Sandboxie – käivitab rakendusi kaitstud keskkonnas. Liivakasti kasutamine failide taastamiseks Sandboxie's

Jäta kommentaar 6,950

Kahtlase käivitatava faili ohutuks käivitamiseks on kaks peamist võimalust: virtuaalmasina all või nn liivakastis. Veelgi enam, viimast saab elegantselt kohandada faili operatiivseks analüüsiks, kasutamata spetsiaalseid utiliite ja võrguteenuseid ning kasutamata palju ressursse, nagu virtuaalse masina puhul. Tahan teile temast rääkida.

HOIATUS

Kirjeldatud tehnika ebaõige kasutamine võib süsteemi kahjustada ja põhjustada infektsiooni! Olge tähelepanelik ja ettevaatlik.

Liivakast analüüsiks

Arvutiturbe alal töötavad inimesed tunnevad liivakasti mõistet väga hästi. Lühidalt öeldes on liivakast testkeskkond, milles teatud programmi käivitatakse. Samas on töö korraldatud nii, et kõiki programmitoiminguid jälgitakse, kõik muudetud failid ja seadistused salvestatakse, kuid reaalses süsteemis ei toimu midagi. Üldiselt saate mis tahes faile käivitada täiesti kindlalt, et see ei mõjuta mingil viisil süsteemi jõudlust. Selliseid tööriistu saab kasutada mitte ainult turvalisuse tagamiseks, vaid ka pahavara toimingute analüüsimiseks, mida see pärast käivitamist teeb. Muidugi, kui enne aktiivsete toimingute algust on olemas hetktõmmis süsteemist ja pilt liivakastis toimunust, saate kõiki muudatusi hõlpsalt jälgida.

Muidugi on Internetis palju failide analüüsi pakkuvaid valmis veebiteenuseid: Anubis, CAMAS, ThreatExpert, ThreatTrack. Sellised teenused kasutavad erinevaid lähenemisviise ja neil on oma eelised ja puudused, kuid saame tuvastada ka ühised peamised puudused:

Teil peab olema juurdepääs Internetile. Töötlemise ajal peate ootama järjekorras (tasuta versioonides). Tavaliselt ei esitata täitmise ajal loodud või muudetud faile. Täitmisparameetreid pole võimalik juhtida (tasuta versioonides). Käivitusprotsessi on võimatu segada (näiteks klõpsake ilmuvate akende nuppudel). Üldiselt ei ole võimalik pakkuda konkreetseid käitamiseks vajalikke teeke (tasuta versioonides). Reeglina analüüsitakse ainult käivitatavaid PE-faile.

Sellised teenused on enamasti ehitatud virtuaalmasinatele, millel on installitud tööriistad, sealhulgas kerneli silujad. Neid saab korraldada ka kodus. Need süsteemid on aga üsna ressursinõudlikud ja võtavad kõvakettal palju ruumi ning silurilogide analüüsimine võtab palju aega. See tähendab, et need on teatud proovide põhjalikuks uurimiseks väga tõhusad, kuid tõenäoliselt ei ole neist kasu tavatöös, kui pole võimalust süsteemiressursse laadida ja analüüsimisele aega raisata. Liivakasti kasutamine analüüsiks võimaldab vältida tohutuid ressursside kulutusi.

Paar hoiatust

Täna proovime teha oma analüsaatori, mis põhineb liivakastil, nimelt Sandboxie utiliidil. See programm on saadaval jagamisvarana autori veebisaidil www.sandboxie.com. Meie uurimistöö jaoks on piiratud tasuta versioon üsna sobiv. Programm käivitab rakendusi isoleeritud keskkonnas, et need ei teeks reaalses süsteemis pahatahtlikke muudatusi. Kuid siin on kaks nüanssi:

  1. Sandboxie võimaldab jälgida ainult kasutajarežiimi tasemel programme. Kogu pahatahtliku koodi tegevust kerneli režiimis ei jälgita. Seetõttu on juurkomplektide uurimisel kõige rohkem teada, kuidas pahavara süsteemi tuuakse. Kahjuks on käitumist ennast tuumarežiimi tasemel võimatu analüüsida.
  2. Olenevalt sätetest võib Sandboxie blokeerida juurdepääsu Internetile, lubada täielikku juurdepääsu või juurdepääsu ainult teatud programmidele. On selge, et kui pahavara vajab normaalseks töötamiseks Interneti-juurdepääsu, tuleb see pakkuda. Teisest küljest, kui teie mälupulgal lebab Pinch, mis käivitub, kogub kõik süsteemis olevad paroolid ja saadab need ftp kaudu ründajale, siis avatud Interneti-juurdepääsuga Sandboxie ei kaitse teid konfidentsiaalse teabe kaotamise eest. ! See on väga oluline ja seda tuleks meeles pidada.

Sandboxie esialgne seadistamine

Sandboxie on suurepärane tööriist, millel on palju võimalusi. Nimetan neist ainult neid, mis on meie ülesannete täitmiseks vajalikud.

