Thực đơn
trang chủKỹ thuật

Sandbox để chạy các chương trình trong môi trường biệt lập. Khởi chạy chương trình an toàn. Chương trình Sandbox Sandboxie

Một số ứng dụng lớn (chẳng hạn như tường lửa Tường lửa Outpost Security Suite và Online Armor Premium, cũng như các tệp exe và msi thực thi có nội dung khó hiểu được tải xuống từ Internet) có thể phá vỡ tính toàn vẹn và ổn định của hệ thống. Việc cài đặt chúng trong một hệ điều hành đang hoạt động có thể dẫn đến sự xuất hiện của màn hình BSOD khi tải hệ điều hành, các thay đổi trong cài đặt trình duyệt và thậm chí là sự lây lan của sâu và Trojan, rất có thể dẫn đến việc kẻ tấn công đánh cắp mật khẩu vào tài khoản mạng xã hội, dịch vụ web. bạn sử dụng, hộp thư điện tử, v.v.

Trước đây chúng tôi đã viết về các phương pháp phổ biến để thử nghiệm phần mềm mới trong các bài viết về và. Trong bài viết này, chúng ta sẽ nói về một cách đơn giản, nhanh chóng và hiệu quả khác để chạy bất kỳ ứng dụng nào trong Windows trong môi trường được bảo vệ, biệt lập và tên của nó là hộp cát Sandboxie.

Hộp cát là gì?

Trong lĩnh vực bảo mật máy tính, hộp cát là một môi trường chuyên dụng đặc biệt được thiết kế để chạy các ứng dụng trên PC một cách an toàn. Một số sản phẩm phần mềm phức tạp có chế độ môi trường an toàn (hộp cát). Những ứng dụng như vậy bao gồm tường lửa Comodo Internet Security, phần mềm chống vi-rút Avast! (phiên bản trả phí), những phát triển trong lĩnh vực bảo vệ dữ liệu từ Kaspersky Lab. Chủ đề trong hướng dẫn bài viết của chúng tôi, chương trình Sandboxie, là một công cụ chính thức để thử nghiệm bất kỳ chương trình nào trên quy mô lớn mà không thực hiện thay đổi cấu trúc và thông số của hệ điều hành đang hoạt động. Cách làm việc với nó - đọc tiếp.

Tải xuống bản phân phối và cài đặt Sandboxie

Trước khi bắt đầu cài đặt, như mọi khi, bạn cần tải xuống gói cài đặt trực tuyến. Hãy tận dụng Trang web chính thức dự án.

Mặc dù các nhà phát triển cung cấp các phiên bản trả phí của sản phẩm để sử dụng tại nhà và văn phòng, nhưng phiên bản miễn phí cũng khá phù hợp với chúng tôi. Nó không có hạn chế về thời gian. Điểm trừ duy nhất là khả năng hoạt động chỉ với một hộp cát và không thể truy cập được một số thông số không quan trọng lắm.

Sau khi tải xuống bản phân phối, hãy bắt đầu quy trình cài đặt. Nó diễn ra trong 2 giai đoạn. Đầu tiên, thư viện hệ thống và tệp thực thi Sandboxie được cài đặt.

Ở giai đoạn cuối, bạn sẽ được yêu cầu cài đặt trình điều khiển hệ thống, đây là phần cốt lõi của ứng dụng. Trình điều khiển sẽ hoạt động cùng với các tệp dịch vụ, thời gian cài đặt của nó sẽ mất một vài phút. Chúng tôi đồng ý và đi tiếp.

Lần đầu tiên ra mắt sandbox Sandboxie

Khi bạn khởi chạy ứng dụng lần đầu tiên, màn hình sẽ hiển thị danh sách các chương trình mà bạn có thể cải thiện khả năng tương thích hộp cát. Mặc dù thực tế là không phải tất cả các ứng dụng có sẵn trong HĐH đều được hiển thị trong danh sách này, chương trình hộp cát đã tự động xác định rằng theo mặc định, các chương trình này không có sẵn để quản lý trong Sandboxie. Chúng tôi đồng ý cải thiện khả năng tương thích bằng cách kiểm tra tất cả các mục trong danh sách và nhấp vào OK.

Tiếp theo, chúng ta phải trải qua phần giới thiệu ngắn gọn về cách làm việc với ứng dụng, nơi chúng ta có thể làm quen với nguyên lý hoạt động chung của sản phẩm phần mềm, cơ chế khởi chạy trình duyệt web ở chế độ được bảo vệ, cũng như chức năng xóa nội dung của sandbox đang hoạt động. Hướng dẫn sử dụng rất ngắn gọn, tất cả nội dung của nó được rút gọn chỉ bằng một vài lần nhấn nút để thực hiện các hành động phổ biến nhất và hình ảnh minh họa bằng đồ họa với phương pháp cơ bản của dịch vụ.

Vì vậy, khi hết tài liệu hướng dẫn, chúng ta có thể bắt đầu làm việc trong môi trường biệt lập. Bạn có thể khởi chạy ứng dụng bằng cách chọn mục tương ứng trong menu “Start”, hoặc bằng cách nhấp vào biểu tượng tương ứng ở dạng “Ứng dụng” (Win 8/8.1).

Một cách khác là nhấp đúp vào biểu tượng hộp cát Sandboxie trên thanh tác vụ.

Sau khi khởi chạy chương trình, một biểu mẫu có hộp cát đang hoạt động có sẵn cho người dùng sẽ xuất hiện trên màn hình (chúng tôi xin nhắc bạn một lần nữa rằng trong phiên bản miễn phí, bạn chỉ có thể tạo một hộp cát). Hầu như tất cả các hoạt động đều được gọi từ biểu mẫu này.

