منو
خانهجهت یابی

نحوه حذف جعبه شنی از رایانه سندباکس برای ویندوز. اجرای فایل های مشکوک نحوه اجرای برنامه در sandbox

بسیاری از کاربران یکی یا دیگری را نصب می کنند نرم افزاراز منابع شخص ثالث، که از نظر تئوری می تواند به رایانه شما آسیب برساند. متاسفانه مدرن برنامه های آنتی ویروسمقداری بد افزارقادر به تشخیص فوری نیست.

اما نباید ریسک کنید و نرم افزارهای بالقوه خطرناک را بدون هیچ گونه حفاظتی روی رایانه خود اجرا کنید. در این حالت Sandboxie امکان اجرای برنامه ها را در محیطی خاص فراهم می کند که می توانید نحوه رفتار برنامه را مشاهده کنید.

نحوه کار این برنامه

اصل کار Sandboxie ایجاد یک دیسک سیستم با فضای محدود مشخص با شبیه سازی سیستم است. این فضا از سیستم اصلی بسته شده است، که اجازه می دهد تا تمام تغییرات در آن خارج از آن ایجاد نشود. پس از اتمام کار با فایل‌ها در جعبه شنی، تمام اطلاعات پاک می‌شوند، بنابراین نباید ترسید که ویروس در جایی روی رایانه شما باقی بماند، هرچند در فضای بسته دیسک.

Sandboxie می‌تواند فایل‌های اجرایی، فایل‌های نصب و اسناد EXE را اجرا کند. برخی استثناها وجود دارد، اما آنها برای عملیات بسیار مهم نیستند. شما می توانید آمار عملکرد و رفتار فایل های خاص را مشاهده کنید. همچنین، قبل از بستن سندباکس، می‌توانید پیکربندی کنید که کدام فایل‌ها حذف شوند و کدام‌ها تا راه‌اندازی بعدی باقی بمانند. به طور پیش فرض، بسته شدن به طور خودکار همه فایل ها را حذف می کند و فرآیندها را متوقف می کند.

بیایید کار در برنامه را با جزئیات بیشتری در نظر بگیریم.

منوی فایل

به طور پیش فرض، رابط sandbox چیز جالبی نیست. عناصر کنترل فقط در منوی بالا قرار دارند. بیایید نگاهی دقیق تر به پارامتر بیندازیم "فایل". با کلیک بر روی آن، یک منوی زمینه با گزینه های زیر ظاهر می شود:

  • "بستن همه برنامه ها". به اجبار تمام برنامه ها و فرآیندهایی را که در sandbox باز هستند خاتمه می دهد. ممکن است مرتبط باشد اگر برخی فایل مخربفعالانه فعالیت خود را آغاز می کند و نیاز به تعلیق فوری دارد.
  • "ممنوع کردن برنامه های شکل دار". این دکمه وظیفه اجرای برنامه هایی را بر عهده دارد که به طور پیش فرض در حالت عادی سیستم در sandbox باز می شوند. تنظیمات استاندارد به معنای راه اندازی چنین برنامه ای برای حداکثر 10 ثانیه در حالت عادی است. این باید برای مشاهده نحوه رفتار نرم افزار در خارج از جعبه شنی کافی باشد. تنظیمات را می توان تغییر داد.
  • "پنجره در جعبه شنی". برای تعیین محل باز بودن یک برنامه خاص مورد نیاز است.
  • "مانیتور دسترسی به منابع". به شما امکان می‌دهد برنامه‌ای که در sandbox اجرا می‌شود به منابع رایانه‌ای دسترسی داشته باشد. ممکن است برای شناسایی فعالیت های مشکوک مفید باشد.
  • "خروج". Sandboxie را می بندد.


مشاهده منو

با فشردن دکمه "چشم انداز"شما به مواردی که مسئول نمایش عناصر در رابط برنامه هستند دسترسی خواهید داشت (موارد منو "برنامه ها"و "فایل ها و پوشه ها").

همچنین در منو "چشم انداز"یک تابع وجود دارد "بازیابی رکورد"، که وظیفه یافتن و حذف فایل هایی است که به طور تصادفی از sandbox بازیابی شده اند.


عنصر جعبه شنی

عملکرد اصلی برنامه در اینجا متمرکز شده است. این آیتم منو مستقیماً مسئول کار با جعبه شنی است. بیایید به محتویات آن با جزئیات بیشتری نگاه کنیم:

  1. "جعبه پیش فرض"- این یک "sandbox" است که در آن همه برنامه ها به طور پیش فرض راه اندازی می شوند. هنگامی که با نشانگر ماوس روی این آیتم منو می روید، یک پنجره کشویی ظاهر می شود که در آن می توانید محیط های اضافی را برای اجرای یک برنامه خاص انتخاب کنید. برای مثال نرم افزار را در داخل اجرا کنید "کاوشگر"مرورگر ویندوز، سرویس گیرنده پست الکترونیکیو غیره. علاوه بر این، می توانید کارهای زیر را انجام دهید:
    • "پایان دادن به همه برنامه ها". تمام برنامه های در حال اجرا را می بندد.
    • "بهبودی سریع". مسئول توانایی دریافت همه یا برخی از فایل ها از sandbox و انتقال آنها به فضای معمولی دیسک.
    • "حذف محتوا". تمام برنامه ها، فایل ها و فرآیندهای داخل فضای ایزوله را می بندد و حذف می کند.
    • "مشاهده مطالب". به شما امکان می دهد در مورد همه چیزهایی که در "جعبه ماسه ای" موجود است بیاموزید.
    • "تنظیمات جعبه ایمنی". یک پنجره ویژه باز می شود که در آن می توانید برجسته کردن پنجره را در رابط به یک رنگ یا رنگ دیگر سفارشی کنید، بازیابی و / یا حذف داده ها، مجوز برنامه ها برای دسترسی به اینترنت و غیره را پیکربندی کنید.
    • "تغییر نام Sandbox". به شما امکان می دهد یک نام منحصر به فرد، متشکل از حروف لاتین و اعداد عربی به آن بدهید.
    • "حذف Sandbox". تمام فضای دیسک جدا شده اختصاص داده شده به یک جعبه ماسهبازی خاص را به همراه تمام داده های در حال اجرا در آن حذف می کند.
  2. با استفاده از دکمه مربوطه می توانید یک جعبه شنی جدید ایجاد کنید. به‌طور پیش‌فرض، تمام تنظیمات از جعبه‌های ماسه‌بازی که قبلاً ایجاد شده‌اند، منتقل می‌شوند که می‌توانید آن‌ها را مطابق با نیاز خود تنظیم کنید. علاوه بر این، فضای ایزوله جدید باید یک نام داده شود.
  3. کلیک کردن روی یک عنصر منوی زمینه "تنظیم پوشه ذخیره سازی"، می توانید مکان فضای ایزوله را انتخاب کنید. پیش فرض C:\Sandbox است.
  4. علاوه بر این، می توانید ترتیب نمایش جعبه های ماسه ای را پیکربندی کنید. صفحه نمایش استاندارد به ترتیب حروف الفبا است، برای تغییر آن، از آیتم منو استفاده کنید "تنظیم مکان و گروه ها".


مورد "سفارشی کردن"

همانطور که از نام آن پیداست، این آیتم منو وظیفه تنظیم برنامه را بر عهده دارد. این به شما امکان می دهد موارد زیر را پیکربندی کنید:

  • "هشدار راه اندازی برنامه". هنگام باز کردن در "جعبه ماسهبازی" برنامه های خاص انتخاب شده توسط کاربر، اعلان مربوطه دریافت می شود.
  • "ادغام در ویندوز اکسپلورر» . پنجره ای را با تنظیماتی برای راه اندازی برنامه ها از طریق منوی زمینه میانبر یا فایل اجرایی باز می کند.
  • "سازگاری برنامه". ممکن است همه برنامه ها با شما سازگار نباشند سیستم عاملو/یا محیط سندباکس با استفاده از این آیتم منو، تنظیمات سازگاری تنظیم می شود که به شما امکان می دهد برنامه های بیشتری را اجرا کنید.
  • با کنترل های پیکربندی مسدود کنید. در حال حاضر تنظیماتی برای کاربران با تجربه تر وجود دارد که برخی از آنها باید در قالب دستورات ویژه تنظیم شوند.


مزایا و معایب برنامه

این برنامه مزایای خود را دارد، اما بدون اشکال نیست.

مزایای

  • این برنامه از شهرت خوبی برخوردار است، زیرا توانست خود را به خوبی ثابت کند.
  • عناصر تنظیمات به راحتی قرار گرفته و نامگذاری شده اند، که حتی اجازه می دهد کاربر بی تجربهآنها را درک کنید؛
  • شما می توانید با تنظیم هر تنظیمات برای نوع خاصی از کار، تعداد نامحدودی "جعبه های ماسه ای" ایجاد کنید.
  • این برنامه کاملا به روسی ترجمه شده است.

