Thực đơn
trang chủMạng xã hội

Cách chạy tệp trong hộp cát Windows 10. Điều chỉnh Sandboxie để phân tích các tệp đáng ngờ

Có hai cách chính để chạy một cuộc tấn công đáng ngờ một cách an toàn tập tin thực thi: dưới một máy ảo hoặc trong cái gọi là “hộp cát”. Hơn nữa, cái sau có thể được điều chỉnh một cách tinh tế cho phân tích hoạt động file mà không cần dùng đến các tiện ích chuyên dụng và dịch vụ trực tuyến cũng như không sử dụng nhiều tài nguyên, như trường hợp của máy ảo. Tôi muốn kể cho bạn nghe về anh ấy.

CẢNH BÁO

Việc sử dụng không đúng kỹ thuật được mô tả có thể gây hại cho hệ thống và dẫn đến nhiễm trùng! Hãy chú ý và cẩn thận.

Hộp cát để phân tích

Những người làm bảo mật máy tính, rất quen thuộc với khái niệm hộp cát. Nói tóm lại, hộp cát là môi trường thử nghiệm trong đó một chương trình nhất định được thực thi. Đồng thời, công việc được tổ chức sao cho tất cả các hoạt động của chương trình đều được giám sát, tất cả tập tin có thể thay đổi và các cài đặt được lưu nhưng không có gì xảy ra trong hệ thống thực. Nói chung, bạn có thể hoàn toàn tin tưởng chạy bất kỳ tệp nào rằng điều này sẽ không ảnh hưởng đến hiệu suất của hệ thống theo bất kỳ cách nào. Những công cụ như vậy có thể được sử dụng không chỉ để đảm bảo an ninh mà còn để phân tích hành động của phần mềm độc hại mà nó thực hiện sau khi khởi chạy. Tất nhiên, nếu có ảnh chụp nhanh của hệ thống trước khi bắt đầu hành động tích cực và hình ảnh về những gì đã xảy ra trong hộp cát, bạn có thể dễ dàng theo dõi tất cả các thay đổi.

Tất nhiên, có rất nhiều dịch vụ trực tuyến được tạo sẵn trên Internet cung cấp khả năng phân tích tệp: Anubis, CAMAS, ThreatExpert, ThreatTrack. Sử dụng dịch vụ tương tự phương pháp tiếp cận khác nhau và có những ưu điểm và nhược điểm, nhưng chúng ta cũng có thể xác định những nhược điểm chính phổ biến:

Bạn phải có quyền truy cập vào Internet. Bạn phải xếp hàng chờ trong quá trình xử lý (ở phiên bản miễn phí). Thông thường, các tệp được tạo hoặc sửa đổi trong quá trình thực thi sẽ không được cung cấp. Không thể kiểm soát các tham số thực thi (trong phiên bản miễn phí). Không thể can thiệp vào quá trình khởi động (ví dụ: nhấp vào nút của cửa sổ xuất hiện). Nhìn chung không thể cung cấp các thư viện cụ thể cần thiết để chạy (trong các phiên bản miễn phí). Theo quy định, chỉ các tệp PE thực thi mới được phân tích.

Những dịch vụ như vậy thường được xây dựng trên cơ sở máy ảo với các công cụ đã cài đặt, cho đến trình gỡ lỗi kernel. Họ cũng có thể được tổ chức tại nhà. Tuy nhiên, các hệ thống này khá tốn tài nguyên và chiếm nhiều dung lượng ổ cứng, đồng thời việc phân tích nhật ký trình gỡ lỗi mất rất nhiều thời gian. Điều này có nghĩa là chúng rất hiệu quả trong việc nghiên cứu chuyên sâu một số mẫu nhất định nhưng không chắc sẽ hữu ích trong việc nghiên cứu sâu. công việc thường ngày khi không có cách nào để tải tài nguyên hệ thống và lãng phí thời gian vào việc phân tích. Sử dụng hộp cát để phân tích cho phép bạn tránh được những khoản chi tiêu lớn về tài nguyên.

Một vài cảnh báo

Hôm nay chúng tôi sẽ cố gắng tạo ra máy phân tích của riêng mình dựa trên hộp cát, cụ thể là tiện ích Sandboxie. Chương trình này có sẵn dưới dạng phần mềm chia sẻ trên trang web của tác giả www.sandboxie.com. Đối với nghiên cứu của chúng tôi, một giới hạn phiên bản miễn phí. Chương trình chạy các ứng dụng trong một môi trường biệt lập để chúng không thực hiện các thay đổi độc hại đối với hệ thống thực. Nhưng có hai sắc thái ở đây:

  1. Sandboxie cho phép bạn chỉ giám sát các chương trình ở cấp chế độ người dùng. Mọi hoạt động của mã độc trong chế độ kernel đều không được giám sát. Do đó, điều có thể học được nhiều nhất khi nghiên cứu rootkit là cách phần mềm độc hại được đưa vào hệ thống. Thật không may, không thể phân tích chính hành vi đó ở cấp chế độ kernel.
  2. Tùy theo cài đặt, Sandboxie có thể chặn truy cập Internet, cho phép toàn quyền truy cập hoặc chỉ truy cập cho một số chương trình nhất định. Rõ ràng là nếu vì khởi động bình thường Phần mềm độc hại cần truy cập Internet và nó phải được cung cấp. Mặt khác, nếu bạn có Pinch nằm trên ổ flash khởi động, thu thập tất cả mật khẩu trong hệ thống và gửi chúng cho kẻ tấn công qua ftp, thì Sandboxie với truy cập mở Internet sẽ không bảo vệ bạn khỏi bị mất thông tin bí mật! Điều này rất quan trọng và cần được ghi nhớ.

Thiết lập ban đầu của Sandboxie

Sandboxie là một công cụ tuyệt vời với một lượng lớn cài đặt. Tôi sẽ chỉ đề cập đến những thứ cần thiết cho nhiệm vụ của chúng ta.

Sau khi cài đặt Sandboxie, một sandbox sẽ tự động được tạo. Bạn có thể thêm một vài hộp cát bên dưới nhiệm vụ khác nhau. Cài đặt hộp cát được truy cập thông qua danh mục. Theo quy định, tất cả các tham số có thể thay đổi đều được cung cấp đầy đủ miêu tả cụ thểở Nga. Các thông số được liệt kê trong các phần “Phục hồi”, “Loại bỏ” và “Hạn chế” đặc biệt quan trọng đối với chúng tôi. Vì thế:

  1. Bạn cần đảm bảo rằng không có gì được liệt kê trong phần "Phục hồi".
  2. Trong phần “Xóa” không được đánh dấu bất kỳ hộp kiểm nào và/hoặc các thư mục và chương trình đã thêm. Nếu bạn đặt không chính xác các tham số trong các phần được chỉ định ở đoạn 1 và 2, điều này có thể dẫn đến mã độc sẽ lây nhiễm vào hệ thống hoặc tất cả dữ liệu để phân tích sẽ bị phá hủy.
  3. Trong phần “Hạn chế”, bạn cần chọn cài đặt phù hợp với nhiệm vụ của mình. Hầu như luôn luôn cần thiết để hạn chế quyền truy cập cấp thấp và việc sử dụng phần cứng cho tất cả các chương trình đang chạy để ngăn chặn rootkit lây nhiễm vào hệ thống. Nhưng ngược lại, việc hạn chế quyền truy cập để khởi chạy và thực thi cũng như tước bỏ các quyền là không đáng, nếu không mã đáng ngờ sẽ được thực thi trong một môi trường không chuẩn. Tuy nhiên, mọi thứ, bao gồm cả khả năng truy cập Internet, đều phụ thuộc vào nhiệm vụ.
  4. Để rõ ràng và thuận tiện, trong phần “Hành vi”, nên bật tùy chọn “Hiển thị đường viền xung quanh cửa sổ” và chọn màu để làm nổi bật các chương trình đang chạy trong môi trường hạn chế.

Kết nối plugin

Trong một vài cú nhấp chuột, chúng tôi đã có được một môi trường biệt lập tuyệt vời để thực thi mã an toàn nhưng không có công cụ để phân tích hành vi của nó. May mắn thay, tác giả của Sandboxie đã cung cấp khả năng sử dụng một số plugin cho chương trình của mình. Khái niệm này khá thú vị. Tiện ích bổ sung là thư viện động, được đưa vào tiến trình đang chạy trong sandbox và theo một cách nào đó ghi lại hoặc sửa đổi việc thực hiện nó.

Chúng tôi sẽ cần một số plugin được liệt kê dưới đây.