Chạy trình duyệt ở chế độ sandbox

Chà, hãy khởi chạy trình duyệt ở chế độ được bảo vệ. Để thực hiện việc này, bạn có thể sử dụng phím tắt trên màn hình hoặc nhấp chuột phải vào DefaultBox và chọn “Chạy trong hộp cát” -> “Khởi chạy trình duyệt web” từ menu ngữ cảnh. Điều đáng chú ý là bằng cách này, bạn có thể làm việc với trình duyệt được cài đặt trên hệ thống làm trình duyệt đang hoạt động theo mặc định.

Việc bao gồm một môi trường biệt lập an toàn được biểu tượng bằng một cạnh màu vàng bao quanh biểu mẫu trình duyệt.

Làm thế nào để làm việc với nó? Bằng cách chạy trình duyệt của bạn trong hộp cát, bạn có thể tự do truy cập bất kỳ tài nguyên nào, thậm chí có thể nguy hiểm mà không có nguy cơ lây nhiễm bất kỳ mã độc hại nào vào PC của bạn. Chế độ này chắc chắn sẽ hữu ích nếu bạn đang tìm kiếm chìa khóa cho các chương trình, vết nứt hoặc bạn đặt trẻ em sử dụng máy tính dưới sự giám sát của mình và sợ rằng trẻ có thể gây hại cho hệ thống bằng cách chuyển sang các tài nguyên không an toàn thông qua biểu ngữ hoặc thay đổi địa chỉ email. cài đặt trình duyệt bằng cách cài đặt phần bổ sung "siêu độc đáo" tiếp theo. Mọi tệp được tải xuống bằng trình duyệt này cũng sẽ không có quyền truy cập vào hệ thống làm việc.

Khi cố gắng tải xuống tệp bằng trình duyệt hộp cát, hãy chú ý đến tiêu đề của biểu mẫu để chỉ định tên lưu. Tên của biểu mẫu này được bao quanh bởi hai ký hiệu #, biểu thị rằng khi lưu đối tượng sẽ được đặt trong Windows Sandboxie shell và sẽ không có sẵn trên thiết bị đĩa thông thường.

Điều tương tự cũng áp dụng cho các chương trình đã khởi chạy.

Theo mặc định, các tệp được tải xuống từ mạng sẽ được đặt trong thư mục Màn hình nền hoặc Tải xuống. Những thư mục này phù hợp cho sandboxing.

Làm cách nào để đảm bảo rằng tệp đã tải xuống được lưu trong hộp cát?

Trong menu trên cùng, chọn Xem và chọn tùy chọn Tệp và thư mục. Bạn sẽ thấy một cây đĩa có sẵn và thư mục người dùng mà bạn có thể làm việc ở chế độ được bảo vệ. Mở thư mục bạn cần và đảm bảo có các tệp tương ứng ở đó.

Có thể trích xuất một tệp từ hộp cát bằng cách đặt nó vào một thư mục tương tự trên ổ đĩa dịch vụ thông thường không?

Tất nhiên, để thực hiện việc này, hãy nhấp chuột phải vào tệp cần khôi phục và chọn “Khôi phục vào cùng thư mục” trong menu ngữ cảnh. Sau đó, tập tin sẽ được giải nén.

Bạn cũng có thể thêm đường dẫn mới vào các thư mục có sẵn để lưu bằng cách chỉ định chúng trong biểu mẫu Cài đặt hộp cát, danh mục Khôi phục -> phần Khôi phục nhanh.

Để mở biểu mẫu Cài đặt hộp cát, hãy đi tới tùy chọn Hộp cát ở menu trên cùng, sau đó chọn mục con DefaultBox và trong menu ngữ cảnh xuất hiện, nhấp vào phần tử Cài đặt hộp cát.

Làm cách nào để cài đặt ứng dụng mới trong sandbox?

Nhấp chuột phải vào bản phân phối thích hợp được lưu trong môi trường biệt lập hoặc trong hệ điều hành tiêu chuẩn và chọn “Chạy trong hộp cát” từ menu

Tiếp theo sẽ làm theo quy trình cài đặt tiêu chuẩn, quy trình này có thể được sắp xếp nhanh chóng. Lưu ý duy nhất: nếu bạn muốn kiểm tra chương trình 64 bit, trước khi cài đặt, hãy thêm đường dẫn vào thư mục “C:\Program Files” trong cài đặt hộp cát Sandboxie, vì theo mặc định có thể chỉ có đường dẫn đến thư mục hệ thống “C:\Tệp chương trình (x86)” . Bạn có thể thực hiện lại việc này trong menu Khôi phục nhanh. Để các thay đổi có hiệu lực, hãy nhấp vào nút “Áp dụng” và khởi động lại quá trình cài đặt nếu quá trình này đang chạy.

Làm thế nào để chạy một chương trình trong sandbox?

Người dùng có hai cách để khởi chạy ứng dụng trong môi trường an toàn.

Đầu tiên là menu ngữ cảnh được gọi từ mục Sandbox trong menu trên cùng của Sandboxie. Tại đây, bạn có thể chạy mọi thứ: từ ứng dụng thư khách bên ngoài đến trình nền của bảng điều khiển được thiết kế để nén tệp sang định dạng âm thanh thay thế.

Cách thứ hai là sử dụng tích hợp Sandboxie với Windows Explorer. Để thực hiện việc này, bạn cần nhấp chuột phải vào chương trình bạn cần trên thiết bị đĩa làm việc thông thường và chọn tùy chọn “Chạy trong hộp cát”.

Kết quả

Nhìn chung, phải nói rằng chương trình không cho cảm giác tự tin lắm trên hệ điều hành 64-bit thế hệ mới nhất. Sự cố định kỳ xảy ra và các cửa sổ xuất hiện kèm theo thông báo về nỗ lực khôi phục ngay lập tức các quy trình đang chạy. Tuy nhiên, chỉ cần loay hoay một chút trong cài đặt, bạn có thể khiến Sandboxie sandbox hoạt động ổn định, hiệu quả và không cần phải đặt trước, đồng thời nhờ tích hợp với Explorer nên việc khởi chạy ứng dụng diễn ra suôn sẻ và mượt mà. Cùng với các phương pháp ảo hóa khác, cơ chế này là một công cụ tuyệt vời để gỡ lỗi và thử nghiệm các ứng dụng, rất hữu ích cho việc nghiên cứu chi tiết về sự tương tác của sản phẩm phần mềm với môi trường hoạt động.

Cái gọi là hộp cát là một tính năng tương đối mới trong gói phần mềm chia sẻ chống vi-rút Avast! Chuyên nghiệp và Avast! Bảo mật mạng. Đây là một mô hình bảo mật đặc biệt nhờ đó người dùng có thể truy cập các trang web và chạy nhiều ứng dụng khác nhau trong một môi trường an toàn. Chức năng này giúp tránh virus nếu bạn vô tình chuyển sang file . Nếu nó truy cập vào một tài nguyên độc hại, trình duyệt sẽ tự động được đặt vào hộp cát và do đó việc lây nhiễm vào máy tính sẽ bị ngăn chặn.
Trong các phiên bản miễn phí của Avast! Không có hộp cát.

Chức năng mới cũng có thể được khởi chạy độc lập khi bạn bật các chương trình của bên thứ ba mà bạn thấy đáng ngờ hoặc không đáng tin cậy. Chỉ cần chạy chương trình trong hộp cát và bạn sẽ biết liệu nó có thực sự gây ra mối đe dọa hay nỗi sợ hãi của bạn là vô căn cứ. Khi kiểm tra chương trình, hệ thống của bạn sẽ được Avast bảo vệ. Sandbox thường được sử dụng khi kiểm tra phần mềm được tải xuống từ Internet.

Cách sử dụng hộp cát

Để khởi chạy một ứng dụng đáng ngờ hoặc truy cập Internet thông qua hộp cát, hãy nhấp vào yêu cầu “chạy quy trình ảo hóa”. Sau đó, hãy truy cập chương trình bạn cần trên máy tính. Trình duyệt hoặc ứng dụng sẽ khởi chạy trong một cửa sổ đặc biệt mới, được đóng khung bằng khung màu đỏ, cho biết chương trình đã được khởi chạy thành công từ hộp cát.
Trong tab “cài đặt nâng cao”, bạn có thể chỉ định các ứng dụng không cần ảo hóa cũng như những ứng dụng phải luôn được khởi chạy từ hộp cát.

Một tính năng đặc trưng của sandbox là khả năng nhúng nó vào menu ngữ cảnh. Để bật tùy chọn này, trong cửa sổ “Tùy chọn”, hãy chọn hộp bên cạnh “nhúng vào menu ngữ cảnh nhấp chuột phải”. Tùy chọn này có thể được cung cấp cho cả người dùng và người dùng có quyền quản trị viên. Với sự trợ giúp của nó, bạn có thể khởi chạy bất kỳ ứng dụng nào trong hộp cát bằng cách chỉ cần nhấp chuột phải vào phím tắt và chọn lệnh “chạy với”.

Xin lưu ý rằng nếu bạn nhấp chuột phải vào ứng dụng được đóng hộp cát, menu ngữ cảnh mở ra sẽ cung cấp cho bạn tùy chọn chạy ứng dụng đó một lần bên ngoài hộp cát hoặc xóa ứng dụng khỏi hộp cát.

Internet và công nghệ máy tính đã hoàn toàn chiếm lĩnh thế giới hiện đại. Giờ đây, hầu hết mọi người đều có một thiết bị điện tử để có thể tìm thấy thông tin cần thiết trên Internet hoặc trò chuyện với bạn bè mọi lúc, mọi nơi. Nhưng chúng ta không nên quên rằng đôi khi có một mối đe dọa tiềm ẩn đằng sau điều này - vi-rút và các tệp độc hại được tạo và tung vào mạng toàn cầu để lây nhiễm dữ liệu người dùng. Ngoài các phần mềm chống vi-rút tiêu chuẩn, các chương trình hộp cát đã được tạo để giúp ngăn chặn quyền truy cập của chúng vào máy tính.

Mục đích và nguyên tắc của chương trình

Các chương trình hộp cát được thiết kế để đảm bảo tính bảo mật cho máy tính của bạn khi lướt Internet hoặc thực thi các chương trình khác nhau. Nói một cách đơn giản hơn, chúng ta có thể nói rằng chương trình này là một loại không gian ảo giới hạn trong đó mọi hành động của người dùng được thực hiện. Một chương trình được khởi chạy khi hộp cát đang chạy chỉ hoạt động trong môi trường này và nếu đó là vi-rút độc hại thì quyền truy cập vào các tệp hệ thống của chương trình đó sẽ bị chặn.