ایرادات

  • رابط برنامه قدیمی است، اما این عملاً هیچ تأثیری بر قابلیت استفاده ندارد.
  • در این سندباکس امکان اجرای برنامه هایی که نیاز به نصب دارند وجود ندارد درایورهای اضافییا اجزای دیگر این مشکل فقط در Sandboxie نیست.

نحوه اجرای برنامه در sandbox

عملکرد برنامه را با استفاده از مثال راه اندازی در محیط خود برنامه دیگری که نرم افزار ناخواسته در فایل نصبی خود دارد در نظر بگیرید:

  1. ابتدا باید از سایت رسمی دانلود کنید فایل راه اندازیجعبه شنی.


  2. برنامه را نصب کن. در طول مراحل نصب هیچ چیز پیچیده ای وجود ندارد، فقط دستورالعمل های نصب کننده را دنبال کنید.
  3. پس از اتمام نصب، برنامه ای را که می خواهید در sandbox اجرا کنید انتخاب کنید. روی shortcut/execution آن کلیک راست کرده و گزینه را انتخاب کنید "دویدن در جعبه شنی".


  4. یک رابط باز می شود که در آن از شما خواسته می شود یک جعبه ایمنی را انتخاب کنید. اگر هیچ تنظیماتی در Sandboxie انجام نداده‌اید، انتخاب کنید "جعبه پیش فرض". با فرض اینکه چندین جعبه شنی برای نیازهای مختلف ایجاد کرده اید، یکی را انتخاب کنید که به بهترین وجه مناسب شرایط باشد.

  5. نصب برنامه انتخابی شروع می شود یا خود برنامه اگر قبلاً نصب شده باشد شروع می شود. از نصب در sandbox نترسید، زیرا هیچ عنصر مخربی نمی تواند فراتر از آن باشد. شما می توانید تعیین کنید که آیا یک برنامه/فایل در یک جعبه شنی در حال اجرا است یا خیر.


  6. پس از اتمام نصب برنامه، باید دریابید که چه چیزی در sandbox تغییر کرده است. برای انجام این کار، روی نماد Sandboxie که در آن قرار دارد کلیک کنید "داشبوردها".
  7. پنجره ای باز می شود که در آن می توانید میزان فضای برنامه نصب شده در فضای محدود و همچنین تعداد فایل ها و پوشه های ایجاد شده را مشاهده کنید.
  8. اگر همه چیز خوب است و اعتماد دارید برنامه نصب شده، می توانید با استفاده از دکمه آن را به فضای دیسک معمولی منتقل کنید "بازیابی به پوشه...".
  9. اگر به برنامه اعتمادی وجود ندارد، روی دکمه کلیک کنید "حذف Sandbox". تمام تغییرات ایجاد شده پاک خواهد شد.


بنابراین، شما ویژگی های اصلی برنامه Sandboxie را یاد گرفتید و همچنین نحوه استفاده از آن را درک کردید. این مقاله تمام گزینه های استفاده از برنامه را پوشش نداده است، اما این داده ها برای شما کافی است تا بتوانید برنامه خاصی را برای بدافزار/نرم افزارهای ناخواسته بررسی کنید.

بنابراین تصمیم گرفتیم به طور خلاصه به این موضوع بپردازیم.

در اصل، "جعبه شنی" یک منزوی است محیط نرم افزاربا منابع سخت محدود برای اجرا در آن محیط کد برنامه(به زبان ساده، برنامه راه اندازی می شود). به نوعی، "جعبه شنی" یک جعبه شنی است که برای جداسازی فرآیندهای مشکوک برای اهداف امنیتی طراحی شده است.

بخشی از آنتی ویروس های خوبو فایروال ها (اگرچه، به طور معمول، در نسخه پولی خود) بدون اطلاع شما از این روش استفاده می کنند، برخی به شما اجازه می دهند این عملکرد را مدیریت کنید (زیرا همچنان مصرف بیش از حد منابع را ایجاد می کند)، اما برنامه هایی نیز وجود دارد که به شما امکان می دهد چنین عملکردی را پیاده سازی کنید. .

امروز در مورد یکی از آنها صحبت خواهیم کرد.

متأسفانه، این نرم افزار اشتراکی است، اما همان دوره رایگان به شما کمک می کند تا این نوع ابزار را بهتر بشناسید، که شاید در آینده شما را به مطالعه دقیق تری سوق دهد، که در بیشتر موارد، در رایگانو گزینه های بیشتری را ارائه می دهد.

می توانید Sandboxie را از یا مثلاً دانلود کنید. نصب تقریباً ابتدایی است، به جز برای لحظه ای که باید درایور را نصب کنید (به تصویر زیر مراجعه کنید).

در این مرحله، بهتر است هر عنصر حفاظتی (یعنی همان آنتی ویروس ها و فایروال ها) را غیرفعال کنید، در غیر این صورت، اگر این مرحله ناموفق بود، و کامپیوتر متوقف شد، راه اندازی مجدد یا وارد شد، ممکن است لازم باشد به حالت ایمن بوت شوید و آن را حذف کنید. برنامه بدون امکان استفاده بیشتر .

پس از نصب، در واقع برنامه باید راه اندازی شود. این امکان وجود دارد که با اعلان نشان داده شده در بالا مواجه شوید. هیچ مشکلی با آن وجود ندارد، فقط روی "OK" کلیک کنید.

در مرحله بعد، از شما خواسته می شود دوره کوتاهدر مورد کار با برنامه، یا بهتر است بگوییم، آنها کمی در مورد نحوه عملکرد آن صحبت خواهند کرد. هر شش مرحله را ترجیحاً با مطالعه دقیق آنچه در دستورالعمل های ارائه شده به شما نوشته شده است، طی کنید.

به طور خلاصه، در واقع، شما می توانید هر برنامه ای را در یک محیط ایزوله اجرا کنید. در دستورالعمل ها، اگر آن را مطالعه کرده باشید، استعاره ای کاملاً خوب در مورد این موضوع ارائه شده است که در واقع سندباکس یک تکه کاغذ شفاف است که بین برنامه و رایانه قرار داده شده است و حذف محتویات sandbox تا حدودی مشابه است. برای دور انداختن یک ورق کاغذ استفاده شده و محتویات آن، که منطقی است، جایگزینی بعدی با یک کاغذ جدید.

نحوه راه اندازی و استفاده از برنامه sandbox

حالا بیایید سعی کنیم نحوه کار با آن را درک کنیم. برای شروع، می توانید مثلاً یک مرورگر را در جعبه شنی اجرا کنید. برای انجام این کار، در واقع یا از میانبری که روی دسکتاپ شما ظاهر می شود استفاده کنید یا از آیتم های منو در پنجره اصلی برنامه استفاده کنید: DefaultBox - اجرا در Sandbox - مرورگر وب را راه اندازی کنید"، یا اگر می خواهید مرورگری را راه اندازی کنید که به عنوان مرورگر پیش فرض در سیستم نصب نشده است، از " استفاده کنید هر برنامه ای را اجرا کنیدو مسیر مرورگر (یا برنامه) را مشخص کنید.

پس از آن، در واقع، مرورگر در "sandbox" راه اندازی می شود و شما فرآیندهای آن را در پنجره Sandboxie مشاهده خواهید کرد. از این لحظه به بعد، هر اتفاقی که می افتد، همانطور که بارها گفته شد، در یک محیط ایزوله رخ می دهد و به عنوان مثال، ویروسی که از کش مرورگر به عنوان عنصری برای نفوذ به سیستم استفاده می کند، در واقع واقعاً نمی تواند هر کاری انجام دهید، زیرا پس از اتمام کار با محیط ایزوله .. می توانید با بیرون انداختن برگه نوشته شده و رفتن به صفحه جدید (در حالی که به یکپارچگی رایانه دست نزنید) آن را پاک کنید. .

برای پاک کردن محتویات جعبه شنی (اگر به آن نیاز ندارید)، در پنجره اصلی برنامه یا در سینی (این جایی است که ساعت و نمادهای دیگر) از آیتم استفاده کنید. DefaultBox - حذف محتوا".

توجه! فقط قسمتی که در یک محیط ایزوله نوشته شده و کار کرده است حذف می شود، یعنی مثلاً خود مرورگر از رایانه حذف نمی شود بلکه به آن منتقل می شود.. mmm.. نسبتاً یک کپی از فرآیند ، حافظه پنهان ایجاد شده، داده های ذخیره شده (مانند فایل های دانلود شده/ایجاد شده) و غیره حذف می شوند اگر آنها را ذخیره نکنید.

برای درک بهتر اصل کار، سعی کنید مرورگر و سایر نرم افزارها را چندین بار در sandbox اجرا کنید و دانلود کنید فایل های مختلفو حذف/ذخیره محتوا پس از اتمام کار با همین سندباکس، و سپس، به عنوان مثال، راه اندازی همان مرورگر یا برنامه به طور مستقیم بر روی رایانه. باور کنید در عمل بهتر از آن چیزی که در کلمات قابل توضیح باشد، اصل را درک خواهید کرد.