Pärast Sandboxie installimist luuakse automaatselt üks liivakast. Erinevate ülesannete jaoks saate lisada veel mitu liivakasti. Liivakasti seadetele pääseb juurde kontekstimenüü kaudu. Reeglina on kõik muudetavad parameetrid varustatud üsna üksikasjaliku venekeelse kirjeldusega. Jaotistes "Taastamine", "Eemaldamine" ja "Piirangud" loetletud parameetrid on meie jaoks eriti olulised. Niisiis:

  1. Peate veenduma, et jaotises "Taastamine" pole midagi loetletud.
  2. Jaotises "Kustuta" ei tohiks olla märgitud ruute ja/või lisatud kaustu ja programme. Kui määrate lõigetes 1 ja 2 nimetatud jaotistes olevad parameetrid valesti, võib see kaasa tuua pahatahtliku koodi, mis nakatab süsteemi või kõik analüüsimiseks vajalikud andmed hävivad.
  3. Jaotises "Piirangud" peate valima seaded, mis sobivad teie ülesannetega. Peaaegu alati on vaja piirata kõigi töötavate programmide madalat juurdepääsu ja riistvara kasutamist, et vältida juurkomplektide süsteemi nakatamist. Kuid käivitamisele ja täitmisele juurdepääsu piiramine, samuti õiguste äravõtmine, vastupidi, pole seda väärt, vastasel juhul käivitatakse kahtlane kood mittestandardses keskkonnas. Kõik, sealhulgas Interneti-juurdepääsu olemasolu, sõltub aga ülesandest.
  4. Selguse ja mugavuse huvides on jaotises "Käitumine" soovitatav lubada valik "Kuva ääris akna ümber" ja valida värv, et tõsta esile piiratud keskkonnas töötavaid programme.

Pluginate ühendamine

Mõne klõpsuga saime suurepärase isoleeritud keskkonna koodi turvaliseks täitmiseks, kuid mitte tööriista selle käitumise analüüsimiseks. Õnneks on Sandboxie autor andnud võimaluse kasutada oma programmi jaoks mitmeid pistikprogramme. Kontseptsioon on üsna huvitav. Lisad on dünaamilised teegid, mis sisestatakse liivakastis töötavasse protsessi ja registreerivad või muudavad selle täitmist teatud viisil.

Vajame mitut pistikprogrammi, mis on loetletud allpool.

  1. SBIExtra. See pistikprogramm peatab liivakastiprogrammi jaoks mitmeid funktsioone, et blokeerida järgmised funktsioonid:
    • ülevaade täidetavatest protsessidest ja lõimedest;
    • juurdepääs protsessidele väljaspool liivakasti;
    • funktsiooni BlockInput kutsumine (klaviatuuri ja hiire sisend);
    • Aktiivsete akende pealkirjade lugemine.
  2. Antidel. Lisandmoodul peatab failide kustutamise eest vastutavad funktsioonid. Seega jäävad kõik ajutised failid, mille kustutamise käsk pärineb lähtekoodist, endiselt oma kohale.

Kuidas neid liivakasti integreerida? Kuna Sandboxie liides seda ei paku, peate konfiguratsioonifaili käsitsi redigeerima. Looge kaust Plugins ja pakkige kõik ettevalmistatud pistikprogrammid sinna lahti. Nüüd tähelepanu: Buster Sandbox Analyzer sisaldab mitut teeki üldnimetusega LOG_API*.dll, mida saab protsessi sisestada. Teeke on kahte tüüpi: üksikasjalik ja standardne. Esimene kuvab peaaegu täieliku loendi programmi tehtud API-kõnedest, sealhulgas failide ja registri kõnedest, teine ​​​​on lühendatud loend. Vähendamine võimaldab kiirendada tööd ja vähendada palki, mida tuleb seejärel analüüsida. Isiklikult ma ei karda suuri palke, kuid kardan, et osa vajalikku teavet lõigatakse hoolikalt maha, seega valin Verbose'i. Just selle raamatukogu me süstime. Et pahavara nime järgi teeki süstimist ei märkaks, kasutame kõige lihtsamat ettevaatusabinõu: muuda nimi LOG_API_VERBOSE.dll mis tahes muuks nimeks, näiteks LAPD.dll.


Nüüd valige Sandboxie põhiaknas "Configure -> Edit Configuration". Avaneb tekstikonfiguratsioon kõigi programmi sätetega. Pöörame kohe tähelepanu järgmistele ridadele:

  • Parameeter FileRootPath jaotises määrab liivakastikausta üldise tee, st kausta, kuhu kõik liivakastifailid asuvad. Minu jaoks näeb see parameeter välja nagu FileRootPath=C:\Sandbox\%SANDBOX%, see võib teie jaoks erineda.
  • Jaotis ei paku meile huvi - jätame selle vahele ja kerime edasi.
  • Siis on jaotis, mille nimi on sama, mis liivakasti nimi (olgu see BSA). Siia lisame pistikprogrammid: InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Mall=BlockPorts

Teed võivad muidugi erineda. Aga süstitavate teekide järjekord peab olema täpselt selline! See nõue on tingitud asjaolust, et funktsioone tuleb kinni pidada määratud järjekorras, vastasel juhul pistikprogrammid ei tööta. Muudatuste rakendamiseks valige Sandboxie peaaknas: "Configure -> Reload configuration".