  1. SBIExtra. Plugin này chặn một số chức năng của chương trình được đóng hộp cát để chặn các tính năng sau:
    • tổng quan về các tiến trình và luồng thực thi;
    • truy cập vào các quy trình bên ngoài hộp cát;
    • gọi hàm BlockInput (nhập bàn phím và chuột);
    • Đọc tiêu đề của các cửa sổ đang hoạt động.
  2. Antidel. Addon chặn các chức năng chịu trách nhiệm xóa tập tin. Vậy mọi thứ Hồ sơ tạm thời, lệnh xóa xuất phát từ mã nguồn, vẫn còn ở vị trí của họ.

Làm cách nào để tích hợp chúng vào hộp cát? Vì giao diện Sandboxie không cung cấp điều này nên bạn sẽ phải chỉnh sửa tệp cấu hình theo cách thủ công. Tạo thư mục Plugins và giải nén tất cả các plugin đã chuẩn bị sẵn vào đó. Bây giờ hãy chú ý: Trình phân tích hộp cát Buster bao gồm một số thư viện với tên gọi chung LOG_API*.dll, có thể được đưa vào quy trình. Có hai loại thư viện: Verbose và Standard. Cái đầu tiên hiển thị gần như danh sách đầy đủ Các lệnh gọi API do chương trình thực hiện, bao gồm các lệnh gọi đến tệp và sổ đăng ký, thứ hai là danh sách viết tắt. Giảm cho phép bạn tăng tốc công việc và giảm nhật ký, sau đó phải phân tích. Cá nhân tôi không sợ nhật ký lớn nhưng sợ một số thông tin cần thiết sẽ bị “cắt bỏ” cẩn thận nên tôi chọn Verbose. Chúng ta sẽ đưa vào thư viện này. Để ngăn phần mềm độc hại nhận thấy việc tiêm thư viện theo tên của nó, chúng tôi sẽ sử dụng biện pháp phòng ngừa đơn giản nhất: thay đổi tên LOG_API_VERBOSE.dll thành bất kỳ tên nào khác, ví dụ: LAPD.dll.


Bây giờ trong cửa sổ Sandboxie chính, chọn “Configure -> Edit Configuration”. Một cấu hình văn bản sẽ mở ra với tất cả các cài đặt chương trình. Chúng ta hãy chú ý ngay đến những dòng sau:

  • Tham số FileRootPath trong phần chỉ định đường dẫn chung tới thư mục môi trường biệt lập, nghĩa là vào thư mục chứa tất cả các tệp hộp cát. Đối với tôi, tham số này trông giống như FileRootPath=C:\Sandbox\%SANDBOX%, nó có thể khác đối với bạn.
  • Phần này không được chúng tôi quan tâm - chúng tôi bỏ qua nó và cuộn xa hơn.
  • Sau đó có một phần có tên trùng với tên của sandbox (đặt là BSA). Đây là nơi chúng tôi sẽ thêm các plugin: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Đã bật=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Mẫu=BlockPorts

Tất nhiên, các con đường có thể khác nhau. Nhưng thứ tự của các thư viện được chèn phải chính xác như thế này! Yêu cầu này là do các chức năng phải được chặn theo thứ tự đã chỉ định, nếu không các plugin sẽ không hoạt động. Để áp dụng các thay đổi, hãy chọn trong cửa sổ Sandboxie chính: “Định cấu hình -> Tải lại cấu hình”.

Bây giờ hãy cấu hình chính plugin Buster Sandbox Analyser.

  1. Chúng tôi khởi chạy plugin theo cách thủ công bằng tệp bsa.exe từ thư mục Plugins.
  2. Chọn “Tùy chọn -> Chế độ phân tích -> Thủ công” rồi chọn “Tùy chọn -> Tùy chọn chương trình -> Tích hợp Windows Shell -> Thêm hành động nhấp chuột phải vào “Chạy BSA””.

Bây giờ mọi thứ đã sẵn sàng hoạt động: hộp cát của chúng tôi đã được tích hợp vào hệ thống.

Phiên bản di động của sandbox

Tất nhiên, nhiều người sẽ không thích việc họ cần cài đặt, định cấu hình, v.v. Vì tất cả những điều này cũng không hấp dẫn tôi nên tôi đã tạo một phiên bản di động của công cụ có thể khởi chạy mà không cần cài đặt và cấu hình, trực tiếp từ flash lái xe. Bạn có thể tải xuống phiên bản này tại đây: tools.safezone.cc/gjf/Sandboxie-portable.zip. Để khởi động hộp cát, chỉ cần chạy tập lệnh start.cmd và khi kết thúc công việc, đừng quên chạy tập lệnh stop.cmd, tập lệnh này sẽ dỡ hoàn toàn trình điều khiển và tất cả các thành phần khỏi bộ nhớ, đồng thời lưu các thay đổi đã thực hiện trong quá trình làm việc trên thiết bị di động.

Bản thân portabelizer có rất ít cài đặt: công việc của nó chủ yếu dựa trên các thao tác với tệp Sandboxie.ini.template, nằm trong thư mục Mẫu. Về cơ bản, tệp này là tệp cài đặt Sandboxie được xử lý đúng cách và chuyển đến chương trình và khi hoàn tất, sẽ được ghi đè trở lại vào Mẫu. Nếu bạn mở tệp này bằng Notepad, bạn khó có thể tìm thấy điều gì thú vị. Bạn chắc chắn nên chú ý đến mẫu $(InstallDrive), được lặp lại trong một số tham số đường dẫn. Chúng tôi đặc biệt quan tâm đến tham số FileRootPath. Nếu nó trông như thế này:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Sau đó, “hộp cát” sẽ được tạo trên đĩa chứa Sandboxie di động. Ví dụ: nếu tham số có dạng sau:

FileRootPath=C:\Sandbox\%SANDBOX%

Nói cách khác, nếu nó chỉ định một ổ đĩa hệ thống cụ thể, các hộp cát sẽ được tạo trên ổ đĩa đó.

Cá nhân tôi khuyên bạn nên luôn tạo hộp cát trên đĩa cục bộ. Điều này giúp tăng tốc hoạt động của công cụ và khi chạy từ ổ đĩa flash, nó sẽ tăng tốc theo cấp độ lớn. Nếu bạn bị chứng hoang tưởng dày vò đến mức muốn chạy và phân tích mọi thứ trên phương tiện yêu thích mà bạn mang theo gần trái tim mình, thì tham số có thể được thay đổi, nhưng ít nhất hãy sử dụng thiết bị di động. Đĩa cứngđể mọi thứ không bị chậm lại một cách khủng khiếp.

Công dụng thực tế

Hãy thử công cụ của chúng tôi về một mối đe dọa thực sự. Để không ai buộc tội tôi lừa đảo, tôi đã làm một điều đơn giản: Tôi truy cập www.malwaredomainlist.com và tải xuống nội dung mới nhất xuất hiện ở đó tại thời điểm viết bài. Hóa ra đó là một tệp pp.exe đẹp từ một trang web bị nhiễm virus nào đó. Chỉ cái tên thôi đã khơi dậy niềm hy vọng lớn lao, ngoài ra, phần mềm diệt virus của tôi ngay lập tức hét lên với tập tin này. Nhân tiện, tốt hơn hết là bạn nên thực hiện tất cả các thao tác của mình khi đã tắt phần mềm chống vi-rút, nếu không, chúng tôi có nguy cơ chặn/xóa nội dung nào đó khỏi những gì chúng tôi đang nghiên cứu. Làm thế nào để nghiên cứu hành vi của một hệ nhị phân? Chỉ cần nhấp chuột phải vào tệp này và chọn Chạy BSA từ menu thả xuống. Cửa sổ Trình phân tích Buster Sandbox sẽ mở ra. Bạn xem kỹ dòng Sandbox folder để kiểm tra. Tất cả các tham số phải khớp với những tham số mà chúng tôi đã chỉ định khi thiết lập Sandboxie, nghĩa là nếu hộp cát được đặt tên là BSA và đường dẫn đến thư mục được đặt thành FileRootPath=C:\Sandbox\%SANDBOX%, thì mọi thứ sẽ giống như trong ảnh chụp màn hình . Nếu bạn biết nhiều về các biến thái và đặt tên khác cho hộp cát hoặc định cấu hình tham số FileRootPath cho một ổ đĩa hoặc thư mục khác, bạn cần thay đổi nó cho phù hợp. Nếu không, Buster Sandbox Analyser sẽ không biết tìm tệp mới và thay đổi trong sổ đăng ký ở đâu.