Ưu điểm của hộp cát

Có lẽ ưu điểm đầu tiên của ứng dụng này có thể được rút ra từ đoạn văn trên - nó hạn chế quyền truy cập của các tệp độc hại vào hệ thống. Ngay cả khi vi-rút, chẳng hạn như Trojan hoặc sâu, được phát hiện khi lướt Internet, nhưng tại thời điểm đó người dùng đang làm việc với hộp cát được bật, vi-rút sẽ không xâm nhập vào bất kỳ nơi nào khác và khi hộp cát được làm sạch, chúng sẽ được gỡ bỏ hoàn toàn khỏi máy tính mà không để lại dấu vết. Ngoài ra, những chương trình như vậy còn giúp tăng tốc máy tính của bạn. Vì hầu hết các hoạt động của sandbox đều liên quan đến hoạt động trên trình duyệt, nên mỗi khi bạn khởi chạy nó (Google Chrome, Opera, Mozilla Firefox), người dùng sẽ thấy một trình duyệt hoàn toàn sạch sẽ và như thể mới được cài đặt, không có rác làm chậm thông thường. - “bộ nhớ đệm”"

Nhược điểm của hộp cát

Cũng có những thứ đó, và điều quan trọng nhất là xóa dữ liệu cá nhân, có thể là dấu trang, các trang được lưu khi duyệt Internet hoặc thậm chí là lịch sử. Chương trình không được cấu hình để nhận biết chính xác những gì có hại cho thiết bị, vì vậy khi được làm sạch, tất cả dữ liệu sẽ bị xóa vĩnh viễn khỏi thiết bị. Người dùng cần tính đến điều này và nếu cần, đồng bộ hóa các dấu trang cần thiết hoặc sử dụng các ứng dụng đặc biệt được thiết kế để lưu dữ liệu đó.

Hiện tại, có rất nhiều tên của các chương trình như vậy, trong số đó nổi tiếng là Sandboxie, Comodo Internet Security, v.v. Mọi người đều chọn cái nào thuận tiện và dễ hiểu hơn cho mình. Trong mọi trường hợp, bạn không nên quên những nhược điểm của các chương trình này và sử dụng chúng một cách cẩn thận.

Avast là một trong những chương trình diệt virus. Việc cài đặt và đăng ký càng đơn giản càng tốt. Có phiên bản dành cho PC và thiết bị di động. Trong trường hợp này, giấy phép cho năm sử dụng đầu tiên có thể được nhận hoàn toàn miễn phí. Avast cung cấp nhiều tùy chọn bảo vệ bổ sung khác nhau. Khả năng thêm ngoại lệ cũng được triển khai ở đây.

Bạn sẽ cần

  • Máy tính, thiết bị di động, Internet.

Hướng dẫn

Bên trong màn hình hệ thống tệp, hãy nhấp vào nút “Cài đặt”, sau đó chọn tab “Ngoại lệ”. Bằng cách nhấp vào "Duyệt", bạn sẽ thấy nội dung của ổ cứng. Chọn ngoại lệ bằng cách bấm đúp vào thư mục hoặc tệp mong muốn và bấm OK. Xác nhận lựa chọn của bạn trong cửa sổ tiếp theo bằng cách nhấp vào OK lần nữa.

Nếu bạn đã quen thuộc với các chức năng và tính năng được cài đặt trên máy tính của mình thì có lẽ bạn biết lý do tại sao bạn cần một công cụ tuyệt vời như Sandbox. Theo quy định, mô-đun này được bao gồm trong các chương trình chống vi-rút nổi tiếng nhất, chẳng hạn như Avast. Sandbox, hay như người ta hay nói sandbox, là một mô-đun phần mềm cho phép bạn chạy bất kỳ ứng dụng nào trong một môi trường bị cô lập nghiêm ngặt. Nhiệm vụ chính của Sandbox là đảm bảo an ninh máy tính ở mức tối đa khi chạy các ứng dụng tiềm ẩn nguy hiểm hoặc truy cập các trang web bị nhiễm virus.

Phải nói rằng phương pháp này không phải là không có nhược điểm - ví dụ: khi mô-đun hộp cát Avast đang chạy, một số ứng dụng chạy ở chế độ an toàn có thể không hoạt động chính xác và trong một số trường hợp thậm chí còn khiến chương trình chống vi-rút bị đóng băng.

Ngoài ra, điều này không thuận tiện lắm, nhất là khi bạn cần chuyển nhanh từ chế độ này sang chế độ khác. Đối với những người không hài lòng với tình huống này, chúng tôi có thể đề xuất một giải pháp đơn giản và nhanh hơn - tiện ích hộp cát- chương trình hộp cát.

Chương trình nhỏ, tiện lợi với giao diện tiếng Nga này cho phép bạn tạo các khu vực ảo trong đó bạn có thể chạy hầu hết mọi ứng dụng.

Trong trường hợp này, kết quả của tất cả các chương trình khởi chạy trong Sandboxie sẽ được lưu trong các thư mục riêng biệt, được thiết kế đặc biệt, không ảnh hưởng đến hoạt động của toàn bộ hệ điều hành, do đó bảo vệ nó khỏi bị hư hại do vi-rút hoặc thay đổi cấu hình.

Sandboxie cũng có thể được sử dụng như một phương tiện lướt Internet ẩn danh theo nghĩa là sau khi đóng trình duyệt, sẽ không còn dấu vết truy cập các trang web trên máy tính của người dùng.


Làm việc trong Sandboxie khá đơn giản. Trong quá trình cài đặt, tiện ích có thể nhắc bạn định cấu hình khả năng tương thích với một số chương trình nhất định.

Tất cả các cài đặt khác, ngoại trừ khả năng tích hợp Sandboxie vào menu ngữ cảnh Explorer, có thể được giữ nguyên.

Nhân tiện, ngoài cài đặt chung, bạn cũng có thể thay đổi các tham số của chính hộp cát. Cũng giống như những cái chung, bạn nên để các cài đặt này làm mặc định.

Chương trình hộp cát Sandboxie hỗ trợ tạo một số hộp cát riêng biệt và trong mỗi hộp cát, bạn có thể chạy một số ứng dụng.

Các chương trình chạy trong cùng một hộp cát có thể dễ dàng trao đổi dữ liệu, nhưng các ứng dụng từ các khu vực ảo khác nhau sẽ bị cô lập với nhau cũng như với toàn bộ hệ điều hành. Theo mặc định, tiện ích sử dụng một hộp cát có tên là " Hộp mặc định«.