به هر حال، با کلیک بر روی دکمه سمت راست ماوس روی یک فرآیند در لیست فرآیندهای پنجره Sandboxie، می توانید دسترسی به نوع متفاوتمنابع کامپیوتری برای دور زدن جعبه شنی با انتخاب " دسترسی به منابع".

به طور کلی، اگر می خواهید ریسک کنید و مثلا همان را بدهید گوگل کروم، دسترسی مستقیم به هر پوشه ای در رایانه داشته باشید، سپس می توانید آن را در برگه مربوطه انجام دهید ( دسترسی به فایل - مستقیم/ دسترسی کامل ) با استفاده از دکمه افزودن.

منطقی است که sandbox نه تنها و نه چندان برای کار با مرورگر و مرور انواع سایت های مشکوک، بلکه برای راه اندازی برنامه هایی که برای شما مشکوک به نظر می رسند (به ویژه، به عنوان مثال، در محل کار (جایی که اغلب) در نظر گرفته شده است. فایل های مشکوک را از ایمیل یا درایوهای فلش اجرا کنید) و/یا نباید به منابع اصلی رایانه دسترسی داشته باشد و/یا ردهای غیر ضروری را در آنجا باقی بگذارد.

اتفاقاً ممکن است دومی باشد عنصر خوببرای محافظت، به عنوان مثال برای راه اندازی برنامه ای که داده های آن باید به طور کامل ایزوله شده و پس از اتمام کار حذف شوند.

البته لازم نیست پس از اتمام، داده ها را از sandbox حذف کنید و با برخی از برنامه ها فقط در یک محیط ایزوله کار کنید (پیشرفت به خاطر سپرده می شود و امکان وجود دارد. بهبودی سریع)، اما این به شما بستگی دارد که آن را انجام دهید یا نه.

هنگامی که می خواهید برخی از برنامه ها را اجرا کنید، ممکن است با مشکل بالا مواجه شوید. از آن نترسید، برای شروع، کافی است به سادگی روی "OK" کلیک کنید و در آینده با استفاده از " تنظیمات sandbox را باز کنید. DefaultBox - تنظیمات Sandboxو در برگه "انتقال فایل" اندازه کمی بزرگتر را برای گزینه انتقال فایل تنظیم کنید.

ما اکنون در مورد تنظیمات دیگر صحبت نمی کنیم، اما اگر آنها مورد علاقه شما هستند، می توانید به راحتی با آنها مقابله کنید، زیرا همه چیز به زبان روسی است، بسیار واضح و در دسترس است.. خوب، اگر سوالی دارید، می توانید می توانید از آنها در نظرات مربوط به این ورودی بپرسید.

در سیم کارت، شاید بتوانید به بعد از آن بروید.

پس گفتار

اوه بله، ما تقریباً فراموش کردیم، البته، که sandbox مقدار بیشتری از منابع ماشین را مصرف می کند، زیرا بخشی از ظرفیت را گاز می گیرد (مجازی می کند)، که البته، باری ایجاد می کند که با راه اندازی مستقیم متفاوت است. اما، منطقا، امنیت و/یا حریم خصوصی ممکن است ارزشش را داشته باشد.

در ضمن، استفاده از sandboxing، chrooting یا مجازی سازی تا حدی به روش امنیتی بدون آنتی ویروس مرتبط است که ما .

در سیم کارت، شاید همه چیز. مثل همیشه، اگر شما هر گونه سوال، نظر، اضافات و غیره دارید، خوشحال می شوید که در مورد این پست نظر دهید.


این یک جعبه شنی است. بله :) یعنی برنامه ای که سیستم را از برنامه های در حال اجرا در آن جدا می کند. به عنوان مثال راه اندازی یک مرورگر در آن: ما قدم زدیم، فرض کنید، در مکان های گرم، ویروس ها را برداشتیم. آنتی ویروس چیزی را گرفت، چیزی را از دست داد. بدون سندباکس، باید تحت درمان قرار بگیرید و با استفاده از آن فقط باید مرورگر را ببندید. و همه چیز، همه ویروس ها در آن خواهند مرد. شچیکرنو؟ البته، به عنوان جایگزینی برای آنتی ویروس عمل نمی کند، زیرا جعبه شنی همه موارد دانلود و ذخیره شده از شبکه را بررسی نمی کند. فقط، به طور کلی، تغییرات ایجاد شده توسط برنامه در حال اجرا در آن را لغو می کند. خود Sandboxie پس از بستن مرورگر، فایل هایی را که دانلود کرده اید ذخیره می کند.
من اکنون یک جعبه شنی بزرگ برای کل سیستم دارم. با خراشیدن شلغم، تصمیم گرفتم با جعبه های شنی "کوچک" برای برنامه ها آشنا شوم. اولین برداشت از Sandboxie - هیچ چیز شبیه به آن نیست، هوشمندانه کار می کند، با "بزرگ" - Shadow Defender - sandbox تضادی ندارد. هیچ درگیری با Avira نیز وجود ندارد (من کل پوشه C:\Program Files\Sandboxie را به موارد استثنای Guard اضافه کردم). تحت محدودیت کاربر اجرا می شود (من ویندوز XP دارم). تنها نکته این است که امکان راه اندازی میلر در آن وجود نداشت. نه کاربر محدود و نه ادمین. همانطور که فهمیدم: برای این باید آن را بخرید. یا آن را دریابید. بدون خرید، به صورت کوتاه عمل می کند.
آشنایی بسیار سرپوشیده است، اما سعی می کنم توضیح دهم.

قبل از نصب غیر فعال کنید برنامه های حفاظتی. در حین نصب، تیک تمام نمادها را برداریم و فقط ایجاد یک گروه در منوی استارت باقی مانده است - نیازی به هیچ چیز اضافی نیست. بلافاصله پس از راه اندازی مجدد، کل پوشه C:\Program Files\Sandboxie را به موارد استثنای Avira Guard اضافه کردم. در CAV تا جایی که من یادم میاد این پوشه باید به Exclusion Rules اضافه بشه و همه چیز داخلش توسط Proactive Defense چک نشه. یا همه فایل های اجرایی (با پسوند "exe") را به برنامه های مورد اعتماد اضافه کنید ("فعالیت را بررسی نکنید" و "دسترسی به رجیستری را بررسی نکنید").

سپس یک sandbox جدید ایجاد می کنیم و مکان آن را تنظیم می کنیم. به طور پیش فرض، Sandboxie پوشه ای با همین نام در ریشه درایو ایجاد می کند. یک سندباکس پیش فرض ایجاد می کند. این یک آشفتگی است. پس از ایجاد یک پوشه جدید، کل پوشه را حذف کنید.
یک مکان جدید برای sandbox تنظیم کنید. برای اینکه زیاد صعود نکنم، جای جدیدی در اسناد من به او اختصاص دادم. Start - All Programs - Sandboxie - Manage Sandboxie - Sandbox - Set Storage Folder. آدرس مکان جدید باید به صورت دستی وارد شود، هیچ نمای کلی وجود ندارد، وارد کنید: C:\Documents and Settings\User_Nickname\My Documents (فراموش نکنید که "User_Nick" را به نام کاربری که در Explorer مشخص شده است تغییر دهید). UPD: مسیرها را تغییر داد، زیرا. اکنون دو جعبه شنی وجود دارد و من تصمیم گرفتم آنها را در یک پوشه جداگانه نگه دارم. آن ها مسیر اکنون این است: C:\Documents and Settings\User_Nickname\My Documents\SAND_boxie.
سپس یک مورد جدید ایجاد می کنیم: Start - All Programs - Sandboxie - Manage Sandboxie - Sandbox - Create a new sandbox. نامی را در کادر وارد کنید. احتمالا با حروف وارداتی بهتر است. ایجاد شده. اکنون روی پیش فرض کلیک راست کرده و آن را حذف کنید.
باقی مانده است که پوشه Sandboxie موجود در درایو C را حذف کنید. روی Start - Explorer راست کلیک کنید. به دنبال پوشه ای در سمت چپ بگردید. روی آن کلیک راست کنید - Delete.

بیایید برنامه و جعبه شنی را تنظیم کنیم. دوباره به مدیریت Sandboxie - Customize می رویم.

هشدار راه اندازی برنامه من یک هشدار در مورد راه اندازی مرورگرها و ایمیل هایی که اجازه دسترسی به اینترنت را ندارند تنظیم کردم. اگر از کلینیک رنج نمی برید، پس نیازی به نشان دادن چیزی ندارید.