BSA bao gồm rất nhiều cài đặt để phân tích và nghiên cứu quá trình thực thi nhị phân, cho đến việc chặn gói mạng. Vui lòng nhấp vào nút Bắt đầu phân tích. Cửa sổ sẽ chuyển sang chế độ phân tích. Nếu hộp cát được chọn để phân tích vì lý do nào đó chứa kết quả của nghiên cứu trước đó, tiện ích sẽ đề nghị xóa nó trước. Mọi thứ đã sẵn sàng để chạy tập tin đang được điều tra.

Sẵn sàng? Sau đó nhấp chuột phải vào tệp bạn đang nghiên cứu và trong menu mở ra, chọn “Chạy trong hộp cát”, sau đó chọn “hộp cát” mà chúng tôi đã đính kèm BSA.

Ngay sau đó, lệnh gọi API sẽ chạy trong cửa sổ phân tích, cửa sổ này sẽ được ghi lại trong tệp nhật ký. Xin lưu ý rằng bản thân Buster Sandbox Analyser không biết khi nào quá trình phân tích sẽ hoàn tất; trên thực tế, tín hiệu kết thúc là việc bạn nhấp vào nút Kết thúc Phân tích. Làm thế nào bạn biết rằng thời gian đã đến? Có thể có hai lựa chọn ở đây.

  1. Cửa sổ Sandboxie không hiển thị bất kỳ tiến trình đang chạy nào. Điều này có nghĩa là chương trình đã kết thúc rõ ràng.
  2. Trong một thời gian dài, không có gì mới xuất hiện trong danh sách lệnh gọi API hoặc ngược lại, điều tương tự được hiển thị theo trình tự tuần hoàn. Đồng thời, có thứ gì đó khác đang chạy trong cửa sổ Sandboxie. Điều này xảy ra nếu chương trình được cấu hình để thực thi thường trú hoặc đơn giản là bị đóng băng. Trong trường hợp này, trước tiên nó phải được chấm dứt theo cách thủ công bằng cách nhấp chuột phải vào hộp cát tương ứng trong cửa sổ Sandboxie và chọn “Kết thúc chương trình”. Nhân tiện, khi phân tích pp.exe của tôi, chính xác tình huống này đã xảy ra.

Sau đó, bạn có thể chọn Kết thúc phân tích một cách an toàn trong cửa sổ Trình phân tích hộp cát Buster.

Phân tích hành vi

Khi nhấn vào nút Malware Analyser, chúng ta sẽ nhận ngay được một số thông tin tóm tắt về kết quả nghiên cứu. Trong trường hợp của tôi, tính độc hại của tệp là hoàn toàn rõ ràng: trong quá trình thực thi, tệp C:\Documents and Cài đặt\Quản trị viên\Dữ liệu ứng dụng\dplaysvr.exe đã được tạo và khởi chạy, được thêm vào quá trình khởi động (nhân tiện, nó là tệp này không muốn tự kết thúc), một kết nối đã được tạo với 190.9.35.199 và tệp máy chủ đã được sửa đổi. Nhân tiện, chỉ có năm công cụ chống vi-rút phát hiện được tệp trên VirusTotal, như có thể thấy từ nhật ký, cũng như trên trang web VirusTotal.

Tất cả thông tin về kết quả phân tích có thể được lấy trực tiếp từ menu Viewer trong cửa sổ Buster Sandbox Analyser. Ngoài ra còn có nhật ký các lệnh gọi API, chắc chắn sẽ hữu ích cho việc nghiên cứu chi tiết. Tất cả kết quả được lưu trữ dưới dạng tệp văn bản trong thư mục con Báo cáo của thư mục Trình phân tích hộp cát Buster. Mối quan tâm đặc biệt là báo cáo Report.txt (được gọi thông qua Xem Báo cáo), cung cấp thông tin mở rộng về tất cả các tệp. Từ đó, chúng tôi biết rằng các tệp tạm thời thực sự có thể thực thi được, kết nối đi tới http://190.9.35.199/view.php?rnd=787714, phần mềm độc hại đã tạo ra một mutex cụ thể G4FGEXWkb1VANr, v.v. Bạn không chỉ có thể xem báo cáo mà còn trích xuất tất cả các tệp được tạo trong quá trình thực thi. Để thực hiện việc này, trong cửa sổ Sandboxie, nhấp chuột phải vào “hộp cát” và chọn “Xem nội dung”. Một cửa sổ thám hiểm sẽ mở ra với tất cả nội dung trong “hộp cát” của chúng tôi: trong thư mục ổ đĩa có những tập tin được tạo trên đĩa vật lý“hộp cát” và trong thư mục người dùng - các tệp được tạo trong hồ sơ người dùng đang hoạt động(%Thông tin người dùng%). Ở đây tôi tìm thấy dplaysvr.exe với thư viện dplayx.dll, tạm thời tập tin tmp và tập tin máy chủ đã sửa đổi. Nhân tiện, hóa ra những dòng sau đã được thêm vào nó:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Xin lưu ý rằng có những tệp bị nhiễm nằm xung quanh hộp cát. Nếu bạn vô tình khởi chạy chúng nhấn đúp chuột, sẽ không có gì xảy ra (chúng sẽ chạy trong hộp cát), nhưng nếu bạn sao chép chúng ở đâu đó và sau đó thực thi chúng... hmm, bạn hiểu ý rồi. Tại đây, trong thư mục, bạn có thể tìm thấy kết xuất sổ đăng ký đã thay đổi trong quá trình làm việc, dưới dạng tệp RegHive. Tệp này có thể dễ dàng được chuyển đổi thành tệp reg dễ đọc hơn bằng cách sử dụng tập lệnh sau:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Những gì nhạc cụ có thể và không thể làm

Công cụ kết quả có thể:

  • Giám sát các cuộc gọi API từ một ứng dụng đang chạy.
  • Theo dõi mới tập tin được tạo và cài đặt đăng ký.
  • Đánh chặn lưu lượng mạng khi chạy ứng dụng.
  • Tiến hành phân tích cơ bản về các tệp và hành vi của chúng (bộ phân tích hành vi tích hợp sẵn, phân tích trên VirusTotal bằng hàm băm, phân tích bằng PEiD, ExeInfo và ssdeep, v.v.).
  • lấy một ít Thông tin thêm do thực thi trong hộp cát chương trình hỗ trợ(Ví dụ, Giám sát quá trình) cùng với cái đang được phân tích.

Công cụ này không thể:

  • Phân tích phần mềm độc hại chạy ở chế độ kernel (yêu cầu cài đặt trình điều khiển). Tuy nhiên, có thể xác định được cơ chế cài đặt driver (trước khi nó được triển khai thực tế trên hệ thống).
  • Phân tích phần mềm độc hại theo dõi thực thi trong Sandboxie. Tuy nhiên, Buster Sandbox Analyser bao gồm một số cơ chế để ngăn chặn việc theo dõi như vậy.

Do đó, bạn sẽ nhận được sandbox.reg, chứa các dòng được phần mềm độc hại thêm vào trong quá trình thực thi. Sau khi thực hiện phân tích, hãy chọn Hủy phân tích từ menu Tùy chọn để trả lại mọi thứ như cũ. Xin lưu ý rằng sau thao tác này, tất cả nhật ký phân tích sẽ bị xóa nhưng nội dung của hộp cát sẽ vẫn giữ nguyên. Tuy nhiên, lần tiếp theo bạn khởi động chương trình, nó sẽ đề nghị xóa mọi thứ.

Xin chào mọi người, hôm nay tôi muốn nói về một chương trình rất hữu ích hiện nay - Sandboxie. Sandboxie là hộp cát máy tính cho phép bạn bảo vệ máy tính của mình khỏi vi-rút và mang lại cho bạn trải nghiệm lướt Internet thư giãn. Chương trình còn có nhiều các tính năng hữu ích mà tôi sẽ kể cho bạn nghe sau.

Sandboxie hoạt động như thế nào?

Rất đơn giản, chương trình tạo ra một môi trường chuyên dụng bên trong Windows được thiết kế cho khởi đầu an toàn các ứng dụng trên PC, đồng thời chặn quyền truy cập vào hệ thống của phần mềm độc hại. Một số phần mềm chống vi-rút có chức năng tương tự, ví dụ TS 360, Internet Comodo Bảo mật và Avast! Chuyên nghiệp. Hộp cát đang bật khoảnh khắc này là một trong những công cụ tốt nhất để chống lại virus.