Ví dụ: hãy mở một số ứng dụng trong Sandboxie, giả sử là một Notepad thông thường. Trình soạn thảo văn bản có thể không phải là ví dụ tốt nhất để chứng minh, nhưng điều đó không thực sự quan trọng vào thời điểm này.

Đi tới thực đơn " Hộp cát» → « Hộp mặc định» → « Chạy trong hộp cát» → « ...bất kỳ chương trình nào" Sau đó, một cửa sổ hình chữ nhật nhỏ sẽ mở ra, trong đó bạn có thể nhập tên chương trình, trong trường hợp của chúng tôi là notepad.exe hoặc duyệt bằng cách chỉ định đường dẫn đến ứng dụng sẽ mở từ màn hình nền. Bạn cũng có thể khởi chạy nó thông qua menu Bắt đầu.

Điều thú vị là Sandboxie cho phép bạn chạy ngay cả những ứng dụng có cấu hình khác nhau mà thông thường không cho phép bạn tạo bản sao trong bộ nhớ.

Xin lưu ý rằng các chương trình chạy trong hộp cát có tiêu đề cửa sổ làm việc được sửa đổi một chút và khi bạn di chuột qua đầu cửa sổ, toàn bộ khu vực viền sẽ được đánh dấu màu vàng. Không có gì đáng sợ về điều này cả, đừng lo lắng, nó phải như vậy thôi.

Vì vậy, hãy sao chép và dán một số đoạn văn bản vào Notepad và thử lưu tệp. Ban đầu, Sandboxie sẽ nhắc bạn lưu tài liệu vào thư mục của chương trình, nhưng hãy bỏ qua gợi ý này và lưu nó vào ổ cứng D.

Tuy nhiên, nếu sau đó bạn muốn xem tệp này và chuyển sang ổ D, nó sẽ không có ở đó. Chính xác hơn là nó sẽ bị ẩn và để khôi phục nó, bạn nên mở nó trong menu “ Xem" chương " Tập tin và thư mục", tìm tệp cần thiết trong danh sách thả xuống và chọn hành động cần thiết trong menu ngữ cảnh.

Về cơ bản đó là toàn bộ công việc của tiện ích tuyệt vời này. Mọi thứ đều rất đơn giản. Danh sách tất cả các ứng dụng đang chạy trong Sandboxie có thể được xem trong cửa sổ làm việc của tiện ích.

Các tính năng bổ sung của Sandboxie bao gồm thiết lập tài khoản người dùng, tự động tắt chương trình, xác định chế độ của bất kỳ ứng dụng nào chạy trên Windows cũng như một số tùy chọn khác.

Tiện ích Sandboxie rất nhẹ, tiêu tốn tối thiểu tài nguyên hệ thống và hoàn toàn không can thiệp vào hoạt động của các ứng dụng khác, thu gọn vào khay hệ thống nếu cần.

Tốt nhất là khởi chạy Sandboxie thông qua menu Bắt đầu, vì biểu tượng màn hình được tạo trong quá trình cài đặt sẽ không mở chương trình mà mở trình duyệt Internet Explorer.
Ngoài ra còn có một đoạn video ngắn về cách tải và cài đặt sandboxie:

Rất lâu trước khi ý tưởng về Docker ra đời trong tâm trí những người tạo ra nó, dự án LXC (LinuX Containers) đã xuất hiện. Nó dựa trên các công nghệ tương tự để phân tách các không gian tên (Không gian tên Linux) và theo cách tương tự, nó có thể tạo ra một môi trường thực thi tối giản, khép kín (hộp cát, vùng chứa) để chạy các dịch vụ hoặc các ứng dụng không an toàn. Tuy nhiên, LXC không thân thiện với người dùng mới và không có các tính năng Docker như hệ thống tệp phân lớp, khả năng tải xuống và chạy nhanh chóng một ứng dụng tạo sẵn cũng như cấu hình cho môi trường xây dựng tự động.

Trước đó rất lâu, FreeBSD đã giới thiệu công nghệ jail, cho phép bạn tạo các hộp cát tương tự như chroot, nhưng nhấn mạnh vào mức độ cô lập sâu hơn. Trong một thời gian dài, nhà tù là niềm tự hào của FreeBSD và thậm chí còn được dùng làm nguyên mẫu cho công nghệ Solaris Zones. Tuy nhiên, ngày nay nó không còn có thể cung cấp mức độ linh hoạt và quản lý tài nguyên như LXC và Docker cung cấp, vì vậy nhìn chung, jail đã đứng bên lề lịch sử. Ngày nay, sandbox Linux có thể được tạo theo nhiều cách khác nhau. Đây là LXC và Docker đã được đề cập cùng với các không gian tên của chúng, đây là cơ chế seccomp được Chrome sử dụng để tách biệt các tab và plugin, đây là các công nghệ SELinux/AppArmor cho phép bạn điều chỉnh chính xác quyền truy cập của ứng dụng vào mọi thứ. Trong bài viết này, chúng tôi sẽ giới thiệu những công cụ thân thiện với người dùng nhất, phù hợp nhất để giải quyết các vấn đề hàng ngày, chẳng hạn như:

  • khởi chạy một ứng dụng không đáng tin cậy có thể gây hại cho hệ thống;
  • Cách ly trình duyệt, ứng dụng email và các ứng dụng khác để việc hack chúng không dẫn đến rò rỉ dữ liệu;
  • khởi chạy các ứng dụng “một lần” không để lại dấu vết trên hệ thống.

Sandbox MBOX

Hãy bắt đầu với một trong những hộp cát đơn giản nhất. Mbox không phải là một công cụ cách ly tiêu chuẩn hoàn toàn; nó không cắt bớt các quyền của ứng dụng đang chạy, không ảo hóa ngăn xếp mạng và không có bất kỳ cài đặt nào. Công việc duy nhất của Mbox là đảm bảo rằng ứng dụng không thể ghi bất cứ thứ gì vào hệ thống tệp. Để làm điều này, nó tạo ra một hệ thống tệp ảo đặc biệt để chuyển hướng tất cả các yêu cầu I/O đến đó. Do đó, dưới sự kiểm soát của Mbox, ứng dụng hoạt động như không có chuyện gì xảy ra, nhưng trong quá trình hoạt động, bạn có cơ hội áp dụng hoặc từ chối một số thay đổi nhất định đối với hệ thống tệp ảo sang hệ thống tệp thực.

Khái niệm này được thể hiện rõ nhất bằng một ví dụ từ trang Mbox chính thức:

$ mbox - quên google .com

. . .

Tóm tắt mạng:

> [ 11279 ] - & gt ; 173.194.43.51: 80

> [ 11279 ] Tạo ổ cắm (PF_INET, . . . )

> [ 11279 ] - & gt ; a00 :: 2607 : f8b0 : 4006 : 803 : 0

. . .

Gốc hộp cát:

> /tmp/hộp cát - 11275

> N:/tmp/index.html

[c] ommit, [i] gnore, [d] iff, [l] ist, [s] địa ngục, [q] uit? >

Trong trường hợp này, Wget được khởi chạy dưới sự kiểm soát của Mbox. Mbox cẩn thận cho chúng tôi biết rằng Wget truy cập 173.194.43.51 và cổng 80, đồng thời ghi tệp index.html mà chúng tôi có thể áp dụng cho hệ thống chính (nhấn "c" để thực hiện việc này), bỏ qua (i), xem khác biệt, thực hiện các thao tác khác hoặc chấm dứt hoàn toàn ứng dụng. Bạn có thể kiểm tra xem tất cả hoạt động như thế nào bằng cách cài đặt gói Mbox làm sẵn. Trong Debian/Ubuntu việc này được thực hiện như thế này:

$ wget http: / / pdos .csail .mit .edu / mbox / mbox - mới nhất - amd64 .deb

$ sudo dpkg - i mbox - mới nhất - amd64 .deb

Trên Arch Linux, Mbox có sẵn trong AUR, giúp cài đặt dễ dàng hơn nữa:

$ yaourt - S mbox - git

Đây là tất cả. Bây giờ bạn có thể chạy bất kỳ tệp nhị phân nào mà không phải lo lắng rằng chúng sẽ để lại cửa sau trong hệ thống tệp. Nếu một ứng dụng cần hạn chế quyền truy cập vào một số phần nhất định của hệ thống tệp, hồ sơ có thể được sử dụng. Đây là những tệp văn bản thông thường liệt kê các thư mục được phép và bị từ chối. Ví dụ: cấu hình sau sẽ từ chối ứng dụng truy cập vào thư mục chính của bạn (~), nhưng sẽ cho phép khả năng làm việc với các tệp trong thư mục hiện tại (.):

Một tùy chọn hữu ích khác là -n. Nó hoàn toàn từ chối quyền truy cập ứng dụng vào Internet.

Cách ly khởi chạy ứng dụng bằng FIREJAIL

Không cần phải nói rằng chỉ từ chối quyền truy cập vào các tệp là quá ít để tạo ra các hộp cát thực sự biệt lập. Mã độc hại hoặc tin tặc có thể không ghi bất kỳ thứ gì vào hệ thống mà chỉ cần lấy đi ví Bitcoin và cơ sở dữ liệu mật khẩu KeePass của bạn hoặc sử dụng lỗ hổng ứng dụng để giành quyền root và thoát khỏi hộp cát. Ngoài ra, Mbox không thân thiện với phần mềm đồ họa và nhìn chung, không phù hợp để chạy các ứng dụng phức tạp có thể ghi nhiều tệp tạm thời vào đĩa và liên tục cập nhật cơ sở dữ liệu của chúng.

Hệ thống cách ly ứng dụng SANDBOX.

Nếu không có ứng dụng nào bạn cần trong số 95 hồ sơ của Firejail và ý tưởng tự viết hồ sơ không khiến bạn quá hứng thú thì Sandbox chính là sự lựa chọn của bạn. Loại hộp cát này về mặt kỹ thuật rất khác so với hai công cụ đã được mô tả (nó sử dụng các quy tắc SELinux thay vì seccomp và Không gian tên), nhưng về mặt chức năng thì nó nằm ở giữa.

Giống như Mbox, Sandbox cắt đứt hoàn toàn ứng dụng với thế giới bên ngoài, cho phép bạn chỉ đọc stdin (nghĩa là bạn có thể truyền dữ liệu từ ứng dụng khác đến đầu vào của ứng dụng đang chạy trong sandbox) và chỉ ghi vào stdout (hiển thị dữ liệu trên màn hình hoặc chuyển hướng nó sang ứng dụng khác). Mọi thứ khác, bao gồm quyền truy cập vào hệ thống tệp, tín hiệu, các quy trình khác và mạng, đều bị từ chối. Ví dụ đơn giản nhất về sử dụng:

$cat /etc/passwd | cắt hộp cát - d : - f1 & gt ; /tmp/người dùng

Lệnh này đọc tệp /etc/passwd, trích xuất tên người dùng từ đó và ghi chúng vào tệp /tmp/users. Nó không có tác dụng gì nhưng nó thể hiện hoàn hảo các nguyên tắc của Sandbox. Trong hộp cát, chỉ có lệnh cắt được chạy và chính tệp /etc/passwd được truyền tới nó bằng lệnh bên ngoài. Mặt khác, đầu ra được triển khai bằng cách sử dụng chuyển hướng thiết bị xuất chuẩn thông thường.