ادغام در پوسته ویندوز. به این صورت است: من اجازه ندادم با ویندوز بوت شود - چرا سیستم را بارگیری کنید. در صورت لزوم، می توانید آن را از منوی Start نیز اجرا کنید.
من واقعاً آیکون های اضافی نمی خواهم، تصمیم گرفتم برنامه ها را از طریق منوی زمینه راه اندازی کنم (روی میانبر برنامه در حال راه اندازی کلیک راست کنید). اما Sandboxie چنین ویژگی را دارد - تا زمانی که Sandboxie Control (نماد سینی) بارگیری شود، هیچ چیز کار نخواهد کرد و برنامه قسم می خورد. دم دوم را قرار دهید.
برچسب ها واضح هستند.
اما من مواردی را به منوی زمینه اضافه کردم. آن ها برنامه (فایل) را می توان از میانبر راه اندازی کرد. و شما می توانید این کار را به این طریق انجام دهید - مدیریت Sandboxie را اجرا کنید و میانبر (یا فایل) را بگیرید و در حالی که دکمه ماوس را نگه داشته اید، آنها را به داخل بکشید. پنجره بازبرنامه ها:

سازگاری برنامه اینجا خالیه پس عکس ندارم و سپس همه چیز هنوز مشخص نیست، به جز مورد "یادداشت ها". هنگامی که راحت شدید، گزینه "Hide All Notes" را انتخاب کنید تا از پاپ آپ های غیر ضروری جلوگیری کنید.

حالا بیایید به راه اندازی سندباکس برویم. Sandbox - نام - تنظیمات Sandbox:

چنین داستانی وجود دارد - Sandboxie پس از بستن برنامه در حال اجرا در آن، پیشنهاد می کند فایل هایی را که در یک پوشه خاص ظاهر شده اند "برای استفاده" ذخیره کند. یعنی فرض کنید فایلی را از اینترنت با مرورگر در حال اجرا در sandbox دانلود کردم (و همه برنامه‌های من فایل‌ها را فقط در My Documents \ Yazagruz ذخیره می‌کنند)، مرورگر را بستم - پنجره‌ای ظاهر می‌شود که از شما می‌خواهد فایل دانلود شده را دوباره ذخیره کنید (یعنی بردارید). آن را از جعبه های شنی خارج می کند)، زیرا سندباکس آن را پاک می کند. بنابراین اینجا مکانی است که Sandboxie فایل‌ها را برای ذخیره ردیابی می‌کند. من اینطور دارم:

یک راهنمای کوچک در مورد نحوه صرفه جویی فایل های مورد نیاز. وقتی پنجره ذخیره ظاهر شد، سپس:
1. یک فایل (یک به یک) را انتخاب کنید.
2. محل انتقال فایل را از جعبه شنی انتخاب کنید. یا در همان پوشه ای که برنامه فایل را ذخیره کرده است (من یازاگروز دارم).
3. یا به پوشه ای دیگر (در شکل دوباره یازاگروز را انتخاب کردم).
4. اگر چیز دیگری برای انتقال وجود ندارد، یا نمی‌خواهید ذخیره کنید، جعبه سند را حذف کنید:

نکته دیگر: "شما نمی خواهید ذخیره کنید" - به این معنی است که فایل دانلود شده را می توان در جعبه ماسه ای مشاهده کرد و سپس به همراه آن حذف کرد:

"برنامه های اصلی"، همانطور که من متوجه شدم، به گونه ای مشخص شده اند که پس از بسته شدن، همه برنامه های راه اندازی شده توسط آنها از کار بیفتند. من با مرورگرها از جعبه شنی عبور کردم و آنها را آوردم (یعنی همراه با مرورگر، فرض کنید فایرفاکس، افزونه ها و برنامه های افزودنی هنوز در حال اجرا هستند (عکس بزرگ). یا شاید در حین گشت و گذار چیزی برداشته باشید. فایرفاکس بسته می شود، Sandboxie بسته می شود و تمام برنامه هایی که اجرا می کند):

باز هم فقط مرورگرها مجاز هستند:

خوب، آخرین پنجره - دسترسی به منابع. من به عنوان یک کاربر محدود، دسترسی فقط خواندنی کار می کنم
برای پوشه های مشخص شده و غیره وجود دارد. برای بیمه آورده شد. تحت سرپرست، فایل های برنامه را ببندید، شاید این کار را نکنید. اما این با روش علمی مشخص می شود.

به هر حال، اگر پوشه هایی با اطلاعات بسیار شخصی وجود دارد، می توانید آنها را ببندید - دسترسی را مسدود کنید.
همانطور که گفتم امکان راه اندازی میلرها در sandbox وجود نداشت. در نسخه رایگان و برنامه های چند پنجره ای (بازی) کار نکنید. اما اجرای حداقل یک مرورگر در آن کمک زیادی به آنتی ویروس در تضمین امنیت می کند.

چیزی شبیه به این.

UPD: طبیعتاً من نتوانستم مقاومت کنم و روند استفاده از Sandboxie را کمی خودکار کردم. برای اینکه با ماوس راست روی میانبر کلیک نکنم، کمی ویژگی های میانبر را اصلاح کردم تا برنامه به روش معمول در sandbox شروع شود. آن ها با دوبار کلیک کردن روی تب
دستور پرتاب را از آن کم کرد خط فرماناینجا: http://www.sandboxie.com/index.php?Start CommandLine

در همه اشکال، پارامتر /box:SandboxName قابل اعمال است، و ممکن است بین Start.exe و پارامتر مشخص شود تا نام جعبه ایمنی غیر از پیش فرض DefaultBox را نشان دهد. مثلا:

به عنوان مثال راه اندازی IE:

1. هنگام تغییر دستور در قسمت "Object"، آیکون نیز در ویژگی های میانبر ناپدید می شود. این خوب نیست. بنابراین، قبل از عملیات، به جایی که نماد در ابتدا قرار دارد نگاه می کنیم: روی میانبر IE کلیک راست کنید - Properties - Change icon:

آنچه را در زیر "به دنبال نماد در فایل زیر بگردید" می بینیم: %ProgramFiles%\ اینترنت اکسپلورر\iexplore.exe. مسیر را در Notepad به خاطر می آوریم یا یادداشت می کنیم. Notepad برای ما بسیار مفید است، نیازی به بستن آن نداریم. لغو کنید.

2. خواص برچسب برای ما باز می ماند. مسیر راه اندازی را از قسمت "Object" کپی کنید: "C:\Program Files\Internet Explorer\iexplore.exe" و آن را در Notepad قرار دهید:

3. حالا دستور اجرای برنامه ها را در sandbox در نظر بگیرید:
"C:\Program Files\Sandboxie\Start.exe" /box:TestBox run_dialog

"C:\Program Files\Sandboxie\Start.exe" - دستور پاک کردن برای شروع جعبه شنی
/box:TestBox - نشان می دهد که برنامه باید نه در جعبه پیش فرض، بلکه در یکی دیگر اجرا شود. و من یکی دیگر دارم - Pesochniza_1. باید: /box:Pesochniza_1 باشد
run_dialog - این دستور را با مسیر کپی شده از فیلد "Object" جایگزین کنید: "C:\Program Files\Internet Explorer\iexplore.exe"

در Notepad، ما در حال آماده سازی یک دستور جدید برای درج در قسمت "Object" هستیم:

"C:\Program Files\Sandboxie\Start.exe" /box:Pesochniza_1 "C:\Program Files\Internet Explorer\iexplore.exe"

4. اکنون کل این خط را کپی می کنیم و با حذف آنچه نوشته شده است، آن را در قسمت "Object" قرار می دهیم:

درخواست - خوب

5. اگر همه چیز خوب پیش رفت، آیکون میانبر به نماد Sandboxie تغییر می کند (در برخی از برنامه ها به همان شکل باقی می ماند. مثلاً در فایرفاکس). به استاندارد تغییر دهید. ما مسیر را به خاطر می آوریم :) دوباره روی میانبر - Properties - Change icon - Browse کلیک راست کنید. بعدی: My Computer - Drive (C) - Program Files - Internet Explorer - iexplore.exe - Open:

کدام را دوست دارید انتخاب کنید. درخواست - خوب. ما سعی می کنیم IE را راه اندازی کنیم. لذت میبریم :)))
اگر می‌خواهید IE را بدون سندباکس اجرا کنید، می‌توانید از منوی Start نیز این کار را انجام دهید.

UPD2:یک معامله کوچک با پست کننده. با کد خطا لینک های مفید:

برای خفاش! یک سندباکس جدید با همان تنظیمات ایجاد کرد. فقط خفاش اضافه شد! اینجا:

و در اینجا من یک پوشه اضافه کردم که در آن به صورت دستی نامه های The Bat را ذخیره می کنم! آن ها پنجره ای که برای ذخیره فایل ها پیشنهاد شده است ظاهر نمی شود و تمام نامه های دریافتی به طور خودکار از بین می روند. و اگر در خفاش! روی حرف راست کلیک کرده و "Save to file" را انتخاب کنید و محل ذخیره را که در این پنجره مشخص شده است مشخص کنید، سپس در آنجا ذخیره می شود. و هیچ جای دیگر. هیچ چی :)

یک به روز رسانی کوچک: من کامپیوتر را کمی بیشتر عذاب دادم - همانطور که فهمیدم، این پنجره مکانی را تعیین می کند که تغییرات اعمال نمی شوند. آن ها استثناهای حفاظتی اگر در اینجا محل خفاش را مشخص کنید! اطلاعات را ذخیره می کند (C:\Documents and Settings\Username\Application Data\The Bat!، پوشه پنهان است)، سپس حروف از بین نخواهند رفت. اما چنین محافظتی نیز معنایی ندارد.