Nüüd seadistame Buster Sandbox Analyzeri pistikprogrammi enda.

  1. Käivitame pistikprogrammi käsitsi, kasutades kausta Plugins faili bsa.exe.
  2. Valige "Valikud -> Analüüsirežiim -> Käsitsi" ja seejärel "Valikud -> Programmi suvandid -> Windows Shelli integreerimine -> Lisa paremklõpsake toiming "Run BSA".

Nüüd on kõik tööks valmis: meie liivakast on süsteemi integreeritud.

Liivakasti kaasaskantav versioon

Muidugi ei meeldi paljudele see, et neil on vaja installida, seadistada jne. Kuna see kõik ei meeldi ka mulle, tegin tööriistast kaasaskantava versiooni, mida saab käivitada ilma installimise ja seadistamiseta, otse välklambist sõita. Selle versiooni saate alla laadida siit: tools.safezone.cc/gjf/Sandboxie-portable.zip. Liivakasti käivitamiseks käivitage lihtsalt skript start.cmd ja töö lõpus ärge unustage käivitada skripti stop.cmd, mis laadib draiveri ja kõik komponendid mälust täielikult välja ning salvestab ka tehtud muudatused kaasaskantavas töötamise ajal.

Portabelizeril endal on väga vähe sätteid: selle töö põhineb peamiselt manipulatsioonidel Sandboxie.ini.template failiga, mis asub kaustas Mallid. Põhimõtteliselt on see fail Sandboxie seadete fail, mida töödeldakse korralikult ja edastatakse programmile ning kui see on lõpetatud, kirjutatakse see tagasi mallidesse. Kui avate selle faili Notepadiga, ei leia te tõenäoliselt midagi huvitavat. Kindlasti tuleks tähelepanu pöörata $(InstallDrive) mustrile, mis kordub mitmetes teeparameetrites. Oleme eriti huvitatud FileRootPathi parameetrist. Kui see näeb välja selline:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Seejärel luuakse kettale, kus kaasaskantav Sandboxie asub, “liivakastid”. Kui parameetril on näiteks järgmine vorm:

FileRootPath=C:\Sandbox\%SANDBOX%

Teisisõnu, see määrab konkreetse süsteemidraivi, seejärel luuakse sellele draivile "liivakastid".

Isiklikult soovitan alati luua liivakastid kohalikele ketastele. See kiirendab tööriista tööd ja mälupulgalt töötades kiirendab see suurusjärkude võrra. Kui sind nii paranoia piinab, et tahad oma lemmikmeediumil kõike joosta ja analüüsida, mida südame lähedal kannad, siis saab parameetrit muuta, aga siis kasuta vähemalt kaasaskantavaid kõvakettaid, et kõik hirmsasti ei aeglustuks. .

Praktiline kasutamine

Proovime oma tööriista reaalse ohu korral. Et keegi mind pettuses ei süüdistaks, tegin lihtsa asja: läksin aadressile www.malwaredomainlist.com ja laadisin alla uusima asja, mis seal kirjutamise ajal ilmus. Selgus, et see on kena pp.exe fail mõnelt nakatunud saidilt. Juba ainuüksi nimi sisendab suurt lootust, lisaks karjus mu viirusetõrje kohe selle faili peale. Muide, on parem teha kõik oma manipulatsioonid keelatud viirusetõrjega, vastasel juhul riskime uuritavast midagi blokeerida/kustutada. Kuidas uurida binaarse käitumist? Paremklõpsake sellel failil ja valige rippmenüüst käsk Run BSA. Avaneb Buster Sandbox Analyzeri aken. Kontrollimiseks vaadake hoolikalt liivakasti kausta. Kõik parameetrid peavad ühtima nendega, mille määrasime Sandboxie seadistamisel, st kui liivakasti nimi oli BSA ja kausta teeks määrati FileRootPath=C:\Sandbox\%SANDBOX%, siis peaks kõik olema nagu ekraanipildil. . Kui teate perverssustest palju ja nimetasite liivakasti teisiti või konfigureerisite FileRootPathi parameetri mõne teise draivi või kausta jaoks, peate seda vastavalt muutma. Vastasel juhul ei tea Buster Sandbox Analyzer, kust otsida uusi faile ja registris tehtud muudatusi.


BSA sisaldab palju sätteid binaarse täitmise protsessi analüüsimiseks ja uurimiseks, sealhulgas võrgupakettide pealtkuulamiseks. Klõpsake nuppu Alusta analüüsi. Aken lülitub analüüsirežiimi. Kui analüüsiks valitud liivakast mingil põhjusel sisaldab eelmise uuringu tulemusi, pakub utiliit selle esmalt tühjendamiseks. Kõik on uuritava faili käivitamiseks valmis.