Bằng cách chạy bất kỳ chương trình nào ở chế độ hộp cát, bạn bản địa hóa tất cả các khả năng của chương trình trong hộp cát; chương trình hoặc vi-rút không thể có bất kỳ tác động nào đến hệ điều hành của bạn. Do đó, trong hộp cát, bạn có thể chạy và kiểm tra mọi thứ mà không gây hại cho hệ điều hành. Nếu chạy trình duyệt của mình trong hộp cát, bạn có thể lướt Internet mà không có nguy cơ lây nhiễm vào trình duyệt hoặc máy tính của mình.

Các lĩnh vực sử dụng chính của hộp cát Sandboxie là:

  • Kiểm tra nguy hiểm và chương trình lạ
  • Theo dõi hành động của chương trình
  • Lướt Internet an toàn

Để biết thêm thông tin về khả năng của hộp cát, hãy xem video đánh giá của tôi:


Sandboxie có thể làm gì khác?

Chương trình cũng có thể khởi chạy một số cửa sổ chương trình, ví dụ: bạn có thể khởi chạy 2 cửa sổ Skype trở lên, trong chế độ bình thường Bạn chỉ có thể mở một cửa sổ chương trình. Một số khởi chạy một số cửa sổ trò chơi trực tuyến thông qua hộp cát).

Chương trình còn cho phép bạn sử dụng các chương trình dùng thử mãi mãi. Ví dụ: bạn có thể sử dụng bất kỳ chương trình nào có khoảng thời gian giới hạn. sử dụng miễn phí. Mỗi lần bạn chạy chương trình trong hộp cát, bạn có thể đặt lại bản dùng thử của chương trình).

Nếu bạn biết các phương pháp sử dụng hộp cát khác, hãy viết về nó trong phần bình luận và tôi sẽ thêm thông tin này vào bài viết chính.

Thật sai lầm khi tin rằng tính năng bảo vệ tích hợp của hệ điều hành, phần mềm chống vi-rút hoặc tường lửa sẽ bảo vệ hoàn toàn khỏi phần mềm độc hại. Tuy nhiên, tác hại có thể không rõ ràng như trường hợp vi-rút: một số ứng dụng có thể làm chậm Windows và dẫn đến nhiều loại bất thường khác nhau. Theo thời gian, hậu quả của các quy trình không được kiểm soát từ phần mềm “nghiệp dư” khiến chúng trở nên rõ ràng và việc gỡ cài đặt, xóa khóa đăng ký và các phương pháp dọn dẹp khác không còn hữu ích nữa.

Trong những tình huống như vậy, các chương trình hộp cát, chủ đề của bài đánh giá này, có thể đóng một vai trò tuyệt vời. Nguyên lý hoạt động của hộp cát có phần có thể so sánh được với máy ảo(Oracle VM VirtualBox, v.v., VMware Virtualization). Nhờ ảo hóa, tất cả các quy trình do chương trình khởi tạo đều được thực thi trong hộp cát - một môi trường biệt lập với sự kiểm soát chặt chẽ tài nguyên hệ thống.

Phương pháp cách ly mã này được sử dụng khá tích cực trong phần mềm chống vi-rút (KIS 2013, avast!), trong các chương trình như Google Chrome(Flash chạy trong sandbox). Tuy nhiên, không nên kết luận rằng các chương trình hộp cát là sự đảm bảo hoàn toàn về tính bảo mật. Đây chỉ là một trong những phương tiện bổ sung hiệu quả để bảo vệ HĐH (hệ thống tệp, sổ đăng ký) khỏi những tác động từ bên ngoài.

Đánh giá về chương trình tạo môi trường ảo đã được xuất bản trên trang web. Hôm nay chúng ta sẽ xem xét các ứng dụng khác, theo nghĩa rộng hơn: đây không chỉ là các giải pháp máy tính để bàn mà còn là các dịch vụ đám mây giúp cải thiện không chỉ tính bảo mật mà còn cả tính ẩn danh, giúp có thể chạy từ phương tiện di động, từ một máy tính khác.

hộp cát

Nhà phát triển Ronen Tzur so sánh hành động Chương trình Sandboxie với một lớp vô hình được phủ lên trên tờ giấy: bất kỳ dòng chữ nào cũng có thể được áp dụng cho nó; Khi lớp bảo vệ được gỡ bỏ, tấm sẽ vẫn còn nguyên.

Có 4 cách chính để sử dụng sandbox trong Sandboxie:

  • Lướt Internet được bảo vệ
  • Cải thiện quyền riêng tư
  • Thư từ email an toàn
  • Giữ hệ điều hành ở trạng thái ban đầu

Điểm cuối cùng ngụ ý rằng trong sandbox bạn có thể cài đặt và chạy bất kỳ ứng dụng khách- trình duyệt, tin nhắn IM, trò chơi - mà không ảnh hưởng đến hệ thống. Sandboxie kiểm soát quyền truy cập vào các tệp, thiết bị đĩa, khóa đăng ký, quy trình, trình điều khiển, cổng và các nguồn có khả năng không được bảo vệ khác.

Trước hết, SandboxIE rất hữu ích vì nó cho phép người dùng cấu hình linh hoạt các hộp cát và đặc quyền bằng cách sử dụng shell Sandboxie Control. Tại đây, thông qua ngữ cảnh và menu chính, có sẵn các thao tác cơ bản:

  • Khởi động và dừng các chương trình dưới sự kiểm soát của Sandboxie
  • Xem tập tin bên trong hộp cát
  • Khôi phục các tệp cần thiết từ hộp cát
  • Xóa tất cả công việc hoặc tập tin đã chọn
  • Tạo, xóa và định cấu hình hộp cát

Để chạy một chương trình trong hộp cát, chỉ cần kéo tệp thực thi vào cửa sổ Sandboxie Control, vào hộp cát được tạo theo mặc định. Có nhiều cách khác - ví dụ: menu Windows Explorer hoặc vùng thông báo. Cửa sổ chương trình chạy trong môi trường giả lập sẽ có khung màu vàng và dấu thăng (#) trên thanh tiêu đề.

Nếu khi làm việc với chương trình hộp cát, bạn cần lưu kết quả vào đĩa, mọi nguồn mong muốn sẽ được chỉ định - các tệp sẽ được đặt trong thư mục hộp cát, trong khi địa chỉ được chỉ định, bên ngoài hộp cát, nó sẽ không tồn tại. Để truyền tệp “thực” từ hộp cát, bạn nên sử dụng tùy chọn khôi phục. Có hai loại trong số chúng - nhanh hoặc ngay lập tức, trong cả hai trường hợp, trước khi khởi động chương trình trong hộp cát, bạn cần định cấu hình các thư mục để khôi phục (“Cài đặt hộp cát - Khôi phục”).

Hơn cài đặt chi tiết quyền truy cập được đặt trong phần “Hạn chế” và “Truy cập vào tài nguyên”. Chúng có thể được yêu cầu nếu ứng dụng không thể chạy nếu không có một số đặc quyền nhất định (một số đặc quyền nhất định). thư viện hệ thống, tài xế, v.v.). Trong “Hạn chế”, liên quan đến các chương trình hoặc nhóm, quyền truy cập vào Internet, phần cứng, đối tượng IPC và quyền truy cập cấp thấp được định cấu hình. Trong “Quyền truy cập vào tài nguyên” - cài đặt tương ứng cho các tệp, thư mục, sổ đăng ký và các tài nguyên hệ thống khác.

Ngoài ra, trong cài đặt Sandboxie còn có một phần “Ứng dụng” quan trọng, nơi tập hợp các nhóm chương trình có quyền truy cập vào các tài nguyên được chỉ định. Ban đầu, tất cả các thành phần trong danh sách đều bị vô hiệu hóa để áp dụng các thay đổi cho ứng dụng cụ thể bạn cần đánh dấu nó trong danh sách và nhấp vào nút “Thêm”.

Bằng cách này bạn có thể tạo hộp cát với thông số khác nhau. Bạn được phép sao chép cấu hình của hộp cát hiện có, để thực hiện việc này, khi tạo một hộp cát mới, bạn cần chọn từ danh sách thả xuống môi trường mà bạn muốn chuyển cài đặt.

Bản tóm tắt

Sử dụng ứng dụng Sandboxie, bạn có thể tạo môi trường ảo với bất kỳ cấu hình nào mà không bị hạn chế đối với người dùng. Sandboxie cung cấp một số lượng lớn cài đặt như đối với ứng dụng riêng lẻ và cho hộp cát.

[+] Thiết lập linh hoạt mỗi hộp cát
[+] Tạo quy tắc cho một nhóm chương trình
[-] Không thể tạo bản phân phối
[-] Thiếu trình hướng dẫn thiết lập

Đánh giá

Việc Evalaze bắt nguồn từ chương trình Thinstall 2007 mang tính biểu tượng, hiện tại là của VMware.