UPD 3:آزمایش‌های بیشتر - حقوق محدود. در یک حساب محدود، آنها قبلاً انتخاب شده اند، اما فقط در مورد. از تجربه برقراری ارتباط با DropMyRights، هرچند مدت‌ها پیش، ممکن است اسکریپت‌ها اجرا نشوند و فلش پخش نشود. و چیز دیگری که قبلاً فراموش کرده بودم. اما تنظیم مفید است. این قانون را در همه جعبه های ماسه ای پذیرفته است. من نمی توانم در IE چک کنم، زیرا من آن را مسدود کرده ام، پس خودتان آن را امتحان کنید. در فایرفاکس و بیبیزیان فلش درایوها پخش می شوند، می توانید در لایو ژورنال بنویسید، اگر این قانون را با IE دوست ندارید، می توانید یک سندباکس جداگانه برای آن ایجاد کنید. برنامه بسیار مفید :)

UPD 4:بسیاری از سندباکس ها نیز بد هستند - در نسخه رایگان، بسیاری از جعبه های ماسه ای به طور همزمان کار نمی کنند. اگر می خواهید چندین برنامه را همزمان در یک سندباکس اجرا کنید، باید آنها را در همان جعبه شنی اجرا کنید. بله، فراموش نکنید که آنها را به محدودیت ها - دسترسی به اینترنت اضافه کنید.

دو راه اصلی برای اجرای ایمن یک فایل اجرایی مشکوک وجود دارد: تحت یک ماشین مجازی یا در یک به اصطلاح "sandbox" (sandbox). علاوه بر این، مورد دوم را می توان با استفاده از روشی زیبا برای تجزیه و تحلیل فایل آنلاین، بدون توسل به ابزارهای تخصصی و خدمات آنلاین و بدون استفاده از منابع زیادی، مانند یک ماشین مجازی، تطبیق داد. من می خواهم در مورد او به شما بگویم.

هشدار

استفاده نادرست از تکنیک توصیف شده می تواند به سیستم آسیب برساند و منجر به عفونت شود! مراقب و مراقب باشید.

"Sandbox" برای تجزیه و تحلیل

افرادی که با امنیت کامپیوتر سر و کار دارند با مفهوم "جعبه شنی" بسیار آشنا هستند. به طور خلاصه، sandbox یک محیط آزمایشی است که یک برنامه خاص در آن اجرا می شود. در عین حال، کار به گونه ای تنظیم شده است که تمام اقدامات برنامه، همه، پیگیری می شود فایل های قابل تغییرو تنظیمات ذخیره می شوند، اما در سیستم واقعی هیچ اتفاقی نمی افتد. به طور کلی، شما می توانید هر فایلی را با اطمینان کامل اجرا کنید که به هیچ وجه بر عملکرد سیستم تاثیری نخواهد گذاشت. چنین ابزارهایی را می توان نه تنها برای اطمینان از امنیت، بلکه برای تجزیه و تحلیل اقدامات بدافزاری که پس از راه اندازی انجام می دهد، استفاده کرد. با این حال، اگر قبل از شروع عملیات فعال، یک بازیگر از سیستم و یک تصویر از آنچه در "جعبه شنی" اتفاق افتاده وجود داشته باشد، می توانید به راحتی تمام تغییرات را دنبال کنید.

البته، بسیاری از خدمات آنلاین آماده در وب وجود دارد که تجزیه و تحلیل فایل را ارائه می دهند: Anubis، CAMAS، ThreatExpert، ThreatTrack. چنین خدماتی از رویکردهای مختلفی استفاده می کنند و مزایا و معایب خاص خود را دارند، اما معایب اصلی مشترک را می توان شناسایی کرد:

شما باید به اینترنت دسترسی داشته باشید. لازم است منتظر صف در فرآیند پردازش (در نسخه های رایگان) باشید. به طور معمول، فایل هایی که در زمان اجرا ایجاد یا اصلاح می شوند ارائه نمی شوند. امکان کنترل گزینه های اجرا (در نسخه های رایگان) وجود ندارد. تداخل در فرآیند راه اندازی غیرممکن است (به عنوان مثال، روی دکمه های پنجره هایی که ظاهر می شوند کلیک کنید). به طور کلی نمی توان کتابخانه های خاص مورد نیاز برای اجرا (در نسخه های رایگان) را فراهم کرد. به عنوان یک قاعده، فقط فایل های PE قابل اجرا تجزیه و تحلیل می شوند.

این خدمات معمولا بر اساس ماشین های مجازیبا ابزارهای نصب شده، تا دیباگرهای هسته. آنها همچنین می توانند در خانه سازماندهی شوند. با این حال، این سیستم ها از نظر منابع کاملاً نیاز دارند و مقدار زیادی از فضای هارد دیسک را اشغال می کنند و تجزیه و تحلیل گزارش های دیباگر زمان زیادی را می طلبد. این بدان معنی است که آنها در مطالعه عمیق نمونه های خاص بسیار موثر هستند، اما بعید است در کارهای معمولی مفید باشند، زمانی که هیچ راهی برای بارگیری منابع سیستم و اتلاف زمان برای تجزیه و تحلیل وجود ندارد. استفاده از "جعبه ماسهبازی" برای تجزیه و تحلیل به شما امکان می دهد بدون هزینه های منابع عظیم انجام دهید.

یکی دو تا هشدار

امروز ما سعی خواهیم کرد آنالایزر مبتنی بر سندباکس خودمان را بسازیم، یعنی ابزار Sandboxie. این برنامه به عنوان نرم افزار اشتراک گذاری در وب سایت نویسنده www.sandboxie.com موجود است. برای مطالعه ما، محدود است نسخه رایگان. برنامه برنامه ها را در یک محیط ایزوله اجرا می کند تا تولید نشوند تغییرات مخربدر یک سیستم واقعی اما دو نکته در اینجا وجود دارد:

  1. Sandboxie فقط به شما امکان می دهد برنامه ها را در سطح حالت کاربر ردیابی کنید. تمام فعالیت کدهای مخرب در حالت هسته ردیابی نمی شود. بنابراین، حداکثر چیزی که می توان در هنگام مطالعه روت کیت ها یاد گرفت، نحوه ورود بدافزار به سیستم است. متأسفانه، تجزیه و تحلیل خود رفتار در سطح حالت هسته غیرممکن است.
  2. بسته به تنظیمات، Sandboxie می‌تواند دسترسی به شبکه را مسدود کند، اجازه دسترسی کامل یا دسترسی را فقط برای برخی برنامه‌ها بدهد. واضح است که اگر بدافزار برای راه اندازی عادی نیاز به دسترسی به اینترنت داشته باشد، باید ارائه شود. از طرف دیگر، اگر Pinch را روی درایو فلش خود دارید که راه‌اندازی می‌شود، تمام رمزهای عبور سیستم را جمع‌آوری می‌کند و آنها را به ftp برای مهاجم می‌فرستد، Sandboxie با دسترسی به اینترنت باز از شما در برابر از دست دادن محافظت نمی‌کند. اطلاعات محرمانه! این بسیار مهم است و باید به خاطر داشت.

راه اندازی اولیه Sandbox

Sandboxie یک ابزار عالی با گزینه های سفارشی سازی زیادی است. من فقط به مواردی از آنها اشاره می کنم که برای وظایف ما ضروری است.

پس از نصب Sandboxie، یک سندباکس به طور خودکار ایجاد می شود. می توانید چند جعبه شنی دیگر را در زیر اضافه کنید وظایف مختلف. تنظیمات Sandbox از طریق منوی زمینه قابل دسترسی هستند. به عنوان یک قاعده، تمام پارامترهای قابل تغییر به اندازه کافی ارائه می شوند توصیف همراه با جزئیاتدر روسی. گزینه های ذکر شده در بخش های Recovery، Uninstall و Restrictions برای ما اهمیت ویژه ای دارند. بنابراین:

  1. باید مطمئن شوید که چیزی در بخش "بازیابی" ذکر نشده باشد.
  2. در بخش "حذف"، هیچ گونه چک باکس و/یا پوشه و برنامه اضافه شده علامت گذاری نشده باشد. اگر پارامترها به اشتباه در بخش های مشخص شده در پاراگراف 1 و 2 تنظیم شوند، ممکن است منجر به این واقعیت شود که کد مخربسیستم را آلوده می کند یا تمام داده های مورد تجزیه و تحلیل از بین می رود.
  3. در بخش "محدودیت ها" باید تنظیماتی را انتخاب کنید که با وظایف شما مطابقت دارد. تقریباً همیشه محدود کردن دسترسی ضروری است سطح پایینو استفاده از سخت افزار برای تمامی برنامه های اجرایی برای جلوگیری از آلوده شدن سیستم روت کیت ها. اما برعکس، نباید دسترسی به راه اندازی و اجرا و همچنین سلب حقوق را محدود کنید، در غیر این صورت کد مشکوک در یک محیط غیر استاندارد اجرا می شود. با این حال، همه چیز، از جمله در دسترس بودن دسترسی به اینترنت، به کار بستگی دارد.
  4. برای وضوح و راحتی، در بخش "رفتار"، توصیه می شود گزینه "نمایش حاشیه اطراف پنجره" را فعال کنید و رنگی را برای برجسته کردن برنامه های در حال اجرا در یک محیط محدود انتخاب کنید.