Valmis? Seejärel paremklõpsake uuritaval failil ja avanevas menüüs valige "Run in sandbox", seejärel valige "liivakast", millele BSA kinnitasime.

Kohe pärast seda käivitatakse analüsaatori aknas API-kutsed, mis salvestatakse logifailidesse. Pange tähele, et Buster Sandbox Analyzer ise ei tea, millal protsessi analüüs lõppeb, tegelikult on lõpusignaal teie klõpsamine nupul Lõpeta analüüs. Kuidas sa tead, et aeg on juba käes? Siin võib olla kaks võimalust.

  1. Sandboxie aken ei näita ühtegi töötavat protsessi. See tähendab, et programm on selgelt lõppenud.
  2. Pikka aega ei ilmu API-kutsete loendisse midagi uut või vastupidi, kuvatakse sama asja tsüklilises järjestuses. Samal ajal töötab Sandboxie aknas midagi muud. See juhtub siis, kui programm on konfigureeritud residentide täitmiseks või on lihtsalt külmunud. Sel juhul tuleb see esmalt käsitsi lõpetada, paremklõpsates Sandboxie aknas vastaval liivakastil ja valides "Lõpeta programmid". Muide, minu pp.exe analüüsimisel juhtus täpselt selline olukord.

Pärast seda saate Buster Sandbox Analyzeri aknas turvaliselt valida Lõpeta analüüs.


Käitumise analüüs

Klõpsates nupule Malware Analyzer, saame koheselt veidi kokkuvõtlikku infot uuringutulemuste kohta. Minu puhul oli faili pahatahtlikkus täiesti ilmne: täitmise käigus loodi ja käivitati fail C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe, mis lisati käivitamisele (muide, see oli see fail, mis ei tahtnud end lõpetada), loodi ühendus 190.9.35.199-ga ja hosti faili muudeti. Muide, ainult viis viirusetõrjemootorit tuvastasid faili VirusTotalis, nagu on näha logidest, samuti VirusTotali veebisaidilt.


Kogu info analüüsitulemuste kohta saab otse Buster Sandbox Analyzeri aknas Viewer menüüst. Samuti on olemas API kõnede logi, mis on kindlasti kasulik üksikasjaliku uurimistöö jaoks. Kõik tulemused salvestatakse tekstifailidena kausta Buster Sandbox Analyzer alamkausta Aruanded. Eriti huvitav on Report.txt aruanne (kutsutakse läbi View Report), mis pakub kõigi failide kohta laiendatud teavet. Sealt saame teada, et ajutised failid olid tegelikult käivitatavad, ühendus läks aadressile http://190.9.35.199/view.php?rnd=787714, pahavara lõi spetsiifilise mutexi G4FGEXWkb1VANr jne. Sa ei saa ainult vaadata aruanded, vaid ka ekstraktida kõik täitmise käigus loodud failid. Selleks paremklõpsake Sandboxie aknas "liivakastil" ja valige "View Contents". Avaneb uurija aken kogu meie “liivakasti” sisuga: draivi kaust sisaldab liivakasti füüsilistele ketastele loodud faile ja kasutaja kaust aktiivses kasutajaprofiilis (%userprofile%) loodud faile. Siit leidsin faili dplaysvr.exe koos teegiga dplayx.dll, ajutised tmp-failid ja muudetud hostifail. Muide, selgus, et sellele lisati järgmised read:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Pange tähele, et liivakastis on nakatunud faile. Kui neid kogemata topeltklõpsate, ei juhtu midagi (nad jooksevad liivakastis), aga kui kopeerite need kuhugi ja siis käivitate... hmm, saate aru. Siit kaustast leiate RegHive faili kujul töö käigus muudetud registri dump. Selle faili saab hõlpsasti teisendada loetavamaks reg-failiks, kasutades järgmist käsuskripti:

REG LAADI HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Mida instrument suudab ja mida mitte

Saadud tööriist võib:

  • Jälgige töötava rakenduse API-kõnesid.
  • Jälgige äsja loodud faile ja registrisätteid.
  • Peatage võrguliiklus rakenduse töötamise ajal.
  • Viige läbi failide ja nende käitumise põhianalüüs (sisseehitatud käitumisanalüsaator, VirusTotali analüüs räside abil, analüüs PEiD, ExeInfo ja ssdeep abil jne).
  • Hankige lisateavet, käivitades liivakastis koos analüüsitava programmiga abiprogrammid (nt Process Monitor).

See tööriist ei saa:

  • Analüüsige tuumarežiimis töötavat pahavara (nõuab draiveri installimist). Siiski on võimalik tuvastada draiveri installimehhanism (enne kui see tegelikult süsteemis rakendatakse).
  • Analüüsige täitmist jälgivat pahavara Sandboxie's. Buster Sandbox Analyzer sisaldab aga mitmeid mehhanisme sellise jälgimise vältimiseks.