Evalaze không nổi tiếng như Sandboxie trong số các chương trình sandbox, nhưng nó có một số tính năng thú vị khiến nó nổi bật so với một số giải pháp tương tự. Nhờ ảo hóa, các ứng dụng có thể được khởi chạy trong môi trường độc lập từ bất kỳ máy tính nào, bất kể trình điều khiển, thư viện hoặc phiên bản mới hơn của ứng dụng đang được khởi chạy có sẵn hay không. Nó không yêu cầu bất kỳ cài đặt trước, cũng không bổ sung tập tin cấu hình hoặc thư viện hoặc khóa đăng ký.

Evalaze không yêu cầu cài đặt, một lưu ý: bạn sẽ cần Microsoft .NET để hoạt động Phiên bản khung 2.0 hoặc cao hơn. Trong phiên bản miễn phí, cũng như trong phiên bản chuyên nghiệp, có sẵn trình hướng dẫn thiết lập ảo hóa và số lượng ứng dụng ảo không giới hạn. Bạn chỉ có thể tải xuống phiên bản dùng thử từ trang web của nhà phát triển khi có yêu cầu (xem email của nhà phát triển trên trang web).

Cấu hình kết quả có thể được lưu vào một dự án. Từ đầu đến cuối, quá trình thiết lập một ứng dụng ảo mất nhiều thời gian hơn Sandboxie, nhưng nó nhất quán và dễ hiểu hơn.

Hai điều cần lưu ý Tính năng bổ sung Evalaze, có lẽ sẽ được các nhà phát triển và người thử nghiệm phần mềm quan tâm: nó hoạt động với hệ thống tệp ảo và sổ đăng ký ảo. Các môi trường Evalaze tự trị này có thể được chỉnh sửa theo ý của bạn bằng cách thêm các tệp, thư mục, khóa cần thiết cho hoạt động của một chương trình ảo cụ thể.

Bạn cũng có thể định cấu hình các liên kết ngay lập tức trong Evalaze: khi khởi chạy, ứng dụng ảo sẽ ngay lập tức tạo các liên kết cần thiết với các tệp trong HĐH.

Bản tóm tắt

Một chương trình mà bạn có thể tạo các ứng dụng độc lập thuận tiện để sử dụng trong mọi tình huống, thường tạo điều kiện thuận lợi cho việc di chuyển, khả năng tương thích và bảo mật. Than ôi, phiên bản miễn phí thực tế vô dụng, nó chỉ thú vị khi nghiên cứu rất sơ sài về các chức năng của Evalaze.

[-] Phiên bản dùng thử chức năng thấp
[−] Giá cao Phiên bản chuyên nghiệp
[+] Có hướng dẫn cài đặt
[+] Hệ thống tập tin ảo và sổ đăng ký

Hộp ảo Enigma

Enigma Virtual Box được thiết kế để chạy các ứng dụng trong môi trường ảo biệt lập. Danh sách các định dạng được hỗ trợ bao gồm dll, ocx (thư viện), avi, mp3 (đa phương tiện), txt, doc (tài liệu), v.v.

Enigma Virtual Box mô hình hóa môi trường ảo xung quanh một ứng dụng như sau. Trước khi ứng dụng khởi động, trình tải Hộp ảo được kích hoạt, trình tải này sẽ đọc thông tin cần thiết để chương trình hoạt động: thư viện và các thành phần khác - và cung cấp chúng cho ứng dụng thay vì hệ thống. Kết quả là chương trình hoạt động tự chủ trong mối quan hệ với hệ điều hành.

Thông thường, việc định cấu hình hộp cát Sandboxie hoặc Evalaze mất khoảng 5 phút, thoạt nhìn, Virtual Box cũng không yêu cầu thiết lập dài dòng. Trong tài liệu, việc sử dụng chương trình thực sự được chứa trong một câu.

Chỉ có 4 tab - “Tệp”, “Đăng ký”, “Vùng chứa” và trên thực tế là “Tùy chọn”. Bạn cần chọn file thực thi, chỉ định vị trí kết quả cuối cùng và bắt đầu xử lý. Nhưng sau này hóa ra là thế Môi trường ảo bạn cần phải tự tạo ra nó. Với mục đích này, ba phần liền kề “Tệp”, “Đăng ký” và “Vùng chứa” được thiết kế để dữ liệu cần thiết được thêm theo cách thủ công. Sau đó, bạn có thể nhấp vào xử lý, chạy tệp đầu ra và kiểm tra chức năng của chương trình.

Bản tóm tắt

Do đó, Enigma Virtual Box không phân tích hệ điều hành trước và sau khi cài đặt ứng dụng như trường hợp của Evalaze. Trọng tâm được chuyển sang phát triển - do đó, Virtual Box rất hữu ích cho việc thử nghiệm, kiểm tra tính tương thích và tạo điều kiện nhân tạo để chạy chương trình. Việc ảo hóa các ứng dụng không xác định sẽ gây khó khăn vì người dùng sẽ buộc phải chỉ định tất cả các kết nối chương trình một cách độc lập.

[-] Thiếu cài đặt tiện lợi
[+] Các tài nguyên mà chương trình sử dụng có thể được xác định độc lập

Cameyo

Cameyo cung cấp ảo hóa ứng dụng trong ba lĩnh vực: kinh doanh, phát triển sử dụng cá nhân. Trong trường hợp sau, hộp cát có thể được sử dụng để lưu HĐH ở trạng thái “sạch”, lưu trữ và chạy các ứng dụng trên phương tiện di động và trong các dịch vụ đám mây. Ngoài ra, hàng trăm ứng dụng ảo đã được định cấu hình sẵn sẽ được xuất bản trên cổng cameyo.com, điều này cũng giúp tiết kiệm thời gian của người dùng.

Các bước tạo ứng dụng ảo tương tự như Enigma Virtual Box: đầu tiên, ảnh chụp nhanh của hệ thống được tạo trước khi cài đặt, sau đó là sau đó. Những thay đổi giữa các trạng thái này được tính đến khi tạo hộp cát. Tuy nhiên, không giống như Virtual Box, Cameyo đồng bộ với máy chủ từ xa và xuất bản ứng dụng lên lưu trữ đám mây. Nhờ đó, các ứng dụng có thể chạy trên bất kỳ máy tính nào có quyền truy cập vào tài khoản.

Thông qua Thư viện, bạn có thể tải xuống phổ biến ứng dụng hệ thống(Ứng dụng ảo công cộng): trình lưu trữ, trình duyệt, trình phát và thậm chí cả phần mềm chống vi-rút. Khi bắt đầu, bạn được yêu cầu chọn một tệp thực thi và cho biết liệu nó có ổn định hay không (điều này dường như đã được người kiểm duyệt thư viện Cameyo tính đến bằng cách nào đó).

Một cái khác cơ hội thú vị- tạo một ứng dụng ảo thông qua . Trình cài đặt có thể được tải xuống từ máy tính của bạn hoặc bạn có thể chỉ định URL của tệp.

Quá trình chuyển đổi được cho là mất từ ​​10 đến 20 phút, nhưng thường thì thời gian chờ đợi ít hơn nhiều lần. Sau khi hoàn thành, một thông báo sẽ được gửi qua email kèm theo liên kết đến gói đã xuất bản.

Thông báo qua email về việc tạo phân phối

Với tất cả các tiện ích của đám mây, có hai điều cần lưu ý: điểm quan trọng. Thứ nhất: mỗi chương trình đều được cập nhật theo thời gian và thư viện chứa các bản sao khá lỗi thời. Khía cạnh thứ hai: các ứng dụng do người dùng thêm vào có thể chạy trái với giấy phép của một chương trình cụ thể. Điều này phải được hiểu và tính đến khi tạo bản phân phối tùy chỉnh. Và thứ ba, không ai có thể đảm bảo rằng ứng dụng ảo được đăng trong thư viện không bị kẻ tấn công sửa đổi.

Tuy nhiên, nói về bảo mật, Cameyo có 4 chế độ hoạt động của ứng dụng:

  • Chế độ dữ liệu: chương trình có thể lưu file vào thư mục Documents và trên Desktop
  • Bị cô lập: khả năng ghi lại hệ thống tập tin và sổ đăng ký bị thiếu
  • Toàn quyền truy cập: truy cập miễn phí vào hệ thống tập tin và sổ đăng ký
  • Tùy chỉnh ứng dụng này: sửa đổi menu khởi chạy, chọn nơi lưu trữ chương trình, v.v.