ما افزونه ها را به هم وصل می کنیم

با چند کلیک، ما یک محیط ایزوله عالی برای اجرای ایمن کد دریافت کردیم، اما نه ابزاری برای تجزیه و تحلیل رفتار آن. خوشبختانه نویسنده Sandboxie امکان استفاده از تعدادی افزونه را برای برنامه خود فراهم کرده است. مفهوم بسیار جالب است. افزونه ها کتابخانه های پویایی هستند که در یک فرآیند sandbox تعبیه شده اند و اجرای آن را به روشی خاص ثبت یا تغییر می دهند.

ما به چند پلاگین نیاز داریم که در زیر لیست شده است.

  1. SBIExtra. این افزونه تعدادی از توابع را برای برنامه ای که در جعبه ماسهبازی اجرا می شود قطع می کند تا ویژگی های زیر را مسدود کند:
    • بررسی اجمالی فرآیندها و موضوعات اجرایی؛
    • دسترسی به فرآیندهای خارج از sandbox؛
    • فراخوانی تابع BlockInput (ورودی صفحه کلید و ماوس)؛
    • خواندن عناوین ویندوزهای فعال
  2. آنتی دل. افزونه توابع مسئول حذف فایل ها را قطع می کند. بنابراین، تمام فایل های موقت، دستور حذف از آن می آید کد منبع، همچنان در جای خود باقی مانده است.

چگونه آنها را در sandbox ادغام کنیم؟ از آنجایی که این مورد توسط رابط Sandboxie ارائه نشده است، باید فایل پیکربندی را به صورت دستی ویرایش کنید. یک پوشه Plugins ایجاد کنید و تمام افزونه های آماده شده را در آن باز کنید. اکنون توجه کنید: Buster Sandbox Analyzer شامل چندین کتابخانه با نام مشترک LOG_API*.dll است که می توانند به فرآیند تزریق شوند. دو نوع کتابخانه وجود دارد: Verbose و Standard. اولین نمایش عملا لیست کامل تماس های APIاجرا شده توسط برنامه، از جمله دسترسی به فایل ها و رجیستری، دوم یک لیست کوتاه شده است. کوچک کردن به شما امکان می دهد سرعت کار را افزایش دهید و لاگ را کاهش دهید، که سپس باید تجزیه و تحلیل شود. من شخصاً از سیاهههای مربوط بزرگ نمی ترسم، اما می ترسم که برخی از اطلاعات ضروری با دقت "کاهش" یابد، بنابراین Verbose را انتخاب می کنم. این کتابخانه است که ما تزریق خواهیم کرد. برای اینکه بدافزار نتواند تزریق یک کتابخانه را با نام خود تشخیص دهد، ساده‌ترین احتیاط را اعمال می‌کنیم: نام LOG_API_VERBOSE.dll را به چیز دیگری، به عنوان مثال، LAPD.dll تغییر دهید.


اکنون در پنجره اصلی Sandboxie، "Configure -> Edit Configuration" را انتخاب کنید. یک پیکربندی متن با تمام تنظیمات برنامه باز می شود. به خطوط زیر توجه کنید:

  • پارامتر FileRootPath در قسمت مسیر مشترک پوشه sandbox را مشخص می کند، که پوشه ای است که همه فایل های sandbox در آن قرار می گیرند. برای من، این پارامتر شبیه FileRootPath=C:\Sandbox\%SANDBOX است، ممکن است برای شما متفاوت باشد.
  • این بخش برای ما جالب نیست - از آن می گذریم و بیشتر پیمایش می کنیم.
  • سپس بخشی می آید که نام آن با نام جعبه شنی یکی است (بگذارید BSA باشد). ما افزونه‌ها را در اینجا اضافه می‌کنیم: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD. dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

مسیرها البته ممکن است متفاوت باشد. اما ترتیب کتابخانه های تزریقی باید دقیقاً همین باشد! این نیاز به این دلیل است که رهگیری توابع باید به ترتیب مشخص شده انجام شود، در غیر این صورت پلاگین ها کار نخواهند کرد. برای اعمال تغییرات، در پنجره اصلی Sandboxie: "Configure -> Reload Configuration" را انتخاب کنید.

حالا بیایید خود افزونه Buster Sandbox Analyzer را پیکربندی کنیم.

  1. افزونه را به صورت دستی با استفاده از فایل bsa.exe از پوشه Plugins اجرا کنید.
  2. "Options -> Analysis mode -> Manual" و سپس "Options -> Program Options -> Windows Shell Integration -> Add-click right action "Run BSA" را انتخاب کنید.

اکنون همه چیز برای کار آماده است: "جعبه ماسه ای" ما در سیستم یکپارچه شده است.

نسخه قابل حمل سندباکس

البته، بسیاری از این واقعیت خوششان نمی آید که شما نیاز به نصب، پیکربندی و غیره دارید. از آنجایی که همه اینها برای من جذاب نیست، من یک نسخه قابل حمل از ابزار را ساختم که می تواند بدون نصب و پیکربندی مستقیماً از یک برنامه اجرا شود. فلش درایو USB. می‌توانید این نسخه را از اینجا دانلود کنید: tools.safezone.cc/gjf/Sandboxie-portable.zip. برای راه اندازی سند باکس کافی است اسکریپت start.cmd را اجرا کنید و در پایان کار اجرای اسکریپت stop.cmd را فراموش نکنید که درایور و تمامی اجزاء را به طور کامل از حافظه تخلیه می کند و همچنین ذخیره می کند. تغییرات ایجاد شده در حین کار در پرتابل

تنظیمات زیادی برای خود پورتابلیزر وجود ندارد: کار آن عمدتاً بر اساس دستکاری فایل Sandboxie.ini.template واقع در پوشه Templates است. در واقع این فایل یک فایل تنظیمات Sandboxie است که به درستی پردازش شده و به برنامه منتقل می شود و پس از اتمام آن دوباره به Templates بازنویسی می شود. اگر این فایل را با Notepad باز کنید، بعید است که چیز جالبی پیدا کنید. حتماً به الگوی $(InstallDrive) که در تعدادی از پارامترهای مسیر تکرار می شود توجه کنید. ما به خصوص به پارامتر FileRootPath علاقه مند هستیم. اگر به این شکل است:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

سپس جعبه‌های سند بر روی دیسکی که Sandboxie قابل حمل در آن قرار دارد ایجاد می‌شود. اگر پارامتر به این شکل باشد، برای مثال:

FileRootPath=C:\Sandbox\%SANDBOX%

به عبارت دیگر، یک درایو سیستمی خاص را مشخص می کند، سپس جعبه های سند روی این درایو ایجاد می شود.

من شخصاً توصیه می کنم همیشه در درایوهای محلی سندباکس ایجاد کنید. این کار کار ابزار را سرعت می بخشد و هنگامی که از یک درایو فلش USB راه اندازی می شود، سرعت آن با دستورات بزرگی افزایش می یابد. اگر آنقدر از پارانویا رنج می برید که می خواهید همه چیز را در رسانه مورد علاقه خود که نزدیک قلب خود دارید اجرا و تجزیه و تحلیل کنید، می توانید پارامتر را تغییر دهید، اما حداقل بعد از آن از قابل حمل استفاده کنید. دیسک های سختتا همه چیز بی خدا کند نشود.

استفاده عملی

بیایید ابزار خود را روی یک تهدید واقعی امتحان کنیم. به طوری که هیچ کس مرا به دلیل تقلب سرزنش نکرد، من یک کار ساده انجام دادم: به www.malwaredomainlist.com رفتم و آخرین موردی را که در زمان نوشتن در آنجا ظاهر شد را دانلود کردم. معلوم شد که یک فایل pp.exe زیبا از برخی سایت های آلوده است. این نام به تنهایی امیدهای زیادی را القا می کند، علاوه بر این، آنتی ویروس من بلافاصله سر این فایل فریاد زد. به هر حال، تمام دستکاری های ما به بهترین وجه با خاموش بودن آنتی ویروس انجام می شود، در غیر این صورت خطر مسدود کردن / حذف چیزی از آنچه در حال تحقیق هستیم وجود دارد. چگونه رفتار یک باینری را مطالعه کنیم؟ کافیست روی این فایل کلیک راست کرده و از منوی کشویی Run BSA را انتخاب کنید. پنجره Buster Sandbox Analyzer باز می شود. ما به دقت به پوشه Sandbox خط نگاه می کنیم تا بررسی کنیم. همه پارامترها باید با پارامترهایی مطابقت داشته باشند که هنگام راه اندازی Sandboxie مشخص کردیم، یعنی اگر جعبه ایمنی BSA نام داشت و پارامتر FileRootPath=C:\Sandbox\%SANDBOX% به عنوان مسیر پوشه تنظیم شده بود، پس همه چیز باید به این صورت باشد. روی اسکرین شات اگر چیزهای زیادی در مورد انحرافات می دانید و نام جعبه شنی را متفاوت می دانید یا پارامتر FileRootPath را روی درایو یا پوشه دیگری تنظیم می کنید، باید آن را مطابق با آن تغییر دهید. در غیر این صورت، Buster Sandbox Analyzer نمی داند کجا برای فایل های جدید و تغییرات رجیستری جستجو کند.