Nii saate faili sandbox.reg, mis sisaldab täitmise käigus pahavara poolt lisatud ridu. Pärast analüüsi sooritamist valige menüüst Valikud käsk Tühista analüüs, et taastada kõik nii, nagu see oli. Pange tähele, et pärast seda toimingut kustutatakse kõik analüüsilogid, kuid liivakasti sisu jääb paigale. Kuid järgmine kord, kui käivitate programmi, pakub see kõik kustutamist.

Seetõttu otsustasime seda teemat lühidalt puudutada.

Põhimõtteliselt on "liivakast" isoleeritud tarkvarakeskkond, mille ressursid selles keskkonnas programmikoodi täitmiseks (lihtsamalt öeldes programmide käivitamiseks) on rangelt piiratud. Teatud mõttes on "liivakast" eemaldatud liivakast, mis on loodud kahtlaste protsesside isoleerimiseks turvalisuse eesmärgil.

Mõned head viirusetõrjed ja tulemüürid (kuigi reeglina tasulises versioonis) kasutavad seda meetodit teie teadmata, mõned võimaldavad teil seda funktsiooni hallata (kuna see ikkagi tekitab tarbetut ressursikulu), kuid on ka programme, mis võimaldavad sarnaseid rakendusi rakendada. funktsionaalsus.

Ühest neist räägime täna.

Kahjuks on tegemist jagamisvaraga, kuid seesama vaba periood aitab teil seda tüüpi tööriistu paremini tundma õppida, mis võib-olla sunnib teid tulevikus põhjalikumalt õppima, mis enamasti on olemas tasuta vormi ja annab rohkem võimalusi .

Sandboxie saate alla laadida aadressilt või näiteks . Installimine on peaaegu elementaarne, välja arvatud hetk, mil peate installima draiveri (vt allpool olevat ekraanipilti).

Selles etapis on parem keelata kõik kaitseelemendid (st samad viirusetõrjed ja tulemüürid), vastasel juhul, kui see samm ebaõnnestub ja arvuti hangub, taaskäivitub või lülitub sisse , peate võib-olla käivitama turvarežiimi ja kustutama programmi ilma edasise kasutamise võimalus.

Pärast installimist tuleb programm ise käivitada. Võimalik, et näete ülaltoodud teatist. Selles pole midagi valesti, klõpsake lihtsalt "OK".

Järgmisena pakutakse teile programmiga töötamise lühikursust või pigem räägitakse teile natuke selle toimimisest. Tehke kõik kuus etappi läbi, eelistatavalt lugedes hoolikalt, mis teile antud juhistes on kirjutatud.

Lühidalt öeldes saate isoleeritud keskkonnas käivitada mis tahes programmi. Juhendis, kui olete neid lugenud, on teema kohta üsna hea metafoor, et sisuliselt on liivakast programmi ja arvuti vahele asetatud läbipaistev paber ning liivakasti sisu kustutamine sarnaneb mõneti äraviskamisega. kasutatud paberileht ja selle sisu koos loogiliselt järgneva asendamisega uuega.

Liivakastiprogrammi seadistamine ja kasutamine

Proovime nüüd mõista, kuidas sellega töötada. Alustuseks võite proovida näiteks liivakastis brauserit käivitada. Selleks kasutage kas töölaual kuvatavat otseteed või programmi põhiakna menüüüksusi: " DefaultBox – Käivita liivakastis – Käivitage veebibrauser" või kui soovite vaikebrauserina käivitada brauseri, mis pole süsteemi installitud, siis kasutage üksust " Käivitage mis tahes programm" ja määrake brauseri (või programmi) tee.

Pärast seda käivitatakse liivakastis brauser ise ja näete selle protsesse Sandboxie aknas. Sellest hetkest alates toimub kõik, mis juhtub, nagu on juba korduvalt öeldud, isoleeritud keskkonnas ja näiteks viirus, mis kasutab brauseri vahemälu süsteemi tungimiseks elemendina, ei suuda tegelikult tehke tõesti kõike, sest pärast isoleeritud keskkonnaga töötamise lõpetamist. Saate selle puhastada, visates välja, nagu metafoor ütles, kritseldatud paberilehe ja liikudes uuele (ilma et see mõjutaks mingil viisil keskkonna terviklikkust). arvuti kui selline).

Liivakasti sisu kustutamiseks (kui te seda ei vaja) kasutage programmi põhiaknas või salves (siin on kell ja muud ikoonid) üksust " Vaikekast – sisu kustutamine".

Tähelepanu! Kustutatakse ainult see osa, mis on kirjutatud ja töötas isoleeritud keskkonnas ehk näiteks arvutist ei kustutata brauserit ennast, vaid sinna kantud.. mmm.. suhteliselt öeldes koopia Kui te neid ei salvesta, kustutatakse loodud vahemälu, salvestatud andmed (nt allalaaditud/loodud failid) jne.

Toimimispõhimõtte paremaks mõistmiseks proovige mitu korda liivakastis brauser ja muu tarkvara käivitada, peale selle liivakastiga töötamise lõpetamist erinevaid faile alla laadida ja sisu kustutada/salvestada ning seejärel näiteks sama brauseri või programmi otse käivitada. arvutis. Uskuge mind, praktikas saate sisust paremini aru, kui seda sõnadega seletada saab.