Bản tóm tắt

Thoải mái dịch vụ điện toán đám mây, có thể được kết nối trên bất kỳ máy tính nào, cho phép bạn nhanh chóng tạo ứng dụng di động. Việc thiết lập sandbox được giữ ở mức tối thiểu, không phải mọi thứ đều minh bạch với việc kiểm tra và bảo mật vi-rút nói chung - tuy nhiên, trong tình huống này, những ưu điểm có thể bù đắp cho những nhược điểm.

[+] Đồng bộ hóa mạng
[+] Truy cập vào ứng dụng người dùng
[+] Tạo ứng dụng ảo trực tuyến
[-] Thiếu cài đặt hộp cát

Spoon.net

Spoon Tools là bộ công cụ tạo ứng dụng ảo. Ngoài môi trường chuyên nghiệp, Spoon.net xứng đáng được chú ý vì là dịch vụ đám mây tích hợp với Máy tính để bàn, cho phép bạn nhanh chóng tạo hộp cát.

Để tích hợp với Desktop, bạn cần đăng ký trên máy chủ Spoon.net và cài đặt một tiện ích đặc biệt. Sau khi đăng ký, người dùng có cơ hội tải xuống các ứng dụng ảo từ máy chủ thông qua một shell tiện lợi.

Bốn tính năng do widget mang lại:

  • Tạo hộp cát cho các tập tin và ứng dụng
  • Dọn dẹp màn hình của bạn bằng phím tắt và menu khởi chạy nhanh
  • Kiểm tra an toàn các ứng dụng mới, khởi chạy phiên bản lỗi thời trên những cái mới
  • Hoàn tác các thay đổi được thực hiện bởi hộp cát

Có thể truy cập nhanh vào tiện ích Spoon.net thông qua sự kết hợp Phím Alt+Thắng. Shell bao gồm một thanh tìm kiếm và một bảng điều khiển. Nó tìm kiếm các ứng dụng trên máy tính và trên dịch vụ web.

Việc tổ chức desktop rất thuận tiện: bạn có thể kéo và thả nó vào desktop ảo tập tin cần thiết, sẽ đồng bộ hóa với spool.net. Hộp cát mới có thể được tạo chỉ bằng hai cú nhấp chuột.

Tất nhiên, về mặt thiết lập sandbox thì Spoon không thể cạnh tranh được với Sandboxie hay Evalaze vì đơn giản là chúng không có mặt trong Spoon. Bạn không thể đặt giới hạn hoặc chuyển đổi ứng dụng “thông thường” thành ứng dụng ảo. Khu phức hợp Spoon Studio được thiết kế cho những mục đích này.

Bản tóm tắt

Spoon là lớp vỏ "mây" nhất để làm việc với ứng dụng ảo và đồng thời, ít tùy chỉnh nhất. Sản phẩm này sẽ thu hút những người dùng không quan tâm nhiều đến bảo mật thông qua ảo hóa mà quan tâm nhiều đến tính dễ sử dụng chương trình cần thiết mọi nơi.

[+] Tích hợp widget với Desktop
[+] Tạo nhanh hộp cát
[-] Thiếu cài đặt để hạn chế các chương trình ảo

Bảng tổng hợp

Chương trình/dịch vụhộp cátĐánh giáHộp ảo EnigmaCameyoSpoon.net
Nhà phát triểnSandboxie Holdings LLCDogel GmbHNhóm phát triển Enigma ProtectorCameyoSpoon.net
Giấy phépPhần mềm chia sẻ (€13+)Phần mềm miễn phí/Phần mềm chia sẻ (€69,95)Phần mềm miễn phíPhần mềm miễn phíMiễn phí (Tài khoản cơ bản)
Thêm ứng dụng vào sandbox+
Cá nhân hóa (tạo phím tắt, tích hợp vào menu)+ + + +
Trình hướng dẫn cài đặt+ + +
Tạo các ứng dụng ảo mới+ + +
Đồng bộ hóa trực tuyến+ +
Đặt đặc quyền hộp cát+ + + +
Phân tích các thay đổi khi tạo sandbox+ + +

Sandboxie tạo một môi trường biệt lập trên máy tính của bạn. Môi trường biệt lập hoặc hộp cát là môi trường trong đó các chương trình đang chạy không có quyền truy cập trực tiếp vào tập tin hệ thống và các cài đặt máy tính quan trọng.

Các tiến trình xảy ra trong một chương trình đang chạy được tách biệt khỏi phần còn lại của hệ thống. Hệ điều hành được bảo vệ khỏi những thay đổi có thể xảy ra trong quá trình khởi động. chương trình nguy hiểm.

Bạn có thể sử dụng một môi trường biệt lập để chạy một chương trình mà bạn không biết hoặc sau khi khởi chạy trình duyệt, hãy truy cập một trang web tiềm ẩn nguy hiểm mà không gây rủi ro cho máy tính của bạn.

Nếu một chương trình độc hại xâm nhập vào máy tính của bạn, nó sẽ không có quyền truy cập vào các tệp hệ thống để thay đổi chúng. Và khi bạn thoát khỏi hộp cát, tất cả các tệp đã vào hộp cát sẽ bị xóa.

Bạn có thể tạo môi trường biệt lập của riêng mình bằng cách sử dụng chương trình chuyên ngành, hạn chế quyền truy cập vào các tệp hệ thống. Một chương trình như vậy là Sandboxie.

Chương trình Sandboxie là một hộp cát dành cho các chương trình tiềm ẩn nguy hiểm và lạ, cũng như để lướt Internet an toàn.

Chương trình Sandboxie có trạng thái phần mềm chia sẻ. Sau khi hoàn thành 30 ngày làm việc với chương trình, chương trình sẽ yêu cầu bạn chuyển sang Phiên bản trả tiền. Nhưng hầu hết các chức năng của chương trình sẽ hoạt động ở chế độ miễn phí bao lâu tùy thích. Chỉ một số tính năng của chương trình này sẽ bị tắt (ví dụ: chạy nhiều hộp cát cùng một lúc).

Bạn có thể tải xuống chương trình Sandboxie từ trang web chính thức của nhà sản xuất.

tải xuống sandboxie

Sau khi tải chương trình Sandboxie về máy tính, hãy chạy cài đặt chương trình. Trong cửa sổ cài đặt chương trình, chọn ngôn ngữ tiếng Nga.

Trong cửa sổ tiếp theo, bạn đồng ý cài đặt trình điều khiển cho chương trình Sandboxie, sau đó nhấp vào nút “Tiếp theo”. Trong cửa sổ cài đặt chương trình cuối cùng, nhấp vào nút “Hoàn tất”.

Chương trình có thể được khởi chạy từ menu Start => All Programs => Sandboxie. Có một số điểm để khởi chạy chương trình cho các mục đích cụ thể.

Chương trình Sandboxie cũng có thể được khởi chạy từ Bảng thông báo (khay) bằng cách nhấp vào biểu tượng chương trình. Từ một lối tắt trên Màn hình nền, bạn có thể khởi chạy trình duyệt trong “hộp cát”, trình duyệt được chọn làm trình duyệt mặc định trên hệ thống của bạn.

Khởi chạy Sandboxie để thực hiện một số cài đặt chương trình. Cửa sổ chính của chương trình hiển thị môi trường biệt lập được tạo theo mặc định - “hộp cát”.

Bây giờ hãy xem xét câu hỏi này: cách định cấu hình Sandboxie.

Thiết lập Sandboxie

Để định cấu hình chương trình, nhấp chuột phải vào tên hộp cát. Sau đó, trong menu ngữ cảnh, nhấp vào mục “Cài đặt hộp cát”.

Trong cửa sổ cài đặt hộp cát - “DefaultBox”, trong phần “Hành vi”, bạn có thể chọn hộp bên cạnh “Không hiển thị chỉ báo Sandboxie trong tiêu đề cửa sổ” nếu bạn không muốn cửa sổ chương trình mở trong hộp cát để được đánh dấu bằng một biểu tượng đặc biệt. Bạn có thể làm điều này theo ý riêng của bạn.

Khi bạn nhấp vào trường màu vàng trong cửa sổ “Màu” mở ra, bạn có thể chọn màu để hiển thị đường viền mỏng xung quanh cửa sổ của chương trình đang chạy trong hộp cát. Sau những cài đặt này, nếu bạn thay đổi bất kỳ điều gì trong cài đặt chương trình, hãy nhấp vào nút “Áp dụng”.

Trong phần "Phục hồi", trong tiểu mục "Phục hồi nhanh", bạn có thể chọn các thư mục để khôi phục nhanh nếu muốn thay đổi cài đặt mặc định của chương trình.