BSA شامل تنظیمات زیادی برای تجزیه و تحلیل و مطالعه فرآیند اجرای باینری تا رهگیری است. بسته های شبکه. با خیال راحت دکمه Start Analysis را فشار دهید. پنجره به حالت تحلیل تغییر می کند. اگر جعبه شنی انتخاب شده برای تجزیه و تحلیل به دلایلی حاوی نتایج یک مطالعه قبلی باشد، ابزار ابتدا پیشنهاد می کند آن را پاک کند. همه چیز برای راه اندازی پرونده در دست بررسی آماده است.

آماده؟ سپس بر روی فایل مورد مطالعه کلیک راست کرده و در منوی باز شده گزینه Run in sandbox را انتخاب کنید، سپس "sandbox" را که BSA را به آن متصل کرده ایم، مشخص کنید.

بلافاصله پس از آن، تماس های API در پنجره تحلیلگر اجرا می شود که در فایل های گزارش ثبت می شود. لطفا توجه داشته باشید که Buster Sandbox Analyzer خود نمی داند که تجزیه و تحلیل فرآیند چه زمانی کامل می شود، در واقع کلیک شما بر روی دکمه Finish Analysis به عنوان یک سیگنال برای پایان عمل می کند. چگونه می دانید که زمان آن فرا رسیده است؟ ممکن است دو گزینه وجود داشته باشد.

  1. هیچ فرآیند در حال اجرا در پنجره Sandboxie نشان داده نمی شود. این بدان معناست که اجرای برنامه صراحتاً خاتمه یافته است.
  2. در لیست تماس های API برای مدت طولانیهیچ چیز جدیدی ظاهر نمی شود یا برعکس، همان چیز در یک توالی چرخه ای نمایش داده می شود. در همان زمان، چیز دیگری در پنجره Sandboxie در حال اجرا است. این اتفاق می افتد اگر برنامه برای اجرای مقیم پیکربندی شده باشد یا به سادگی هنگ شود. در این حالت، ابتدا باید با کلیک راست بر روی sandbox مربوطه در پنجره Sandboxie و انتخاب End Programs به صورت دستی خاتمه داده شود. به هر حال، هنگام تجزیه و تحلیل pp.exe من، دقیقاً این وضعیت رخ داد.

پس از آن، می توانید با خیال راحت Finish Analysis را در پنجره Buster Sandbox Analyzer انتخاب کنید.


تجزیه و تحلیل رفتار

با کلیک بر روی دکمه Malware Analyzer بلافاصله اطلاعات خلاصه ای از نتایج مطالعه بدست می آوریم. در مورد من، مخرب بودن فایل کاملا مشهود بود: در حین اجرا، فایل C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe ایجاد و راه اندازی شد که به بارگذاری خودکار اضافه شد (به هر حال، این بود. او که نمی خواست خودش را خاتمه دهد)، با 190.9.35.199 ارتباط برقرار شد و فایل هاست اصلاح شد. به هر حال، در همان زمان، تنها پنج موتور ضد ویروس فایل را در VirusTotal شناسایی کردند، همانطور که از گزارش ها و همچنین در وب سایت VirusTotal مشاهده می شود.


تمام اطلاعات مربوط به نتایج تجزیه و تحلیل را می توان مستقیماً از منوی Viewer در پنجره Buster Sandbox Analyzer مشاهده کرد. گزارش تماس API نیز در اینجا قرار داده شده است که مطمئناً در تحقیقات دقیق مفید خواهد بود. همه نتایج به عنوان ذخیره می شود فایل های متنیدر زیر پوشه Reports پوشه Buster Sandbox Analyzer. گزارش Report.txt (که از طریق View Report فراخوانی می‌شود)، که اطلاعات گسترده‌ای را در مورد همه فایل‌ها ارائه می‌کند، مورد توجه خاص است. از آنجاست که می آموزیم که فایل های موقت واقعاً قابل اجرا بودند، اتصال به http://190.9.35.199/view.php?rnd=787714 رفت، بدافزار یک mutex خاص G4FGEXWkb1VANr و غیره ایجاد کرد. شما نه تنها می توانید مشاهده کنید. گزارش می دهد، بلکه تمام فایل های ایجاد شده در حین اجرا را نیز استخراج می کند. برای انجام این کار، در پنجره Sandboxie، روی "sandbox" کلیک راست کرده و "View Contents" را انتخاب کنید. یک پنجره کاوشگر با تمام محتویات جعبه ایمنی ما باز می شود: پوشه درایو حاوی فایل هایی است که روی دیسک های فیزیکی جعبه ایمنی ایجاد شده اند و پوشه کاربر حاوی فایل هایی است که در نمایه ایجاد شده اند. کاربر فعال(٪مشخصات کاربر٪). در اینجا من dplaysvr.exe را با کتابخانه dplayx.dll، فایل های موقت tmp و اصلاح شده پیدا کردم. فایل میزبان. به هر حال، معلوم شد که خطوط زیر به آن اضافه شده است:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

به خاطر داشته باشید که فایل های آلوده در جعبه شنی قرار دارند. اگر به طور تصادفی آنها را با دوبار کلیک راه اندازی کنید، هیچ اتفاقی نمی افتد (آنها در sandbox راه اندازی می شوند)، اما اگر آنها را در جایی کپی کنید و سپس آنها را اجرا کنید ... هوم، خوب، ایده را دریافت می کنید. در اینجا، در پوشه، می توانید یک Dump رجیستری را که در حین کار تغییر کرده است، در قالب یک فایل RegHive پیدا کنید. این فایل را می توان به راحتی با استفاده از اسکریپت دستور زیر به یک فایل .reg قابل خواندن تر ترجمه کرد:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

آنچه ابزار می تواند و نمی تواند انجام دهد

ابزار به دست آمده می تواند:

  • تماس های API یک برنامه در حال اجرا را ردیابی کنید.
  • آهنگ جدید فایل های تولید شدهو تنظیمات رجیستری
  • رهگیری ترافیک شبکههنگام اجرای برنامه
  • انجام تجزیه و تحلیل اولیه فایل ها و رفتار آنها (آنالیزگر رفتاری داخلی، تجزیه و تحلیل در VirusTotal توسط هش، تجزیه و تحلیل با استفاده از PEiD، ExeInfo و ssdeep و غیره).
  • مقداری دریافت کنید اطلاعات تکمیلیبا اجرای برنامه های کمکی در sandbox (به عنوان مثال، مانیتور فرآیند) همراه با تجزیه و تحلیل.

این ابزار نمی تواند:

  • بدافزار در حال اجرا در حالت هسته (نیاز به نصب درایور) را تجزیه و تحلیل کنید. با این حال، می توان مکانیسم نصب درایور را شناسایی کرد (قبل از اینکه واقعاً در سیستم پیاده سازی شود).
  • بدافزاری را که بر اجرا در Sandboxie نظارت می‌کند، تجزیه و تحلیل کنید. با این حال، Buster Sandbox Analyzer شامل تعدادی مکانیسم برای جلوگیری از چنین ردیابی است.

بنابراین، sandbox.reg را دریافت خواهید کرد که حاوی خطوط معرفی شده توسط بدافزار در هنگام اجرای آن است. پس از انجام تجزیه و تحلیل، مورد لغو تجزیه و تحلیل را از منوی گزینه ها انتخاب کنید تا همه چیز به حالت قبل برگردد. لطفاً توجه داشته باشید که پس از این عملیات، همه گزارش‌های تجزیه و تحلیل حذف می‌شوند، اما محتویات sandbox در جای خود باقی می‌مانند. با این حال، در شروع بعدیخود برنامه پیشنهاد می کند همه چیز را حذف کند.

Sandboxie به شما امکان می دهد تا به سرعت بر عملکرد برنامه های نصب شده بر روی رایانه خود نظارت کنید و همچنین یک ابزار دفاعی فعال است. برای حذف کامل Sandboxie از هر دستگاهی، باید از یکی از روش های حذف نصب موجود استفاده کنید.

در مورد برنامه

توسعه دهنده Ronen Tzur است، برنامه متعلق به دسته نرم افزارهای اشتراکی است. از ژانویه 2019، دو نسخه از راه حل نرم افزاری وجود دارد:

  • 26 پایدار;
  • 27.3 بتا.