Bạn có thể không ngừng quan sát lửa, nước và hoạt động của các chương trình bị cô lập trong hộp cát. Nhờ ảo hóa, chỉ với một cú nhấp chuột, bạn có thể gửi kết quả của hoạt động này - thường không an toàn - vào quên lãng.

Tuy nhiên, ảo hóa cũng được sử dụng cho mục đích nghiên cứu: ví dụ: bạn muốn kiểm soát tác động của một chương trình mới được biên dịch trên hệ thống hoặc chạy hai phiên bản khác nhau của một ứng dụng cùng một lúc. Hoặc tạo một ứng dụng độc lập sẽ không để lại dấu vết trên hệ thống. Có nhiều lựa chọn để sử dụng hộp cát. Không phải chương trình đưa ra các điều khoản của nó trong hệ thống mà chính bạn là người chỉ đường cho nó và phân phối tài nguyên.

Nếu bạn không hài lòng với sự chậm chạp của quá trình, bằng cách sử dụng công cụ ThinApp Converter, bạn có thể đưa ảo hóa vào luồng. Trình cài đặt sẽ được tạo dựa trên cấu hình bạn chỉ định.

Nói chung, các nhà phát triển khuyên nên thực hiện tất cả các chế phẩm này trong điều kiện vô trùng, trên hệ điều hành mới, để tất cả các sắc thái cài đặt đều được tính đến. Đối với những mục đích này, bạn có thể sử dụng máy ảo, nhưng tất nhiên, điều này sẽ ảnh hưởng đến tốc độ làm việc. VMware ThinApp đã tải tài nguyên hệ thống khá nặng và không chỉ ở chế độ quét. Tuy nhiên, như họ nói, chậm mà chắc.

Vùng đệm

  • Trang mạng: www.trustware.com
  • Nhà phát triển: Phần mềm tin cậy
  • Giấy phép: phần mềm miễn phí

BufferZone kiểm soát hoạt động Internet và phần mềm của các ứng dụng bằng cách sử dụng vùng ảo, tiếp cận chặt chẽ với tường lửa. Nói cách khác, nó sử dụng ảo hóa được quản lý theo quy tắc. BufferZone dễ dàng hoạt động cùng với các trình duyệt, trình nhắn tin tức thời, email và ứng dụng khách P2P.

Tại thời điểm viết bài, các nhà phát triển đã cảnh báo về các vấn đề có thể xảy ra khi làm việc với Windows 8. Chương trình có thể giết chết hệ thống, sau đó nó sẽ phải được gỡ bỏ thông qua chế độ an toàn. Điều này là do trình điều khiển BufferZone xung đột nghiêm trọng với HĐH.

Những gì nằm trong tầm quan sát của BufferZone có thể được theo dõi trong phần Tóm tắt chính. Bạn tự xác định số lượng ứng dụng giới hạn: danh sách Chương trình chạy bên trong BufferZone là dành cho việc này. Nó đã bao gồm các ứng dụng có khả năng không an toàn như trình duyệt và ứng dụng email. Đường viền màu đỏ xuất hiện xung quanh cửa sổ ứng dụng đã chụp, giúp bạn tự tin lướt web an toàn. Nếu bạn muốn chạy bên ngoài khu vực - không vấn đề gì, bạn có thể bỏ qua điều khiển thông qua menu ngữ cảnh.

Ngoài vùng ảo, còn có một vùng gọi là vùng riêng tư. Bạn có thể thêm các trang web yêu cầu bảo mật nghiêm ngặt. Cần lưu ý ngay rằng chức năng này chỉ hoạt động trong các phiên bản retro của Internet Explorer. Các trình duyệt hiện đại hơn có tính năng ẩn danh tích hợp.

Phần Chính sách định cấu hình các chính sách liên quan đến trình cài đặt và bản cập nhật cũng như các chương trình được khởi chạy từ thiết bị và nguồn mạng. Trong Cấu hình cũng xem thêm các tùy chọn chính sách bảo mật (Chính sách nâng cao). Có sáu cấp độ kiểm soát, tùy thuộc vào thái độ của BufferZone đối với các thay đổi của chương trình: không bảo vệ (1), tự động (2) và bán tự động (3), thông báo về việc khởi chạy tất cả (4) và chương trình chưa được ký (5), bảo vệ tối đa (6) .

Như bạn có thể thấy, giá trị của BufferZone nằm ở khả năng kiểm soát Internet hoàn toàn. Nếu bạn cần các quy tắc linh hoạt hơn thì bất kỳ tường lửa nào cũng sẽ giúp bạn. BufferZone cũng có nó, nhưng còn nhiều hơn thế: nó cho phép bạn chặn các ứng dụng, địa chỉ mạng và cổng. Từ quan điểm thực tế, việc chủ động truy cập cài đặt không thuận tiện lắm.

Đánh giá

  • Trang mạng: www.evalaze.de/en/evalaze-oxide/
  • Nhà phát triển: Dögel GmbH
  • Giấy phép: phần mềm miễn phí / thương mại (2142 euro)

Tính năng chính của Evalaze là tính linh hoạt của các ứng dụng ảo hóa: chúng có thể được khởi chạy từ phương tiện di động hoặc từ môi trường mạng. Chương trình cho phép bạn tạo các bản phân phối hoàn toàn tự động hoạt động trong môi trường đăng ký và hệ thống tệp mô phỏng.

Tính năng chính của Evalaze là trình hướng dẫn tiện lợi, có thể hiểu được mà không cần đọc hướng dẫn. Đầu tiên, bạn tạo một image hệ điều hành trước khi cài đặt chương trình, sau đó bạn cài đặt nó, chạy thử và định cấu hình nó. Tiếp theo, làm theo trình hướng dẫn Đánh giá, bạn phân tích các thay đổi. Rất giống với nguyên lý hoạt động của các trình gỡ cài đặt (ví dụ Soft Organizer).

Các ứng dụng ảo hóa có thể hoạt động ở hai chế độ: trong trường hợp đầu tiên, các thao tác ghi được chuyển hướng đến hộp cát; trong trường hợp thứ hai, chương trình có thể ghi và đọc các tệp trên hệ thống thực. Chương trình có xóa dấu vết hoạt động của nó hay không là tùy thuộc vào bạn; tùy chọn Xóa hộp cát cũ tự động sẵn sàng phục vụ bạn.

Nhiều tính năng thú vị chỉ có ở phiên bản thương mại của Evalaze. Trong số đó có chỉnh sửa các thành phần môi trường (chẳng hạn như tệp và khóa đăng ký), nhập dự án và cài đặt chế độ đọc. Tuy nhiên, giấy phép có giá hơn hai nghìn euro, theo tôi, con số này vượt quá rào cản tâm lý về giá một chút. Việc sử dụng dịch vụ ảo hóa trực tuyến được cung cấp với mức giá cao tương tự. Để an ủi, trang web của nhà phát triển đã chuẩn bị sẵn các ứng dụng mẫu ảo.

Cameyo

  • Trang mạng: www.cameyo.com
  • Nhà phát triển: Cameyo
  • Giấy phép: phần mềm miễn phí

Nhìn nhanh vào Cameyo cho thấy các chức năng này tương tự như Evalaze và chỉ với ba cú nhấp chuột, bạn có thể tạo bản phân phối bằng ứng dụng ảo hóa. Nhà đóng gói chụp ảnh nhanh hệ thống, so sánh với những thay đổi sau khi cài đặt phần mềm và tạo hệ sinh thái để khởi chạy.

Điểm khác biệt quan trọng nhất so với Evalaze là chương trình hoàn toàn miễn phí và không chặn bất kỳ tùy chọn nào. Các cài đặt được tập trung thuận tiện: chuyển đổi phương thức ảo hóa bằng cách lưu vào đĩa hoặc bộ nhớ, chọn chế độ cách ly: lưu tài liệu vào các thư mục được chỉ định, cấm ghi hoặc truy cập đầy đủ. Ngoài ra, bạn có thể định cấu hình môi trường ảo bằng cách sử dụng trình chỉnh sửa tệp và khóa đăng ký. Mỗi thư mục cũng có một trong ba mức cách ly, có thể dễ dàng ghi đè.

Bạn có thể chỉ định chế độ dọn dẹp hộp cát sau khi thoát khỏi ứng dụng độc lập: xóa dấu vết mà không cần dọn dẹp và ghi các thay đổi sổ đăng ký vào một tệp. Tích hợp với Explorer và khả năng liên kết đến các loại tệp cụ thể trong hệ thống cũng có sẵn, tính năng này không có ngay cả trong các phiên bản trả phí của Cameyo.

Tuy nhiên, điều thú vị nhất không phải là phần cục bộ của Cameyo mà là trình đóng gói trực tuyến và các ứng dụng ảo công cộng. Chỉ cần chỉ định URL hoặc tải trình cài đặt MSI hoặc EXE lên máy chủ, cho biết độ sâu bit của hệ thống và bạn sẽ nhận được một gói độc lập. Từ bây giờ nó có sẵn dưới mái nhà đám mây của bạn.

Bản tóm tắt

hộp cát sẽ là lựa chọn tốt nhất cho các thử nghiệm hộp cát. Chương trình này có nhiều thông tin nhất trong số các công cụ được liệt kê, nó có chức năng giám sát. Nhiều cài đặt và khả năng tốt để quản lý một nhóm ứng dụng.

Nó không có bất kỳ chức năng độc đáo nào, nhưng nó rất đơn giản và không gặp rắc rối. Một sự thật thú vị: bài báo được viết bên trong “hộp cát” này, và do một sai lầm đáng tiếc, tất cả những thay đổi đã chuyển sang “bóng tối” (đọc: mặt phẳng thiên văn). Nếu không có Dropbox, một văn bản hoàn toàn khác sẽ được xuất bản trên trang này - rất có thể là của một tác giả khác.

Đánh giá không cung cấp một cách tiếp cận tích hợp để ảo hóa mà là một cách tiếp cận riêng lẻ: bạn kiểm soát việc khởi chạy một ứng dụng cụ thể bằng cách tạo điều kiện sống nhân tạo cho việc này. Có những ưu điểm và nhược điểm ở đây. Tuy nhiên, do tính chất rút gọn của phiên bản Evalaze miễn phí, những ưu điểm của nó sẽ mờ dần trong mắt bạn.

Cameyo có một hương vị “đám mây” nhất định: ứng dụng có thể được tải xuống từ trang web, tải lên ổ đĩa flash hoặc Dropbox - điều này thuận tiện trong nhiều trường hợp. Đúng vậy, nó khiến bạn liên tưởng đến đồ ăn nhanh: bạn không thể đảm bảo chất lượng và sự tuân thủ của nội dung với mô tả.

Nhưng nếu bạn thích nấu theo công thức, VMware ThinApp- lựa chọn của bạn. Đây là giải pháp dành cho những chuyên gia quan tâm đến từng chi tiết. Một tập hợp các tính năng độc đáo được bổ sung bằng khả năng của bảng điều khiển. Bạn có thể chuyển đổi ứng dụng từ dòng lệnh bằng cách sử dụng cấu hình, tập lệnh - ở chế độ riêng lẻ và hàng loạt.

Vùng đệm là một hộp cát có chức năng tường lửa. Sự kết hợp này chưa hoàn hảo và các cài đặt được cập nhật, nhưng BufferZone có thể được sử dụng để kiểm soát hoạt động và ứng dụng Internet, bảo vệ chống lại vi-rút và các mối đe dọa khác.