Muide, paremklõpsates liivakasti akna protsesside loendis protsessil, saate liivakastist mööda minnes juhtida juurdepääsu erinevat tüüpi arvutiressurssidele, valides " Juurdepääs ressurssidele".

Jämedalt öeldes, kui soovite riskida ja anda näiteks Google Chrome'ile otsejuurdepääs mis tahes arvuti kaustale, saate seda teha vastaval vahekaardil ( Failijuurdepääs – otsene/täielik juurdepääs), kasutades nuppu "Lisa".

On loogiline, et liivakast pole mõeldud mitte ainult ja mitte niivõrd brauseriga töötamiseks ja erinevate kahtlaste saitide külastamiseks, vaid ka teile kahtlastena tunduvate rakenduste käivitamiseks (eriti näiteks tööl (kus nad sageli kahtlasi faile käivitavad). meilist või mälupulgalt) ja/või neil ei tohiks olla juurdepääsu arvuti põhiressurssidele ja/või jätta sinna tarbetuid jälgi.

Muide, viimane võib olla hea element kaitseks, st mis tahes rakenduse käivitamiseks, mille andmed tuleb pärast lõpetamist täielikult isoleerida ja kustutada.

Muidugi ei ole vaja pärast lõpetamist liivakastist andmeid kustutada ja mõne programmiga töötada ainult isoleeritud keskkonnas (edenemine jääb meelde ja on võimalus kiireks taastamiseks), kuid see, kas seda teha või mitte, on teie enda otsustada. .

Kui proovite mõnda programmi käivitada, võib teil tekkida ülaltoodud probleem. Ärge kartke seda, piisab, kui klõpsate lihtsalt "OK" ja seejärel avage liivakasti seaded, kasutades " Vaikekast – liivakasti seaded" ja vahekaardil "Failiedastus" määrake failiedastusvaliku jaoks veidi suurem suurus.

Muudest seadistustest me nüüd ei räägi, aga kui need on sulle huvitavad, siis saad need lihtsalt ise selgeks teha, õnneks on kõik vene keeles, ülimalt selge ja ligipääsetav.. No kui on küsimusi, siis võite küsida neilt selle kirje kommentaarides.

Nüüd võib ehk liikuda järelsõna juurde.

Järelsõna

Ah jaa, me oleksime muidugi peaaegu unustanud, et liivakast tarbib suuremal hulgal masinaressursse, kuna see hammustab (virtualiseerib) osa võimsusest, mis loomulikult tekitab koormuse, mis erineb selle otsesest käivitamisest. Kuid loogiliselt võttes võib turvalisus ja/või privaatsus seda väärt olla.

Muide, liivakastide, chrooti või virtualiseerimise kasutamine on osaliselt seotud meie kasutatava viirusetõrje turbemetoodikaga.

See on praeguseks ilmselt kõik. Nagu alati, kui teil on küsimusi, mõtteid, täiendusi vms, siis palun kommenteerige seda postitust.

Internet on lihtsalt viirustest täis. Neid saab maskeerida kasulikeks programmideks või neid võib isegi tööprogrammi sisse ehitada. (Leidub üsna sageli häkitud programmides, seega peaksite häkitud programmidesse suhtuma umbusaldusega, eriti kui laadite alla kahtlastelt saitidelt). Nii et installisite programmi ja teie arvutisse installiti boonusena midagi muud (parimal juhul varjatud surfamise või kaevurite programmid) ja halvimal juhul sõdalased, tagauksed, vargused ja muud räpased trikid.

Kui te faili ei usalda, on kaks võimalust.
— Viiruse käivitamine liivakastis
— Virtuaalsete masinate kasutamine

Selles artiklis vaatleme esimest võimalust - akende liivakasti.

Liivakast Windowsile on suurepärane võimalus töötada kahtlaste failidega, vaatame, kuidas liivakasti kasutama hakata.
Kui kasutate viirusetõrjeid, on nendesse sageli sisse ehitatud liivakastid. Kuid mulle need asjad ei meeldi ja arvan, et kõige parem on liivakast alla laadida veebisaidilt www.sandboxie.com.

Programm võimaldab teil käivitada faili spetsiaalselt selleks ette nähtud alal, millest kaugemale ei pääse viirused ega kahjusta arvutit.

Saate programmi tasuta alla laadida. Kuid pärast 2-nädalast kasutamist kuvatakse sisselülitamisel märk, mis viitab tellimuse ostmise pakkumisele, ja programmi saab käivitada mõne sekundi pärast. Kuid programm töötab endiselt täielikult. Paigaldamine ei ole keeruline. Ja liides ise on üsna lihtne.

Vaikimisi käivitub programm arvuti sisselülitamisel ise. Kui programm töötab, kuvatakse salve ikoon. Kui ei, minge Start-All Programs-Sandboxie-Manage sandboxie.
Lihtsaim viis programmi liivakastis käivitamiseks on paremklõpsake käivitamisfailil või soovitud programmi otseteel ja menüüs näete sõnu "Run in sandbox", klõpsake ja käivitage. Valige soovitud profiil, milles käitada, ja klõpsake nuppu OK. See on kõik, vajalik programm töötab turvalises keskkonnas ja viirused ei pääse liivakastist välja.


Tähelepanu: mõned nakatunud programmid ei luba käivitada liivakastides ja virtuaalmasinates, sundides teid neid otse käivitama. Kui teil tekib selline reaktsioon, on kõige parem fail kustutada, vastasel juhul riskite sellega omal vastutusel

.

Kui käivitamist liivakastis ei kuvata kontekstimenüüs (paremklõpsamisel), minge programmi aknasse, valige Configure - Integration into Windows Explorer - ja märkige kaks ruutu sõnade "Toimingud - käivitage liivakastis" all. "

Saate luua erinevaid liivakaste. Selleks klõpsake nuppu Liivakast – looge liivakast ja kirjutage uue nimi. Liivakasti jaotises saate ka vanu kustutada (soovitatav).

Programmis pole enam midagi kaaluda. Lõpetuseks tahan öelda - Hoolitse oma andmete ja arvuti eest! Järgmise korrani

Seonduvad postitused:

Kustutamatute failide eemaldamine arvutist Virtuaalne masin Windowsi jaoks. Programmi ülevaade ja seadistamine Windows 10 keelab jälgimise

Sandboxie võimaldab kiiresti jälgida arvutisse installitud rakenduste tööd ning on ka ennetav kaitsevahend. Sandboxie täielikuks eemaldamiseks mis tahes seadmest peate kasutama mõnda saadaolevatest desinstallimismeetoditest.

Programmi kohta

Arendaja on Ronen Tzur, rakendus kuulub shareware kategooriasse. 2019. aasta jaanuari seisuga on tarkvaralahendusest kaks versiooni:

  • 26 Tall;
  • 27.3 Beeta.

Liivakastil on lihtne ja intuitiivne liides nii inglise kui ka vene keeles. Installimine on võimalik Windowsi operatsioonisüsteemiga arvutitesse alates versioonist 7 ja uuematest. Sobib nii 32-bitisele kui ka 64-bitisele OS-ile. Utiliidil on nn liivakast - tööriist, mis võib märkimisväärselt tõsta arvuti turvalisuse taset väliste ohtude vastu: brauserikaaperdajad, troojalased, andmepüügitarkvara ja muud programmid kategooriast "Badware".

Töötamine Sandboxys

Installimiseks peate järgima lihtsaid samme:


Nüüd saate alustada utiliidiga töötamist, näiteks laadida Internetist alla mis tahes tarkvara ja kontrollida allalaaditud paketi installimist viiruste ja kolmanda osapoole tarkvara suhtes. Mis tahes "exe" skannimiseks peate tegema järgmised toimingud:


Lisaks tarkvara viiruste kontrollimisele saate oma arvutis käivitada mis tahes rakendusi, aga ka brausereid, nagu Google Chrome, Opera, Mozilla Firefox, Internet Explorer ja Yandex.Browser. Selleks järgige neid lihtsaid samme:


Seega saate selle tarkvara abil isoleeritud virtuaalses keskkonnas käivitada mis tahes arvutis olevaid programme ja juhtida jooksvaid protsesse. Sel juhul ei saa liivakast andmeid registrisse kirjutada, süsteemiandmetele juurde pääseda, arvuti jõudlust mõjutada jne.

Desinstallimine

Enne Sandboxi desinstallimise alustamist peate puhastama tarkvara töötamise ajal ilmuvad jääkfailid ja ummistama arvuti. Seejärel ei pea kasutaja tarkvara desinstallimisel neid käsitsi eemaldama. "Prügi" puhastamiseks peate:


Standardne desinstallimine

Eemaldage Sandboxie arvutist täielikult, kasutades installiprogrammi "SandboxieInstall.exe".

  1. Kontrollige, kas programm on suletud: minge seadmehaldurisse, klõpsates kombinatsiooni Ctrl + Alt + Delete või puudutades kombinatsiooni Win + R ja sisestades aknas "Run" käsk "taskmgr".
  2. Leidke "Tegumihalduris" vahekaardilt "Protsessid" käivitatav exe-fail koos kustutatava utiliidi nimega, klõpsake sellel hiire vasaku nupuga ja valige ekraani allosas suvand "Lõpeta ülesanne".
  3. Minge aknasse "Startup" ja kontrollige, kas desinstallitava tarkvara olek on "Keelatud" ja vastavalt sellele pole see automaatse käivitamise loendis. Selleks paremklõpsake objektil ja klõpsake nuppu "Keela". Kui ilmub kontekstimenüü valik "Luba", siis on kõik korras, võite jätkata järgmise sammuga.
  4. Hoidke all klahvikombinatsiooni Win + R ja sisestage kood "msconfig", seejärel klõpsake "OK".
  5. Minge jaotises "Süsteemi konfiguratsioon" menüüsse "Boot" ja märkige ruut valiku "Turvarežiim" vastas. Muudatuste jõustumiseks klõpsake kindlasti "Rakenda" ja "OK".
  6. Windowsi OS-i versiooni 7 kasutajad peavad samuti minema vahekaardile "Käivitamine" ja välistama tarkvara automaatse käivitamise loendist: paremklõpsake automaatse käivitamise rakenduste loendis faili nimel ja valige funktsioon "Keela".
  7. Taaskäivitage arvuti: teid logitakse sisse turvarežiimis.
  8. Käivitage installifail "SandboxieInstall.exe" - "Next". Valige valikute loendist "Kustuta rakendus" (funktsiooni nimi võib olenevalt installija versioonist erineda).
  9. Algab automaatne programmikomponentide arvutist eemaldamise protsess, mille järel on soovitatav arvuti täiendavalt puhastada jääkfailidest.
  10. Kõigepealt peate minema "C:\ProgramFiles\", leidma kataloogi "Sanboxie" - vasakklõpsake leitud kaustal ja vajutage objekti desinstallimiseks ilma seda "Prügikasti" teisaldamata.
  11. Nüüd peate hoidma all Win + E kombinatsiooni ja aknast "Explorer" minge jaotisse "See arvuti" - "Local Disk C", valige kataloog "Kasutajad", minge utiliidi installinud praeguse kasutaja kausta. valige oma arvutis peidetud kaust " AppData".
  12. Kui määratud kataloogi ei kuvata, peate klõpsama "Exploreri" ülaosas asuval tööriistal "Vaade" ja valima "Valikud".
  13. Avaneb aken "Kaustade valikud", minge teisele vahekaardile "Vaade", kerige ekraani allossa jaotiseni "Peidetud failid ja kaustad" ja märkige ruut "Kuva peidetud failid ...". Klõpsake nuppu "Rakenda" ja sulgege "Kaustasuvandid".
  14. Avage AppData: määratud kataloogis on kaustad nimega "Local", "LocalLow" ja "Roaming" - kontrollige, et nendes kaustades poleks faile nimega "Sandboxie". Kui sellised objektid tuvastatakse, valige need ja kustutage need, kasutades käsku Shift + Delete.
  15. Naaske kohalikule draivile "C" ja kontrollige peidetud kausta "ProgramData" - see ei tohiks sisaldada kaugprogrammiga seotud faile.
  16. Nüüd peate minema aknasse "Registriredaktor". Seda saab teha menüü "PowerShell (administraator)" abil - paremklõpsake nuppu "Start" ja minge vastavasse konsooli.
  17. Salvestage registri praegune olek, kasutades valikut "Ekspordi...", mis asub menüüs "Fail". Määrake salvestatud reg-faili ja kausta nimi. Määrake ekspordivahemik – "Terve register". Tulevikus on võimalik registrit määratud failist taastada (juhul, kui pärast registri käsitsi puhastamist tekivad probleemid).
  18. Sisestage konsooliaknas koodifraas "regedit" ilma jutumärkideta, "Enter".
  19. Avaneb tööriist "Registriredaktor" - hoidke all klahvikombinatsiooni Ctrl + F, sisestage otsinguribale kaugjuhtimispuldi "liivakasti" nimi ja klõpsake siis nuppu "Leia järgmine".
  20. Mõne sekundi pärast kuvatakse monitoril esimene registrivõti, mis jääb alles pärast kustutatud rakendust. Topeltklõpsake objektil hiire vasaku nupuga ja kontrollige lahtrit "Väärtus" - see peaks sisaldama viidet "Liivakastile".
  21. Registri kustutamiseks leitud failist või kaustast peate objektil paremklõpsama ja käivitama desinstalli, kasutades valikut "Kustuta". Kinnitage oma tegevus, klõpsates nuppu "Jah". Liikuge järgmise kirje juurde, vajutades "F3".
  22. Korrake võtmete otsimist ja kustutamist, kuni ekraanile kuvatakse teade "Otsing registris on lõpetatud".
  23. Arvuti taaskäivitamiseks.

Sandboxie arvutist eemaldamiseks võite kasutada ka üht saadaolevatest desinstalliutiliitidest. Selle rakenduse jaoks sobivad kõige paremini CCleaner, RevoUninstaller ja põhjalik registripuhastustööriist Reg Organizer.

Vaatame kõigi nende programmide desinstallimehhanismi.

CCleaner

Selle tasuta tarkvara abil desinstallimiseks peate tegema järgmised toimingud:


Revo desinstaller

Liivakasti eemaldamiseks Revo Uninstalleris peate tegema järgmised toimingud:


Reg Korraldaja

Pärast programmide desinstallimist peate registrit optimeerima. Selle ülesandega saab kõige paremini hakkama utiliit Reg Organizer, mille saab alla laadida ametlikult veebisaidilt. Registri optimeerimiseks vajate:




© Autoriõigus 2024, https://qzoreteam.ru