Sandboxy رابط کاربری ساده و شهودی به دو زبان انگلیسی و روسی دارد. نصب بر روی کامپیوترهای دارای عملیات امکان پذیر است سیستم ویندوز، از نسخه 7 و بالاتر شروع می شود. مناسب برای هر دو سیستم عامل 32 بیتی و 64 بیتی. این ابزار به اصطلاح "Sandbox" دارد - ابزاری که به شما امکان می دهد سطح محافظت از رایانه شخصی را در برابر تهدیدات خارجی به میزان قابل توجهی افزایش دهید: ربایندگان مرورگر، تروجان ها، نرم افزارهای فیشینگ و سایر برنامه های دسته "بدافزار".

در سندباکسی کار کنید

برای نصب، باید مراحل ساده را دنبال کنید:


اکنون می توانید کار را در ابزار شروع کنید، به عنوان مثال، هر نرم افزاری را از اینترنت دانلود کنید و نصب بسته دانلود شده را برای ویروس ها و نرم افزارهای شخص ثالث بررسی کنید. برای اسکن هر "exe" باید این مراحل را دنبال کنید:


علاوه بر بررسی نرم افزار برای ویروس ها، می توانید هر برنامه ای را روی رایانه خود اجرا کنید، همچنین مرورگرهایی مانند Google Chrome، Opera، موزیلا فایرفاکس، اینترنت اکسپلورر و Yandex.Browser. برای انجام این کار، فقط مراحل ساده را دنبال کنید:


بدین ترتیب با کمک این نرم افزار می توانید هر برنامه ای را بر روی کامپیوتر در یک محیط مجازی ایزوله اجرا کنید و فرآیندهای در حال اجرا را کنترل کنید. در عین حال، Sandbox نمی تواند داده ها را در رجیستری بنویسد، به داده های سیستم دسترسی پیدا کند، بر عملکرد رایانه شخصی و غیره تأثیر بگذارد.

حذف نصب کنید

قبل از اقدام به حذف Sandbox، باید فایل های باقیمانده ای را که در حین کار با نرم افزار ظاهر می شوند و کامپیوتر را مسدود می کنند، پاکسازی کنید. پس از آن، هنگام حذف نصب نرم افزار، کاربر مجبور نیست آنها را به صورت دستی حذف کند. برای تمیز کردن "زباله" باید:


حذف نصب استاندارد

Sandboxie را با استفاده از نصب کننده "SandboxieInstall.exe" به طور کامل از رایانه خود حذف کنید:

  1. بررسی کنید که برنامه بسته است: با فشار دادن ترکیبی Ctrl + Alt + Delete یا با زدن ترکیب Win + R و وارد کردن دستور "taskmgr" در پنجره "Run" به "Device Manager" بروید.
  2. در "Task Manager" در تب "Processes" یک فایل exe اجرایی با نام ابزاری که باید حذف شود پیدا کنید، روی آن کلیک چپ کنید، گزینه "End task" را در پایین صفحه فراخوانی کنید.
  3. به پنجره "Startup" بروید و بررسی کنید که نرم افزار حذف شده وضعیت "Disabled" را داشته باشد و بر این اساس در لیست شروع خودکار نباشد. برای انجام این کار، روی شی مورد نظر کلیک راست کرده و روی "غیرفعال کردن" کلیک کنید. اگر گزینه منوی زمینه "فعال کردن" ظاهر شد، همه چیز خوب است، می توانید به مرحله بعدی بروید.
  4. ترکیب Win + R را نگه دارید و کد "msconfig" را درایو کنید، سپس روی "OK" کلیک کنید.
  5. در "پیکربندی سیستم" به منوی "بوت" بروید و کادر مقابل گزینه "" را علامت بزنید. حالت امن". حتما روی "اعمال" کلیک کنید تا تغییرات اعمال شوند، "OK".
  6. کاربران ویندوز 7 همچنین باید به تب "Startup" رفته و نرم افزار را از لیست شروع خودکار حذف کنند: روی نام فایل در لیست برنامه های شروع خودکار کلیک راست کرده و عملکرد "Disable" را انتخاب کنید.
  7. کامپیوتر را راه اندازی مجدد کنید: ورود به سیستم در حالت امن انجام می شود.
  8. فایل نصب "SandboxieInstall.exe" - "Next" را اجرا کنید. در لیست گزینه ها، "Uninstall application" را انتخاب کنید (نام عملکرد ممکن است بسته به نسخه نصب کننده متفاوت باشد).
  9. فرآیند خودکار حذف اجزای برنامه از رایانه شخصی شروع می شود و پس از آن توصیه می شود رایانه را از فایل های باقیمانده نیز تمیز کنید.
  10. اول از همه، شما باید به "C:\ProgramFiles\" بروید، دایرکتوری "Sanboxie" را پیدا کنید - روی پوشه یافت شده با دکمه سمت چپ ماوس کلیک کنید و Shift + Delete را نگه دارید تا شی بدون انتقال آن به " حذف نصب شود. زباله ها".
  11. اکنون باید ترکیب Win + E را نگه دارید و از پنجره "Explorer" به "This Computer" - "Local Disk C" بروید، دایرکتوری "Users" را انتخاب کنید، به پوشه کاربر فعلی که ابزار را نصب کرده است بروید. را در رایانه خود انتخاب کنید پوشه مخفیاطلاعات برنامه.
  12. اگر دایرکتوری مشخص شده نمایش داده نشد، باید بر روی ابزار "View" واقع در بالای "Explorer" کلیک کنید و "Options" را انتخاب کنید.
  13. پنجره «گزینه‌های پوشه» باز می‌شود، به تب دوم به نام «مشاهده» بروید، به پایین صفحه بروید و به بخش «فایل‌ها و پوشه‌های مخفی» بروید و کادر «نمایش» را علامت بزنید. فایل های مخفی... ". روی "اعمال" کلیک کنید و "گزینه های پوشه" را ببندید.
  14. به AppData بروید: در فهرست مشخص شده پوشه هایی با نام های "Local"، "LocalLow" و "Roaming" وجود دارد - بررسی کنید که هیچ فایلی به نام "Sandboxie" در این پوشه ها وجود نداشته باشد. اگر چنین اشیایی یافت شد، آنها را انتخاب کنید و با استفاده از دستور Shift + Delete آنها را حذف کنید.
  15. به درایو محلی "C" برگردید و پوشه پنهان "ProgramData" را بررسی کنید - نباید حاوی فایل های مربوط به برنامه راه دور باشد.
  16. اکنون باید به پنجره "ویرایشگر رجیستری" بروید. می توانید این کار را با استفاده از منوی "PowerShell (administrator)" انجام دهید - روی دکمه "شروع" راست کلیک کرده و به کنسول مربوطه بروید.
  17. با استفاده از گزینه "Export ..." که در منوی "File" قرار دارد، وضعیت فعلی رجیستری را ذخیره کنید. نام فایل و پوشه reg ذخیره شده را مشخص کنید. محدوده صادرات را مشخص کنید - "کل رجیستری". در آینده امکان بازیابی رجیستری از فایل مشخص شده وجود خواهد داشت (در صورت بروز مشکل پس از پاکسازی دستی رجیستری).
  18. در پنجره کنسول نوع عبارت عبور"regedit" بدون نقل قول، "Enter".
  19. ابزار "ویرایشگر رجیستری" باز می شود - ترکیب Ctrl + F را نگه دارید، نام "sandbox" از راه دور را در نوار جستجو وارد کنید و سپس روی "Find Next" کلیک کنید.
  20. پس از چند ثانیه، مانیتور اولین کلید رجیستری را که پس از برنامه حذف شده باقی مانده است، نمایش می دهد. با دکمه سمت چپ ماوس روی شی دوبار کلیک کنید و سلول "Value" را علامت بزنید - باید حاوی ارجاع به "Sandbox" باشد.
  21. برای پاک کردن رجیستری از فایل یا پوشه یافت شده، روی شی کلیک راست کرده و با استفاده از گزینه "Delete" حذف نصب را آغاز کنید. با کلیک بر روی "بله" اقدام خود را تأیید کنید. با فشار دادن "F3" به ورودی بعدی بروید.
  22. عملیات جستجو و حذف کلیدها را تا زمانی که پیغام «جستجو در رجیستری تکمیل شد» روی صفحه نمایش داده شود، تکرار کنید.
  23. برای راه اندازی مجدد کامپیوتر

همچنین می توانید از یکی از ابزارهای حذف نصب موجود برای حذف Sandboxie از رایانه خود استفاده کنید. به طور خاص برای این نرم افزار CCleaner، RevoUninstaller بهترین است، و همچنین یک پاک کننده رجیستری جامع Reg Organizer.

مکانیزم حذف نصب در هر یک از این برنامه ها را در نظر بگیرید.

CCleaner

برای حذف با استفاده از این نرم افزار رایگانشما باید موارد زیر را انجام دهید:


Revo Uninstaller

برای حذف Sandbox در Revo Uninstallerشما باید دستکاری های زیر را انجام دهید:


Reg Organizer

پس از حذف برنامه ها، باید رجیستری را بهینه کنید. ابزار Reg Organizer، که می تواند از وب سایت رسمی بارگیری شود، با این کار به بهترین وجه کنار می آید. برای بهینه سازی رجیستری به موارد زیر نیاز دارید: