhấp chuột phải vào bản phân phối thích hợp được lưu trong môi trường biệt lập hoặc trong hệ điều hành tiêu chuẩn và chọn “Chạy trong hộp cát” từ menu

Tiếp theo sẽ làm theo quy trình cài đặt tiêu chuẩn, quy trình này có thể được sắp xếp nhanh chóng. Lưu ý duy nhất: nếu bạn muốn kiểm tra chương trình 64 bit, trước khi cài đặt, hãy thêm đường dẫn vào thư mục “C:\Program Files” trong cài đặt hộp cát Sandboxie, vì theo mặc định có thể chỉ có đường dẫn đến thư mục hệ thống “C:\Tệp chương trình (x86)” . Bạn có thể thực hiện lại việc này trong menu Khôi phục nhanh. Để các thay đổi có hiệu lực, hãy nhấp vào nút “Áp dụng” và khởi động lại quá trình cài đặt nếu quá trình này đang chạy.

Làm thế nào để chạy một chương trình trong sandbox?

Người dùng có hai cách để khởi chạy ứng dụng trong môi trường an toàn.

Đầu tiên là menu ngữ cảnh được gọi từ mục Sandbox trong menu trên cùng của Sandboxie. Tại đây, bạn có thể chạy mọi thứ: từ ứng dụng thư khách bên ngoài đến trình nền của bảng điều khiển được thiết kế để nén tệp sang định dạng âm thanh thay thế.

Cách thứ hai là sử dụng tích hợp Sandboxie với Windows Explorer. Để thực hiện việc này, bạn cần nhấp chuột phải vào chương trình bạn cần trên thiết bị đĩa làm việc thông thường và chọn tùy chọn “Chạy trong hộp cát”.

Kết quả

Nhìn chung, phải nói rằng chương trình không cho cảm giác tự tin lắm trên hệ điều hành 64-bit thế hệ mới nhất. Sự cố định kỳ xảy ra và các cửa sổ xuất hiện kèm theo thông báo về nỗ lực khôi phục ngay lập tức các quy trình đang chạy. Tuy nhiên, chỉ cần loay hoay một chút trong cài đặt, bạn có thể khiến sandbox Sandboxie hoạt động ổn định, hiệu quả và không cần phải đặt trước, đồng thời nhờ tích hợp với Explorer nên việc khởi chạy ứng dụng diễn ra suôn sẻ và mượt mà. Cùng với các phương pháp ảo hóa khác, cơ chế này là một công cụ tuyệt vời để gỡ lỗi và thử nghiệm các ứng dụng, rất hữu ích cho việc nghiên cứu chi tiết về sự tương tác của sản phẩm phần mềm với môi trường hoạt động.

Internet chỉ đơn giản là chứa đầy virus. Chúng có thể được ngụy trang thành các chương trình hữu ích hoặc thậm chí có thể được tích hợp vào một chương trình đang hoạt động. (Khá thường thấy trong các chương trình bị tấn công, vì vậy bạn nên nghi ngờ các chương trình bị tấn công, đặc biệt nếu bạn tải xuống từ các trang web đáng ngờ). Vì vậy, bạn đã cài đặt chương trình và một thứ khác được cài đặt trên máy tính của bạn như một phần thưởng (tốt nhất là các chương trình dành cho lướt web ẩn hoặc thợ mỏ), và tệ nhất là các chiến binh, cửa sau, kẻ đánh cắp và các thủ đoạn bẩn thỉu khác.

Có 2 lựa chọn nếu bạn không tin tưởng vào tập tin.
- Chạy virus trong sandbox
- Sử dụng máy ảo

Trong bài viết này, chúng ta sẽ xem xét tùy chọn thứ 1 - sandbox cho windows.

Sandbox cho Windows là một cơ hội tuyệt vời để làm việc với các tệp đáng ngờ, chúng ta sẽ xem cách bắt đầu sử dụng hộp cát.
Nếu bạn sử dụng phần mềm chống vi-rút, hộp cát thường được tích hợp sẵn trong đó. Nhưng tôi không thích những thứ này và tôi nghĩ tốt nhất nên tải sandbox trên trang web www.sandboxie.com.