Trong tiểu mục Khôi phục ngay lập tức, bạn có thể loại trừ các tệp, thư mục hoặc loại phần mở rộng tệp khỏi quá trình khôi phục ngay lập tức nếu những tệp này được lưu bởi một chương trình đang chạy trong hộp cát.

Trong phần “Xóa”, trong tiểu mục “Đề xuất xóa”, bạn có thể chọn hộp “Không bao giờ xóa hộp cát này hoặc xóa nội dung của nó” để không làm mất dữ liệu được lưu trong hộp cát.

Trong phần “Hạn chế”, trong tiểu mục “Truy cập Internet”, bạn có thể thêm các chương trình vào danh sách hoặc xóa các chương trình khỏi danh sách các chương trình có thể truy cập Internet. Bạn có thể cho phép hoặc chặn các chương trình truy cập Internet khi chúng ở trong môi trường an toàn. Nếu bạn nhấp vào nút Chặn tất cả chương trình thì tất cả các chương trình đang chạy trong hộp cát sẽ bị chặn truy cập Internet.

Trong phần "Ứng dụng", bạn có thể chọn quy tắc ứng xử cho các chương trình khác nhauđang chạy trong chương trình Sandboxie.

Trong phần menu “Hộp cát”, bằng cách nhấp vào mục “Đặt thư mục lưu trữ”, bạn có thể thay đổi ổ đĩa nơi các hộp cát sẽ được lưu trữ nếu bạn có ít dung lượng trên ổ “C”.

Sau khi nhấn vào “Tạo hộp cát mới", bạn có thể tạo số lượng hộp cát không giới hạn, mỗi hộp cát có cài đặt riêng để chạy các chương trình có cài đặt hành vi khác nhau từ hộp cát của bạn.

Chế độ chạy đồng thời nhiều hộp cát này chỉ hoạt động trong Phiên bản trả tiền chương trình, sau khi hoàn thành thời gian dùng thử làm việc với chương trình.

Mỗi không gian ảo hoạt động riêng biệt, các hộp cát được cách ly khỏi hệ thống và với nhau. Theo mặc định, ứng dụng cung cấp một không gian Sandbox DefaultBox riêng biệt.

Cách sử dụng Sandboxie

Cách đầu tiên. Để chạy chương trình ở chế độ an toàn, nhấp chuột phải vào tên của “hộp cát” và trong menu ngữ cảnh, nhấp vào mục “Chạy trong hộp cát”. Trong danh sách các mục khởi chạy, bạn có thể chọn mục phù hợp để khởi chạy chương trình.

Bạn có thể khởi chạy trình duyệt, ứng dụng email mặc định và bất kỳ chương trình nào từ đây hoặc từ menu Bắt đầu. Bạn cũng có thể khởi chạy Explorer trong môi trường an toàn nếu bạn nhấp vào “Khởi chạy Windows Explorer”.

Sau này, Explorer sẽ được khởi chạy trong một môi trường an toàn. Để tắt Explorer, trong cửa sổ “Quản lý Sandboxie”, nhấp chuột phải vào thư mục chương trình và chọn “Kết thúc chương trình” trong menu ngữ cảnh hoặc chỉ cần đóng Explorer theo cách thông thường đối với các chương trình bằng cách nhấp vào nút màu đỏ.

Cách thứ hai. Việc khởi chạy một chương trình trong Sandboxie thậm chí còn dễ dàng hơn bằng cách chỉ cần nhấp vào thư mục hoặc lối tắt của chương trình, sau đó chọn “Chạy trong Sandbox” từ menu ngữ cảnh.

Nếu bạn đã tạo nhiều hộp cát, Sandboxie sẽ nhắc bạn chọn hộp cát mong muốn để chạy chương trình. Chọn một môi trường biệt lập, sau đó nhấp vào nút “OK”.

Sau đó, chương trình chạy trong một môi trường biệt lập. Khi bạn di chuột qua một chương trình đang chạy trong hộp cát, một đường viền màu mỏng sẽ hiển thị xung quanh cửa sổ chương trình.

Khôi phục tập tin trong Sandboxie

Sandboxie không cho phép các tập tin từ các chương trình chạy trong sandbox xâm nhập vào hệ điều hành mà không có sự cho phép của bạn. Tất cả các tệp được tạo bởi chương trình hoặc được tải xuống từ Internet sẽ bị xóa theo mặc định sau khi đóng hộp cát.

Làm việc trong chương trình Sandboxie, bạn có thể tạo và lưu tệp vào các thư mục thông thường trên máy tính của mình. Các tệp này sẽ không hiển thị cho đến khi bạn cấp cho Sandboxie quyền di chuyển dữ liệu từ môi trường hộp cát sang môi trường thông thường.

Sau khi bạn tải xuống một số tệp từ Internet bằng trình duyệt chạy trong môi trường biệt lập, các tệp này sẽ được đặt ở nơi lưu các tệp tải xuống trên máy tính của bạn.

Tuy nhiên, bạn sẽ không nhìn thấy những tệp này khi chúng ở trong hộp cát. Bạn sẽ cần di chuyển các tệp này từ môi trường hộp cát sang môi trường thông thường.

Sandboxie gọi đây là "khôi phục" tập tin. Có ba chế độ khôi phục tệp: Khôi phục ngay lập tức, Khôi phục nhanh và Khôi phục thủ công.

Phục hồi ngay lập tức trong Sandboxie

Đây là nhiều nhất Cách tốt nhất recovery, vì nó có thể tự động gọi chức năng khôi phục ngay khi tệp được tạo. Theo mặc định, chương trình đặc biệt chú ý đến các thư mục Tải xuống, Tài liệu, Mục yêu thích và Màn hình nền.

Bạn có thể tùy ý thêm các thư mục khác vào các thư mục này trong cài đặt chương trình (nhấp chuột phải vào thư mục sandbox => “Sandbox settings” => “Recovery”).

Sau khi tệp được lưu vào máy tính của bạn, Sandboxie sẽ hiển thị ngay cửa sổ "Phục hồi tức thì". Bạn có thể nhấp vào nút “Khôi phục” và nếu bạn nhấp vào nút “Khởi động lại”, thì “Khôi phục và khám phá” hoặc “Khôi phục và chạy”.

Phục hồi nhanh trong Sandboxie

Tại khôi phục nhanh các tập tin từ môi trường bị cô lập được chuyển giao nhanh chóng chế độ thủ công. Bạn có thể định cấu hình chương trình để khôi phục các tệp được lưu trong hộp cát khi truy cập chế độ này.

Khôi phục thủ công trong Sandboxie

Nếu bạn muốn xóa hộp cát, hãy nhấp chuột phải vào tên hộp cát và chọn mục menu ngữ cảnh “Xóa nội dung”. Sau đó, cửa sổ “Xóa Sandbox” xuất hiện.

Trong cửa sổ này, bạn có thể “Khôi phục vào cùng thư mục”, “Khôi phục vào bất kỳ thư mục nào” hoặc “Thêm thư mục” cho các tệp nằm trong môi trường bị cô lập. Nếu bạn nhấp vào nút “Xóa hộp cát”, tất cả các quá trình trong đó sẽ bị chấm dứt và tất cả nội dung của nó sẽ bị xóa.

Sử dụng Sandboxie cho phép bạn an tâm hơn khi sử dụng máy tính. Bạn có thể chạy một số chương trình một cách an toàn trong môi trường biệt lập, lướt Internet một cách an toàn.

Công cụ tạo sandbox cũng có một số chương trình chống virus, Ví dụ, .

Kết luận của bài viết

Sandboxie chạy các ứng dụng trong hộp cát, từ đó ngăn chặn các thành phần nguy hiểm có thể xâm nhập vào hệ thống. Bạn cũng có thể sử dụng chương trình này để kiểm tra các chương trình mới mà không cần cài đặt chúng trên máy tính.

Nhiều người dùng cài đặt phần mềm này hay phần mềm kia bằng nguồn của bên thứ ba, về mặt lý thuyết có thể gây hại cho máy tính của bạn. Thật không may, một số chương trình chống virus hiện đại phần mềm độc hại không thể xác định ngay được.

Nhưng bạn không nên mạo hiểm chạy phần mềm nguy hiểm tiềm ẩn trên máy tính của mình mà không có bất kỳ biện pháp bảo vệ nào. Trong trường hợp này, Sandboxie cung cấp khả năng khởi chạy các chương trình trong một môi trường đặc biệt nơi bạn có thể theo dõi cách hoạt động của chương trình đã khởi chạy.

Chương trình này hoạt động như thế nào?

Nguyên tắc Tác phẩm của Sandboxie bao gồm việc tạo một đĩa hệ thống có không gian giới hạn nhất định với mô phỏng hoạt động của hệ thống. Không gian nàyđược đóng khỏi hệ thống chính, điều này cho phép bạn không thực hiện bất kỳ thay đổi nào trong đó ngoài ranh giới của nó. Sau khi hoàn thành làm việc với các tệp trong hộp cát, tất cả thông tin sẽ bị xóa, vì vậy bạn không nên lo lắng rằng mình sẽ có vi-rút ở đâu đó trên máy tính của mình, mặc dù trong không gian đĩa bị khóa.

Trong Sandboxie bạn có thể chạy tập tin EXE thực thi, tập tin và tài liệu cài đặt. Có một số trường hợp ngoại lệ, nhưng chúng không quá quan trọng đối với hoạt động. Bạn có thể xem số liệu thống kê về hoạt động và hành vi của một số tệp nhất định. Ngoài ra, trước khi đóng hộp cát, bạn có thể định cấu hình tệp nào sẽ bị xóa và tệp nào sẽ được giữ lại cho đến lần khởi chạy tiếp theo. Theo mặc định, việc đóng sẽ tự động xóa tất cả các tệp và dừng các quá trình.

Chúng ta hãy xem xét công việc trong chương trình chi tiết hơn.

Danh sách dữ liệu

Theo mặc định, giao diện sandbox không có gì thú vị. Các yếu tố điều khiển chỉ nằm ở menu trên cùng. Chúng ta hãy xem xét kỹ hơn về tham số "Tài liệu". Bằng cách nhấp vào nó, một menu ngữ cảnh sẽ xuất hiện với các tham số sau:

  • "Đóng tất cả các chương trình". Buộc chấm dứt hoạt động của tất cả các chương trình và quy trình đang mở trong hộp cát. Có thể có liên quan nếu một số tập tin độc hại tích cực bắt đầu các hoạt động và cần phải đình chỉ khẩn cấp;
  • "Cấm các chương trình được hình thành". Nút này chịu trách nhiệm về khả năng chạy các chương trình mở trong hộp cát theo mặc định ở chế độ hệ thống bình thường. Cài đặt tiêu chuẩn ngụ ý chạy một chương trình như vậy không quá 10 giây ở chế độ bình thường. Điều này là đủ để xem phần mềm hoạt động như thế nào bên ngoài hộp cát. Cài đặt có thể thay đổi;
  • "Cửa sổ trong hộp cát". Cần xác định nơi mở một chương trình cụ thể;
  • "Giám sát truy cập tài nguyên". Cho phép bạn theo dõi tài nguyên máy tính nào mà chương trình đang chạy trong hộp cát có quyền truy cập. Có thể hữu ích trong việc xác định hoạt động đáng ngờ;
  • "Lối ra". Đóng Sandboxie.


Xem thực đơn

Khi bạn nhấn nút "Xem" bạn sẽ có quyền truy cập vào các mục chịu trách nhiệm hiển thị các thành phần trong giao diện chương trình (các mục menu "Chương trình""Tệp và thư mục").

Ngoài ra trong thực đơn "Xem" có một chức năng "Khôi phục hồ sơ", chịu trách nhiệm tìm và xóa các tệp vô tình được khôi phục từ hộp cát.


Phần tử hộp cát

Chức năng chính của chương trình tập trung ở đây. Phần tử menu này chịu trách nhiệm trực tiếp làm việc với sandbox. Chúng ta hãy xem nội dung của nó chi tiết hơn:

  1. "Hộp mặc định" là một “hộp cát” trong đó tất cả các chương trình chạy theo mặc định. Khi bạn di chuyển con trỏ chuột qua mục menu này, một cửa sổ thả xuống sẽ xuất hiện nơi bạn có thể chọn các môi trường bổ sung để chạy một chương trình cụ thể. Ví dụ: chạy phần mềm trong "Nhà thám hiểm" Windows, trình duyệt, ứng dụng thư vân vân. Ngoài ra, bạn có thể làm như sau:
    • "Kết thúc tất cả các chương trình". Đóng tất cả các chương trình đang chạy;
    • "Phục hồi nhanh chóng". Chịu trách nhiệm về khả năng xóa tất cả hoặc một số tệp khỏi hộp cát và chuyển chúng sang dung lượng đĩa thông thường;
    • "Xóa nội dung". Đóng và xóa tất cả các chương trình, tập tin và quy trình bên trong không gian biệt lập;
    • "Xem nội dung". Cho phép bạn tìm hiểu về mọi thứ có trong “hộp cát”;
    • "Cài đặt hộp cát". Một cửa sổ đặc biệt mở ra nơi bạn có thể định cấu hình đánh dấu cửa sổ trong giao diện bằng màu này hoặc màu khác, định cấu hình khôi phục và/hoặc xóa dữ liệu, quyền cho các chương trình truy cập Internet, v.v.;
    • "Đổi tên hộp cát". Hãy đưa nó cho cô ấy tên duy nhất, bao gồm chữ cái Latinh và chữ số Ả Rập;
    • "Xóa hộp cát". Xóa tất cả không gian đĩa bị cô lập được phân bổ cho một hộp cát cụ thể cùng với tất cả dữ liệu đang chạy trong đó.
  2. Bạn có thể tạo hộp cát mới bằng nút tương ứng. Theo mặc định, tất cả cài đặt từ hộp cát đã tạo sẽ được chuyển, bạn có thể điều chỉnh cài đặt này theo nhu cầu của mình. Ngoài ra, không gian biệt lập mới sẽ phải được đặt tên.
  3. Nhấp vào một mục menu ngữ cảnh "Đặt thư mục lưu trữ", bạn có thể chọn vị trí của không gian biệt lập. Theo mặc định đây là C:\Sandbox .
  4. Ngoài ra, bạn có thể định cấu hình thứ tự hiển thị hộp cát. Màn hình tiêu chuẩn được sắp xếp theo thứ tự bảng chữ cái, để thay đổi nó, hãy sử dụng mục menu "Đặt vị trí và nhóm".


Mục “Tùy chỉnh”

Đúng như tên gọi, mục menu này có nhiệm vụ thiết lập chương trình. Với nó, bạn có thể cấu hình như sau:

  • "Cảnh báo về các chương trình đang chạy". Khi mở một số chương trình nhất định do người dùng chọn trong hộp cát, một thông báo tương ứng sẽ được gửi;
  • "Hội nhập vào Windows Explorer» . Mở một cửa sổ có cài đặt để khởi chạy chương trình thông qua menu ngữ cảnh của phím tắt hoặc tệp thi hành;
  • "Khả năng tương thích chương trình". Không phải tất cả các chương trình đều có thể tương thích với chương trình của bạn hệ điều hành và/hoặc môi trường hộp cát. Sử dụng mục menu này, bạn có thể đặt cài đặt tương thích, cho phép bạn chạy nhiều chương trình hơn;
  • Chặn bằng các điều khiển cấu hình. Ở đây đã có các cài đặt dành cho người dùng có kinh nghiệm hơn, một số cài đặt phải được chỉ định dưới dạng lệnh đặc biệt.


Ưu điểm và nhược điểm của chương trình

Chương trình này có những ưu điểm nhưng không phải là không có nhược điểm.

Thuận lợi

  • Chương trình này có danh tiếng tốt vì nó đã được chứng minh là tốt;
  • Các thành phần cài đặt được đặt và đặt tên thuận tiện, điều này sẽ cho phép thậm chí người dùng thiếu kinh nghiệm hiểu họ;
  • Bạn có thể tạo số lượng hộp cát không giới hạn, đặt từng cài đặt cho một loại tác vụ cụ thể;
  • Chương trình được dịch hoàn hảo sang tiếng Nga.

sai sót

  • Giao diện chương trình đã lỗi thời nhưng điều này hầu như không ảnh hưởng gì đến tính dễ sử dụng;
  • Trong hộp cát này không thể chạy các chương trình yêu cầu cài đặt trình điều khiển bổ sung hoặc các thành phần khác. Vấn đề này không chỉ giới hạn ở Sandboxie.

Cách chạy chương trình trong sandbox

Hãy xem xét hoạt động của chương trình bằng ví dụ khởi chạy một chương trình khác trong môi trường của nó, có trong tập tin cài đặt phần mềm không mong muốn:


Như vậy, bạn đã tìm hiểu các tính năng chính của chương trình Sandboxie và cũng hiểu cách sử dụng nó. Bài viết này không đề cập đến tất cả các tùy chọn sử dụng chương trình, nhưng dữ liệu này đủ để cho phép bạn kiểm tra một chương trình cụ thể xem có phần mềm độc hại/phần mềm không mong muốn hay không.