Chương trình cho phép bạn chạy tệp trong một khu vực được chỉ định đặc biệt, ngoài khu vực đó vi-rút không thể thoát ra ngoài và gây hại cho máy tính.

Bạn có thể tải xuống chương trình miễn phí. Tuy nhiên, sau 2 tuần sử dụng, khi bật, một dấu hiệu cho biết đề nghị mua đăng ký sẽ xuất hiện và chương trình có thể khởi chạy sau vài giây. Nhưng chương trình vẫn còn đầy đủ chức năng. Việc cài đặt sẽ không khó khăn. Và bản thân giao diện khá đơn giản.

Theo mặc định, chương trình sẽ tự khởi động khi bạn bật máy tính. Nếu chương trình đang chạy, biểu tượng khay sẽ xuất hiện. Nếu không, hãy đi tới Bắt đầu-Tất cả chương trình-Sandboxie-Quản lý sandboxie.
Cách dễ nhất để chạy một chương trình trong hộp cát là nhấp chuột phải vào tệp khởi chạy hoặc vào lối tắt của chương trình mong muốn và trong menu bạn sẽ thấy dòng chữ “Chạy trong hộp cát”, nhấp và chạy. Chọn cấu hình mong muốn để chạy và nhấp vào OK. Thế là xong, chương trình được yêu cầu sẽ chạy trong môi trường an toàn và vi-rút sẽ không thoát khỏi hộp cát.


Lưu ý: một số chương trình bị nhiễm không cho phép khởi chạy trong hộp cát và máy ảo, buộc bạn phải khởi chạy chúng trực tiếp. Nếu bạn gặp phải phản ứng như vậy, điều tốt nhất nên làm là xóa tệp, nếu không bạn sẽ gặp nguy hiểm và rủi ro.

.

Nếu khởi chạy trong hộp cát không xuất hiện trong menu ngữ cảnh (khi bạn nhấp chuột phải), hãy chuyển đến cửa sổ chương trình, chọn Cấu hình - Tích hợp vào Windows Explorer - và đánh dấu vào hai hộp bên dưới dòng chữ "Hành động - chạy trong hộp cát. "

Bạn có thể tạo các hộp cát khác nhau. Để thực hiện việc này, hãy nhấp vào Hộp cát - tạo hộp cát và viết tên của hộp cát mới. Bạn cũng có thể xóa những cái cũ trong phần hộp cát (được khuyến nghị).

Không có gì hơn để xem xét trong chương trình. Cuối cùng, tôi muốn nói - Hãy chăm sóc dữ liệu và máy tính của bạn! Cho đến lần sau

Bài viết liên quan:

Xóa các tập tin không thể xóa được trên máy tính của bạn Máy ảo cho windows. Tổng quan và thiết lập chương trình Windows 10 tắt tính năng theo dõi

Có hai cách chính để chạy một cách an toàn một tệp thực thi đáng ngờ: dưới một máy ảo hoặc trong cái gọi là “hộp cát”. Hơn nữa, cái sau có thể được điều chỉnh một cách tinh tế để phân tích hoạt động của tệp mà không cần dùng đến các tiện ích chuyên dụng và dịch vụ trực tuyến cũng như không sử dụng nhiều tài nguyên, như trường hợp của máy ảo. Tôi muốn kể cho bạn nghe về anh ấy.

CẢNH BÁO

Việc sử dụng không đúng kỹ thuật được mô tả có thể gây hại cho hệ thống và dẫn đến nhiễm trùng! Hãy chú ý và cẩn thận.

Hộp cát để phân tích

Những người làm việc trong lĩnh vực bảo mật máy tính rất quen thuộc với khái niệm sandbox. Nói tóm lại, hộp cát là môi trường thử nghiệm trong đó một chương trình nhất định được thực thi. Đồng thời, công việc được tổ chức theo cách mà tất cả các hành động của chương trình đều được giám sát, tất cả các tệp và cài đặt đã thay đổi đều được lưu, nhưng không có gì xảy ra trong hệ thống thực. Nói chung, bạn có thể hoàn toàn tin tưởng chạy bất kỳ tệp nào rằng điều này sẽ không ảnh hưởng đến hiệu suất của hệ thống theo bất kỳ cách nào. Những công cụ như vậy có thể được sử dụng không chỉ để đảm bảo an ninh mà còn để phân tích hành động của phần mềm độc hại mà nó thực hiện sau khi khởi chạy. Tất nhiên, nếu có ảnh chụp nhanh của hệ thống trước khi bắt đầu các hành động đang hoạt động và hình ảnh về những gì đã xảy ra trong hộp cát, bạn có thể dễ dàng theo dõi tất cả các thay đổi.

Tất nhiên, có rất nhiều dịch vụ trực tuyến được tạo sẵn trên Internet cung cấp khả năng phân tích tệp: Anubis, CAMAS, ThreatExpert, ThreatTrack. Các dịch vụ như vậy sử dụng các cách tiếp cận khác nhau và có những ưu điểm và nhược điểm riêng, nhưng chúng ta cũng có thể xác định những nhược điểm chính chung:

Bạn phải có quyền truy cập vào Internet. Bạn phải xếp hàng chờ trong quá trình xử lý (ở phiên bản miễn phí). Thông thường, các tệp được tạo hoặc sửa đổi trong quá trình thực thi sẽ không được cung cấp. Không thể kiểm soát các tham số thực thi (trong phiên bản miễn phí). Không thể can thiệp vào quá trình khởi động (ví dụ: nhấp vào nút của cửa sổ xuất hiện). Nhìn chung không thể cung cấp các thư viện cụ thể cần thiết để chạy (trong các phiên bản miễn phí). Theo quy định, chỉ các tệp PE thực thi mới được phân tích.

Các dịch vụ như vậy thường được xây dựng trên cơ sở máy ảo với các công cụ được cài đặt sẵn, bao gồm cả trình gỡ lỗi kernel. Họ cũng có thể được tổ chức tại nhà. Tuy nhiên, các hệ thống này khá tốn tài nguyên và chiếm nhiều dung lượng ổ cứng, đồng thời việc phân tích nhật ký trình gỡ lỗi mất rất nhiều thời gian. Điều này có nghĩa là chúng rất hiệu quả trong việc nghiên cứu chuyên sâu một số mẫu nhất định, nhưng khó có thể hữu ích trong công việc thường ngày khi không có cách nào để tải tài nguyên hệ thống và lãng phí thời gian vào việc phân tích. Sử dụng hộp cát để phân tích cho phép bạn tránh được những khoản chi tiêu lớn về tài nguyên.

Một vài cảnh báo

Hôm nay chúng tôi sẽ cố gắng tạo ra máy phân tích của riêng mình dựa trên hộp cát, cụ thể là tiện ích Sandboxie. Chương trình này có sẵn dưới dạng phần mềm chia sẻ trên trang web của tác giả www.sandboxie.com. Đối với nghiên cứu của chúng tôi, phiên bản miễn phí giới hạn khá phù hợp. Chương trình chạy các ứng dụng trong một môi trường biệt lập để chúng không thực hiện các thay đổi độc hại đối với hệ thống thực. Nhưng có hai sắc thái ở đây:

  1. Sandboxie cho phép bạn chỉ giám sát các chương trình ở cấp chế độ người dùng. Mọi hoạt động của mã độc trong chế độ kernel đều không được giám sát. Do đó, điều có thể học được nhiều nhất khi nghiên cứu rootkit là cách phần mềm độc hại được đưa vào hệ thống. Thật không may, không thể phân tích chính hành vi đó ở cấp chế độ kernel.
  2. Tùy thuộc vào cài đặt, Sandboxie có thể chặn quyền truy cập Internet, cho phép truy cập đầy đủ hoặc chỉ truy cập đối với một số chương trình nhất định. Rõ ràng là nếu phần mềm độc hại cần truy cập Internet để chạy bình thường thì nó phải được cung cấp. Mặt khác, nếu bạn có Pinch nằm trên ổ đĩa flash, khởi động, thu thập tất cả mật khẩu trong hệ thống và gửi chúng qua ftp cho kẻ tấn công, thì Sandboxie với quyền truy cập Internet mở sẽ không bảo vệ bạn khỏi mất thông tin bí mật ! Điều này rất quan trọng và cần được ghi nhớ.

Thiết lập ban đầu của Sandboxie

Sandboxie là một công cụ tuyệt vời với rất nhiều lựa chọn. Tôi sẽ chỉ đề cập đến những thứ cần thiết cho nhiệm vụ của chúng ta.

Sau khi cài đặt Sandboxie, một sandbox sẽ tự động được tạo. Bạn có thể thêm một số hộp cát cho các nhiệm vụ khác nhau. Cài đặt hộp cát được truy cập thông qua menu ngữ cảnh. Theo quy định, tất cả các tham số có thể thay đổi đều được cung cấp mô tả khá chi tiết bằng tiếng Nga. Các thông số được liệt kê trong các phần “Phục hồi”, “Loại bỏ” và “Hạn chế” đặc biệt quan trọng đối với chúng tôi. Vì thế:

  1. Bạn cần đảm bảo rằng không có gì được liệt kê trong phần "Phục hồi".
  2. Trong phần “Xóa” không được đánh dấu bất kỳ hộp kiểm nào và/hoặc các thư mục và chương trình đã thêm. Nếu bạn thiết lập không chính xác các tham số trong phần quy định tại đoạn 1 và 2, điều này có thể dẫn đến mã độc lây nhiễm vào hệ thống hoặc toàn bộ dữ liệu phân tích sẽ bị hủy.
  3. Trong phần “Hạn chế”, bạn cần chọn cài đặt phù hợp với nhiệm vụ của mình. Hầu như luôn luôn cần thiết phải hạn chế quyền truy cập và sử dụng phần cứng ở mức độ thấp đối với tất cả các chương trình đang chạy để ngăn chặn rootkit lây nhiễm vào hệ thống. Nhưng ngược lại, việc hạn chế quyền truy cập để khởi chạy và thực thi cũng như tước bỏ các quyền là không đáng, nếu không mã đáng ngờ sẽ được thực thi trong một môi trường không chuẩn. Tuy nhiên, mọi thứ, bao gồm cả khả năng truy cập Internet, đều phụ thuộc vào nhiệm vụ.
  4. Để rõ ràng và thuận tiện, trong phần “Hành vi”, nên bật tùy chọn “Hiển thị đường viền xung quanh cửa sổ” và chọn màu để làm nổi bật các chương trình đang chạy trong môi trường hạn chế.

Kết nối plugin

Trong một vài cú nhấp chuột, chúng tôi đã có được một môi trường biệt lập tuyệt vời để thực thi mã an toàn nhưng không có công cụ để phân tích hành vi của nó. May mắn thay, tác giả của Sandboxie đã cung cấp khả năng sử dụng một số plugin cho chương trình của mình. Khái niệm này khá thú vị. Tiện ích bổ sung là các thư viện động được đưa vào một quy trình đang chạy trong hộp cát và đăng ký hoặc sửa đổi quá trình thực thi của nó theo một cách nhất định.

Chúng tôi sẽ cần một số plugin được liệt kê dưới đây.

  1. SBIExtra. Plugin này chặn một số chức năng của chương trình được đóng hộp cát để chặn các tính năng sau:
    • tổng quan về các tiến trình và luồng thực thi;
    • truy cập vào các quy trình bên ngoài hộp cát;
    • gọi hàm BlockInput (nhập bàn phím và chuột);
    • Đọc tiêu đề của các cửa sổ đang hoạt động.
  2. Antidel. Addon chặn các chức năng chịu trách nhiệm xóa tập tin. Do đó, tất cả các tệp tạm thời, lệnh xóa xuất phát từ mã nguồn, vẫn ở nguyên vị trí của chúng.

Làm cách nào để tích hợp chúng vào sandbox? Vì giao diện Sandboxie không cung cấp điều này nên bạn sẽ phải chỉnh sửa tệp cấu hình theo cách thủ công. Tạo thư mục Plugins và giải nén tất cả các plugin đã chuẩn bị sẵn vào đó. Bây giờ hãy chú ý: Trình phân tích hộp cát Buster bao gồm một số thư viện có tên chung là LOG_API*.dll, có thể được đưa vào quy trình. Có hai loại thư viện: Verbose và Standard. Cái đầu tiên hiển thị danh sách gần như đầy đủ các lệnh gọi API do chương trình thực hiện, bao gồm các lệnh gọi đến tệp và sổ đăng ký, cái thứ hai là danh sách viết tắt. Giảm cho phép bạn tăng tốc công việc và giảm nhật ký, sau đó phải phân tích. Cá nhân tôi không sợ nhật ký lớn nhưng sợ một số thông tin cần thiết sẽ bị “cắt bỏ” cẩn thận nên tôi chọn Verbose. Đây là thư viện mà chúng tôi sẽ đưa vào. Để ngăn phần mềm độc hại nhận thấy việc tiêm thư viện theo tên của nó, chúng tôi sẽ sử dụng biện pháp phòng ngừa đơn giản nhất: thay đổi tên LOG_API_VERBOSE.dll thành bất kỳ tên nào khác, ví dụ: LAPD.dll.


Bây giờ trong cửa sổ Sandboxie chính, chọn “Configure -> Edit Configuration”. Một cấu hình văn bản sẽ mở ra với tất cả các cài đặt chương trình. Chúng ta hãy chú ý ngay đến những dòng sau:

  • Tham số FileRootPath trong phần chỉ định đường dẫn chung đến thư mục hộp cát, tức là thư mục chứa tất cả các tệp hộp cát. Đối với tôi, tham số này trông giống như FileRootPath=C:\Sandbox\%SANDBOX%, nó có thể khác đối với bạn.
  • Phần này không được chúng tôi quan tâm - chúng tôi bỏ qua nó và cuộn xa hơn.
  • Sau đó có một phần có tên trùng với tên của sandbox (đặt là BSA). Đây là nơi chúng tôi sẽ thêm các plugin: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Đã bật=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Mẫu=BlockPorts

Tất nhiên, các con đường có thể khác nhau. Nhưng thứ tự của các thư viện được chèn phải chính xác như thế này! Yêu cầu này là do các chức năng phải được chặn theo thứ tự đã chỉ định, nếu không các plugin sẽ không hoạt động. Để áp dụng các thay đổi, hãy chọn trong cửa sổ Sandboxie chính: “Định cấu hình -> Tải lại cấu hình”.

Bây giờ hãy cấu hình chính plugin Buster Sandbox Analyser.

  1. Chúng tôi khởi chạy plugin theo cách thủ công bằng tệp bsa.exe từ thư mục Plugins.
  2. Chọn “Tùy chọn -> Chế độ phân tích -> Thủ công” rồi chọn “Tùy chọn -> Tùy chọn chương trình -> Tích hợp Windows Shell -> Thêm hành động nhấp chuột phải vào “Chạy BSA””.

Bây giờ mọi thứ đã sẵn sàng hoạt động: hộp cát của chúng tôi đã được tích hợp vào hệ thống.

Phiên bản di động của sandbox

Tất nhiên, nhiều người sẽ không thích việc họ cần cài đặt, định cấu hình, v.v. Vì tất cả những điều này cũng không hấp dẫn tôi nên tôi đã tạo một phiên bản di động của công cụ có thể khởi chạy mà không cần cài đặt và cấu hình, trực tiếp từ flash lái xe. Bạn có thể tải xuống phiên bản này tại đây: tools.safezone.cc/gjf/Sandboxie-portable.zip. Để khởi động hộp cát, chỉ cần chạy tập lệnh start.cmd và khi kết thúc công việc, đừng quên chạy tập lệnh stop.cmd, tập lệnh này sẽ dỡ hoàn toàn trình điều khiển và tất cả các thành phần khỏi bộ nhớ, đồng thời lưu các thay đổi đã thực hiện trong quá trình làm việc trên thiết bị di động.

Bản thân portabelizer có rất ít cài đặt: công việc của nó chủ yếu dựa trên các thao tác với tệp Sandboxie.ini.template, nằm trong thư mục Mẫu. Về cơ bản, tệp này là tệp cài đặt Sandboxie được xử lý đúng cách và chuyển đến chương trình và khi hoàn tất, sẽ được ghi đè trở lại vào Mẫu. Nếu bạn mở tệp này bằng Notepad, bạn khó có thể tìm thấy điều gì thú vị. Bạn chắc chắn nên chú ý đến mẫu $(InstallDrive), được lặp lại trong một số tham số đường dẫn. Chúng tôi đặc biệt quan tâm đến tham số FileRootPath. Nếu nó trông như thế này:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Sau đó, “hộp cát” sẽ được tạo trên đĩa chứa Sandboxie di động. Ví dụ: nếu tham số có dạng sau:

FileRootPath=C:\Sandbox\%SANDBOX%

Nói cách khác, nó chỉ định một ổ đĩa hệ thống cụ thể, sau đó các “hộp cát” sẽ được tạo trên ổ đĩa này.

Cá nhân tôi khuyên bạn nên luôn tạo hộp cát trên đĩa cục bộ. Điều này giúp tăng tốc hoạt động của công cụ và khi chạy từ ổ đĩa flash, nó sẽ tăng tốc theo cấp độ lớn. Nếu bạn bị chứng hoang tưởng dày vò đến mức muốn chạy và phân tích mọi thứ trên phương tiện yêu thích mà bạn mang theo bên mình thì có thể thay đổi thông số, nhưng ít nhất hãy sử dụng ổ cứng di động để mọi thứ không bị chậm đi một cách đáng kể. .

Công dụng thực tế

Hãy thử công cụ của chúng tôi về một mối đe dọa thực sự. Để không ai buộc tội tôi lừa đảo, tôi đã làm một việc đơn giản: Tôi truy cập www.malwaredomainlist.com và tải xuống nội dung mới nhất xuất hiện ở đó tại thời điểm viết bài. Hóa ra đó là một tệp pp.exe đẹp từ một trang web bị nhiễm virus nào đó. Chỉ cái tên thôi đã khơi dậy niềm hy vọng lớn lao, ngoài ra, phần mềm diệt virus của tôi ngay lập tức hét lên với tập tin này. Nhân tiện, tốt hơn hết là bạn nên thực hiện tất cả các thao tác của mình khi đã tắt phần mềm chống vi-rút, nếu không, chúng tôi có nguy cơ chặn/xóa nội dung nào đó khỏi những gì chúng tôi đang nghiên cứu. Làm thế nào để nghiên cứu hành vi của một hệ nhị phân? Chỉ cần nhấp chuột phải vào tệp này và chọn Chạy BSA từ menu thả xuống. Cửa sổ Trình phân tích Buster Sandbox sẽ mở ra. Bạn xem kỹ dòng Sandbox folder để kiểm tra. Tất cả các tham số phải khớp với những tham số mà chúng tôi đã chỉ định khi thiết lập Sandboxie, nghĩa là nếu hộp cát được đặt tên là BSA và đường dẫn đến thư mục được đặt thành FileRootPath=C:\Sandbox\%SANDBOX%, thì mọi thứ sẽ giống như trong ảnh chụp màn hình . Nếu bạn biết nhiều về các biến thái và đặt tên khác cho hộp cát hoặc định cấu hình tham số FileRootPath cho một ổ đĩa hoặc thư mục khác, bạn cần thay đổi nó cho phù hợp. Nếu không, Buster Sandbox Analyser sẽ không biết tìm tệp mới và thay đổi trong sổ đăng ký ở đâu.


BSA bao gồm nhiều cài đặt để phân tích và nghiên cứu quá trình thực thi nhị phân, cho đến việc chặn các gói mạng. Vui lòng nhấp vào nút Bắt đầu phân tích. Cửa sổ sẽ chuyển sang chế độ phân tích. Nếu hộp cát được chọn để phân tích vì lý do nào đó chứa kết quả của nghiên cứu trước đó, tiện ích sẽ đề nghị xóa nó trước. Mọi thứ đã sẵn sàng để chạy tập tin đang được điều tra.

Sẵn sàng? Sau đó nhấp chuột phải vào tệp bạn đang nghiên cứu và trong menu mở ra, chọn “Chạy trong hộp cát”, sau đó chọn “hộp cát” mà chúng tôi đã đính kèm BSA.

Ngay sau đó, lệnh gọi API sẽ chạy trong cửa sổ phân tích, cửa sổ này sẽ được ghi lại trong tệp nhật ký. Xin lưu ý rằng bản thân Buster Sandbox Analyser không biết khi nào quá trình phân tích sẽ hoàn tất; trên thực tế, tín hiệu kết thúc là việc bạn nhấp vào nút Kết thúc Phân tích. Làm thế nào bạn biết rằng thời gian đã đến? Có thể có hai lựa chọn ở đây.

  1. Cửa sổ Sandboxie không hiển thị bất kỳ tiến trình đang chạy nào. Điều này có nghĩa là chương trình đã kết thúc rõ ràng.
  2. Trong một thời gian dài, không có gì mới xuất hiện trong danh sách lệnh gọi API hoặc ngược lại, điều tương tự được hiển thị theo trình tự tuần hoàn. Đồng thời, có thứ gì đó khác đang chạy trong cửa sổ Sandboxie. Điều này xảy ra nếu chương trình được cấu hình để thực thi thường trú hoặc đơn giản là bị đóng băng. Trong trường hợp này, trước tiên nó phải được chấm dứt theo cách thủ công bằng cách nhấp chuột phải vào hộp cát tương ứng trong cửa sổ Sandboxie và chọn “Kết thúc chương trình”. Nhân tiện, khi phân tích pp.exe của tôi, chính xác tình huống này đã xảy ra.

Sau đó, bạn có thể chọn Kết thúc phân tích một cách an toàn trong cửa sổ Trình phân tích hộp cát Buster.


Phân tích hành vi

Khi nhấn vào nút Malware Analyser, chúng ta sẽ nhận ngay được một số thông tin tóm tắt về kết quả nghiên cứu. Trong trường hợp của tôi, tính độc hại của tệp là hoàn toàn rõ ràng: trong quá trình thực thi, tệp C:\Documents and Setting\Administrator\Application Data\dplaysvr.exe đã được tạo và khởi chạy, được thêm vào quá trình khởi động (nhân tiện, nó đã được tệp này không muốn tự kết thúc), một kết nối đã được tạo với 190.9.35.199 và tệp máy chủ đã được sửa đổi. Nhân tiện, chỉ có năm công cụ chống vi-rút phát hiện được tệp trên VirusTotal, như có thể thấy từ nhật ký, cũng như trên trang web VirusTotal.

Tất cả thông tin về kết quả phân tích có thể được lấy trực tiếp từ menu Viewer trong cửa sổ Buster Sandbox Analyser. Ngoài ra còn có nhật ký các lệnh gọi API, chắc chắn sẽ hữu ích cho việc nghiên cứu chi tiết. Tất cả kết quả được lưu trữ dưới dạng tệp văn bản trong thư mục con Báo cáo của thư mục Trình phân tích hộp cát Buster. Mối quan tâm đặc biệt là báo cáo Report.txt (được gọi thông qua Xem Báo cáo), cung cấp thông tin mở rộng về tất cả các tệp. Từ đó, chúng tôi biết rằng các tệp tạm thời thực sự có thể thực thi được, kết nối đi tới http://190.9.35.199/view.php?rnd=787714, phần mềm độc hại đã tạo ra một mutex cụ thể G4FGEXWkb1VANr, v.v. Bạn không chỉ có thể xem báo cáo mà còn trích xuất tất cả các tệp được tạo trong quá trình thực thi. Để thực hiện việc này, trong cửa sổ Sandboxie, nhấp chuột phải vào “hộp cát” và chọn “Xem nội dung”. Một cửa sổ Explorer sẽ mở ra với tất cả nội dung trong “hộp cát” của chúng tôi: thư mục ổ đĩa chứa các tệp được tạo trên đĩa vật lý của hộp cát và thư mục người dùng chứa các tệp được tạo trong hồ sơ người dùng đang hoạt động (% userprofile%). Ở đây tôi đã tìm thấy dplaysvr.exe với thư viện dplayx.dll, các tệp tmp tạm thời và tệp máy chủ đã sửa đổi. Nhân tiện, hóa ra những dòng sau đã được thêm vào nó:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Xin lưu ý rằng có những tệp bị nhiễm nằm xung quanh hộp cát. Nếu bạn vô tình bấm đúp vào chúng, sẽ không có gì xảy ra (chúng sẽ chạy trong hộp cát), nhưng nếu bạn sao chép chúng ở đâu đó và sau đó thực thi chúng... hmm, bạn hiểu ý rồi. Tại đây, trong thư mục, bạn có thể tìm thấy kết xuất sổ đăng ký đã thay đổi trong quá trình làm việc, dưới dạng tệp RegHive. Tệp này có thể dễ dàng được chuyển đổi thành tệp reg dễ đọc hơn bằng cách sử dụng tập lệnh sau:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Những gì nhạc cụ có thể và không thể làm

Công cụ kết quả có thể:

  • Giám sát các cuộc gọi API từ một ứng dụng đang chạy.
  • Giám sát các tập tin mới được tạo và cài đặt đăng ký.
  • Chặn lưu lượng mạng trong khi ứng dụng đang chạy.
  • Tiến hành phân tích cơ bản về các tệp và hành vi của chúng (bộ phân tích hành vi tích hợp sẵn, phân tích trên VirusTotal bằng hàm băm, phân tích bằng PEiD, ExeInfo và ssdeep, v.v.).
  • Thu thập một số thông tin bổ sung bằng cách chạy các chương trình phụ trợ (ví dụ: Trình giám sát quy trình) trong hộp cát cùng với chương trình đang được phân tích.

Công cụ này không thể:

  • Phân tích phần mềm độc hại chạy ở chế độ kernel (yêu cầu cài đặt trình điều khiển). Tuy nhiên, có thể xác định được cơ chế cài đặt driver (trước khi nó được triển khai thực tế trên hệ thống).
  • Phân tích phần mềm độc hại theo dõi thực thi trong Sandboxie. Tuy nhiên, Buster Sandbox Analyser bao gồm một số cơ chế để ngăn chặn việc theo dõi như vậy.

Do đó, bạn sẽ nhận được sandbox.reg, chứa các dòng được phần mềm độc hại thêm vào trong quá trình thực thi. Sau khi thực hiện phân tích, hãy chọn Hủy phân tích từ menu Tùy chọn để trả lại mọi thứ như cũ. Xin lưu ý rằng sau thao tác này, tất cả nhật ký phân tích sẽ bị xóa nhưng nội dung của hộp cát sẽ vẫn giữ nguyên. Tuy nhiên, lần tiếp theo bạn khởi động chương trình, nó sẽ đề nghị xóa mọi thứ.