В бесплатных версиях антивируса Avast! «песочница» отсутствует.
Новую функцию можно также запускать самостоятельно при включении посторонних программ, кажущихся вам подозрительными или ненадежными. Просто запустите программу в «песочнице», и вы узнаете, действительно ли она представляет опасность, или ваши опасения беспочвенны. При проверке программы ваша система будет находиться под защитой «Аваст». «Песочницей» часто пользуются при проверке софта, скачанного из интернета.
Как воспользоваться «песочницей»
Для того чтобы запустить сомнительное приложение или выйти в интернет через «песочницу», кликните на запросе «запустить виртуализированный процесс». После этого перейдите к нужной вам программе на компьютере. Браузер или приложение запустятся в новом специальном окне, обрамленном красной рамкой, указывающей на то, что программа успешно запущена из «песочницы».Во вкладке «расширенные настройки» вы можете назначить приложения, которые не нужно виртуализировать, а также те, которые следует запускать из «песочницы» всегда.
Характерная особенность «песочницы» – возможность встраивания в контекстное меню. Чтобы подключить данную опцию, в окне «Параметры» установите флажок напротив графы «встроить в контекстное меню, запускаемое правым щелчком мыши». Опцию можно сделать доступной как для всех пользователей, так и для пользователей, обладающих правами администратора. С ее помощью вы сможете запускать любое приложение в «песочнице», всего лишь кликнув по ярлыку правой кнопкой мыши и выбрав команду «запустить с ».
Обратите внимание: если вы щелкнете правой кнопкой мыши по приложению, помещенному в «песочницу», в открывшемся контекстном меню вы можете выбрать команду однократного запуска вне «песочницы» либо удаления приложения из нее.
Наверняка хоть раз в жизни тебе приходилось иметь дело с не вызывающими доверия приложениями и скриптами, которые могли навредить системе. Или ты хотел запустить браузер в максимально изолированном окружении, чтобы в случае его взлома твоей системе ничто не угрожало. Сегодня подобные задачи принято решать с помощью вездесущего Docker, однако есть масса гораздо более простых и удобных инструментов для быстрого запуска приложений в песочницах.
Приложений для изолированного запуска программ песочницы
Задолго до того, как идея Docker зародилась в головах его создателей, появился проект LXC (LinuX Containers) . Он был основан на все тех же технологиях разделения пространств имен (Linux Namespaces) и точно так же позволял создать минималистичное замкнутое на себя окружение исполнения (песочницу, контейнер) для запуска сервисов или небезопасных приложений. Однако LXC не был столь дружелюбным к новым пользователям и не обладал фишками Docker вроде слоеной файловой системы, возможности быстро выкачать и запустить уже готовое приложение и конфигами для автоматической сборки окружений.
Намного раньше во FreeBSD появилась технология jail, позволяющая создавать песочницы, подобные chroot, но с акцентом на более глубокий уровень изоляции. Долгое время jail была гордостью FreeBSD и даже послужила прообразом для технологии Solaris Zones. Однако сегодня она уже не может обеспечить тот уровень гибкости и управления ресурсами, которые предлагают LXC и Docker, так что в целом jail оказалась на обочине истории. Сегодня песочницы в Linux можно создавать множеством разных способов. Это и уже упомянутые LXC и Docker с их пространствами имен, это механизм seccomp, используемый Chrome для изоляции вкладок и плагинов, это технологии SELinux/ AppArmor, позволяющие тонко регулировать доступ приложения к чему бы то ни было. В этой статье мы познакомимся с самыми удобными для обычного пользователя инструментами, которые лучше всего подходят для решения повседневных задач, таких как:
- запуск не вызывающего доверия приложения, способного навредить системе;
- изоляция браузера, email-клиента и других приложений, чтобы их взлом не привел к утечке данных;
- запуск «одноразовых» приложений, которые не должны оставлять следов в системе.
Песочница MBOX
Начнем с одной из самых простых песочниц. Mbox - не совсем стандартный инструмент изоляции, он не урезает полномочия запущенного приложения, не выполняет виртуализацию сетевого стека и не имеет каких-либо настроек. Единственная задача Mbox - сделать так, чтобы приложение не смогло ничего записать в файловую систему. Для этого он создает специальную виртуальную ФС, на которую перенаправляет все запросы ввода/вывода. В результате под управлением Mbox приложение работает как ни в чем не бывало, однако в ходе его работы ты получаешь возможность применить или отвергнуть те или иные изменения виртуальной файловой системы к файловой системе реальной.
Лучше всего эту концепцию демонстрирует пример с официальной страницы Mbox:
$ mbox -wget google.com ... Network Summary: > -> 173.194.43.51:80 > Create socket(PF_INET,...) > -> a00::2607:f8b0:4006:803:0 ... Sandbox Root: > /tmp/sandbox-11275 > N:/tmp/index.html [c]ommit, [i]gnore, [d]iff, [l]ist, [s]hell, [q]uit ?>
В данном случае под управлением Mbox запускается Wget. Mbox заботливо сообщает нам, что Wget обращается к адресу 173.194.43.51 и порту 80, и записывает файл index.html, который мы можем применить к основной системе (для этого нужно нажать «c»), игнорировать (i), просмотреть diff, выполнить другие операции или вообще завершить приложение. Проверить, как это все работает, можно, просто установив уже готовый пакет Mbox. В Debian/Ubuntu это делается так:
$ wget http://pdos.csail.mit.edu/mbox/mbox-latest-amd64.deb $ sudo dpkg -i mbox-latest-amd64.deb
В Arch Linux Mbox доступен в AUR, поэтому установить его еще проще:
$ yaourt -S mbox-git
Это все. Теперь можно запускать любые бинарники, не беспокоясь, что они оставят в файловой системе бэкдор. В случае если приложению необходимо ограничить доступ к определенным частям файловой системы, можно использовать профили. Это обычные текстовые файлы, в которых перечислены разрешенные и запрещенные на доступ каталоги. Например, следующий профиль запретит приложению доступ к твоему домашнему каталогу (~), но оставит возможность работы с файлами текущего каталога (.):
Allow: . hide: ~
Чтобы запустить приложение с определенным профилем, достаточно указать его через опцию -p:
$ mbox -p profile.prof -wget google.com
Еще одна полезная опция - -n. Она полностью запрещает приложению доступ в интернет.
Изолируем запуск приложений при помощи FIREJAIL
Само собой разумеется, простой запрет на доступ к файлам - это слишком мало для создания по-настоящему изолированных песочниц. Вредоносный код или взломщик могут вообще ничего не прописывать в систему, а просто унести с собой твой Bitcoin-кошелек и базу паролей KeePass или использовать уязвимость приложения для получения прав root и выхода из песочницы. К тому же Mbox не дружит с графическим софтом и в целом не годится для запуска комплексных приложений, которые могут записывать на диск множество временных файлов и постоянно обновляют свои базы данных.
SANDBOX система изоляции приложений.
Если среди 95 профилей Firejail нет нужных тебе приложений, а идея писать профили самому не слишком тебя радует, то Sandbox - это твой выбор. Данный вид песочницы технически сильно отличается от двух уже описанных инструментов (он использует правила SELinux вместо seccomp и Namespaces), но в плане функциональности представляет собой нечто среднее.
Как и Mbox, Sandbox полностью отрезает приложение от внешнего мира, позволяя читать только stdin (то есть на вход запущенного в песочнице приложения можно передать данные другого приложения), а писать только в stdout (выводить данные на экран или перенаправлять другому приложению). Все остальное, включая доступ к файловой системе, сигналам, другим процессам и сети, запрещено. Простейший пример использования:
$ cat /etc/passwd | sandbox cut -d: -f1 > /tmp/users
Данная команда читает файл /etc/passwd, извлекает из него имена пользователей и записывает их в файл /tmp/users. Пользы от нее никакой, но она отлично демонстрирует принципы работы Sandbox. В песочнице запускается только команда cut, а сам файл /etc/passwd передается ей с помощью внешней команды. Вывод, с другой стороны, реализуется с помощью обычного перенаправления stdout.
Красота Sandbox в том, что с его помощью довольно легко расширить доступные приложению возможности. Например, ты можешь создать для него временные домашний каталог и каталог /tmp, передав команде всего один флаг:
$ sandbox -M mc
После завершения работы программы эти каталоги будут уничтожены, что весьма удобно при запуске не вызывающего доверия софта. Но что, если домашний каталог нужно сохранять между запусками (ну, допустим, для того, чтобы протестировать софт, работающий с множеством файлов)? Для этого достаточно создать каталог, который станет домашним для песочницы, и добавить еще одну опцию:
$ mkdir sandbox_home $ sandbox -M -H sandbox_home mc
Теперь у mc есть свой собственный домашний каталог, куда он может сохранять конфиги и откуда может читать файлы. Также Sandbox позволяет запускать графический софт (с помощью виртуального X-сервера Xephyr). Для этого достаточно передать еще один флаг:
$ sandbox -X -M -H sandbox_home gvim
Но и это еще не все. Sandbox имеет встроенные политики безопасности для запуска браузеров. Все, что нужно сделать, - выполнить такую команду:
Производительность приложения в Mbox в среднем на 12–13% ниже обычной
Запускаем Firefox в песочнице
Часть профиля firefox
$ sandbox -X -H sandbox_home -t sandbox_web_t firefox
Причем, как ты уже должен был понять, ты можешь использовать разные домашние каталоги для запуска разных сессий браузера или использовать «одноразовый» домашний каталог для походов по злачным местам. Еще один полезный флаг, о котором стоит упомянуть, - -w, с его помощью можно указать размер окна для графического софта. Он тебе определенно пригодится, так как динамически менять размер окна нельзя (это техническое ограничение Xephyr).
В целом Sandbox - очень удобный инструмент, единственная проблема которого - поддержка в дистрибутивах. Фактически прямо из коробки Sandbox работает только в Fedora, основанных на нем RHEL/CentOS и, возможно, в других дистрибутивах с активированным по умолчанию SELinux.
Сравнение песочниц ВЫВОДЫ
Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов. В этой статье мы рассмотрели три из них.
- Mbox отличается крайней простотой и идеален, когда необходимо контролировать то, к каким файлам приложение должно получить доступ.
- Firejail подходит для создания сложных конфигураций и запуска почти сотни различных приложений, но не очень удобен, если нужного приложения нет в списке поддерживаемых.
- Sandbox - прекрасный инструмент для запуска любых типов софта, но доступен только пользователям Fedora и основанных на нем дистрибутивов.
Какой из этих инструментов выбрать - решай сам. А в следующей статье мы окунемся с тобой в тонкости реализации песочниц и создадим ее собственными руками.
Интернет просто кишит вирусами. Они могут быть под видом полезных программ, или даже могут быть встроенны в рабочую нужную программу. (Довольно часто можно встретить в взломанных программах, так что ко взломанным программам стоит относится с недоверием, особенно если скачиваете с подозрительных сайтов). Вот вы поставили програмку а в компьютер вам бонусом поставилось что то ещё (в лучшем случае программы для скрытого серфинга или майнеры) а в худшем ратники, бэкдоры, стилеры и прочая пакость.
Есть 2 варианта если вы не доверяете файлу.
— Запуск вируса в песочнице
— Использование виртуальных машин
В этой статье мы рассмотрим 1-й вариант — песочница для windows .
Песочница для windows прекрасная возможность работы с подозрительными файлами, мы рассмотрим как начать пользоваться песочницей.
Если вы используете антивирусы, песочницы часто встраивают уже в них. Но я не люблю эти штуки и считаю оптимальным скачать песочницу на сайте www.sandboxie.com .
Программа позволяет запустить файл в специально-выделенной области, за пределы которой вирусы не могут вырваться и навредить компьютеру.
Вы можете скачать программу бесплатно. Но, после 2х недель использования будет повляться при влючении табличка о предложении купить подписку, и программу можно будет запустить через несколько секунд. Но программа все равно остаётся вполне работоспособной. Установка не вызовет затруднений. Да и сам интерфейс довольно простой.
По умолчанию программа будет запускаться сама при включении компьютера. Если программа запущена, появится значок в трее. Если нет следует запустить в Пуск-Все программы-Sandboxie- Управление sandboxie.
Самый простой способ запустить программу в песочнице, это щелкнуть правой кнопкой мыши по файлу запуска или по ярлыку нужной программы, и в меню вы увидите надпись «Запустить в песочнице» кликаете и запускаете. Выбираете нужный профиль в котором запустить и нажимаете OK. Всё, нужная программа работает в безопасной среде и вирусы не вырвутся за пределы песочницы.
Внимание: некоторые зараженные программы не допускают запуск в песочницах и виртуальных машинах, вынуждая запустить прямо так. Если вы столкнулись с такой реакцией лучшим будет удалить файл, иначе запускаете на свой страх и риск
Если в контекстном меню (при нажатии правой кнопкой) не появился запуск в песочнице, переходите в окно программы, выбираете Настроить — Интеграция в проводник Windows — и ставите галочку на два пункта под надписью " Действия — запускать в песочнице.
Вы можете создавать разные песочницы. Для этого нажимаем Песочница — создать песочницу и пишите название новой. Так же в разделе песочница можно удалять старые (рекомендуется).
Более рассматривать в программе нечего. На последок хочу сказать - Берегите свои данные и свой компьютер! До новых встреч
Related posts:
Удаление неудаляемых файлов на компьютере
Виртуальная машина для windows. Обзор программ и настройка
Windows 10 отключение слежки
Некоторым пользователям порой приходится иметь дело с софтом сомнительного происхождения – например, в целях тестирования. Лучшим вариантом в таких случаях будет завести отдельный компьютер или виртуальную машину для этого, однако подобное не всегда возможно. Но решение есть — нужно просто воспользоваться программой-«песочницей», к числу которых относится и Sandboxie.
Приложение позволяет запускать в «песочнице» исполняемые файлы (в том числе инсталляторы программ), работать с веб-браузером и файлами, настраивать их поведение в тех или иных случаях.
Запуск веб-браузера
Основная причина, по которой пользователей интересует подобный Сэндбокси софт – безопасная работа в интернете. Рассматриваемая программа позволяет достичь этой цели.
Запуск программ
Следующий сценарий использования среды «песочницы» – запуск софта.
Работа с файлами
В «песочнице» рассматриваемой среды можно также открывать разнообразные файлы, например, архивы сомнительного происхождения. Алгоритм действий точно такой же, как с программами (технически сначала открывается софт для просмотра целевого документа), поэтому для открытия файлов в «песочнице» подойдёт и предыдущая инструкция.
Управление средой
Разработчики предоставили пользователями также и инструменты управления средой, в которой запускаются программы и открываются файлы. Они имеют очевидное название «Управление Sandboxie» .
Установка параметров Sandboxie
Песочницу можно настроить «под себя» для более комфортного использования.
Решения некоторых проблем
Увы, но порой при использовании «песочницы» возникают неполадки. Рассмотрим наиболее частые, и подскажем варианты их устранения.
Ошибка «SBIE2204 Cannot start sandboxed service RpcSs»
Подобная проблема характерна для версий Sandboxie 5.0 и старше, которые установлены на Windows 10. Причина – несовместимость среды с возможностями этой операционной системы, поэтому единственное решение заключается в установке актуальных обновлений программы.
Ошибка «SBIE2310 Буфер имени достиг переполнения»
Эта проблема тоже касается несовместимости, но на этот раз с какой-то конкретной программой. Чаще всего виновниками выступают антивирусы с возможностями «песочницы» или аналогичное ПО. Метод устранения ошибки тоже очевиден – отключить либо деинсталлировать приложение, которое конфликтует с Sandboxie.
Ошибка «SBIE2211 Sandboxed service failed to start: *имя приложения или файла*»
Такой сбой чаще всего возникает у пользователей Windows 7. Проблема заключается в системе User Account Control, которая мешает работе либо установке файла, требующего администраторских полномочий для запуска. Решение простое – в окне выбора «песочницы» при открытии такого ПО или документа отметьте опцию «Запустить как UAC Administrator»
.
Заключение
На этом наше руководство по использованию программы Sandboxie подходит к концу. Напоследок напоминаем – среда-«песочница» не панацея в отношении компьютерной безопасности, поэтому если приходится иметь дело с подозрительным софтом, лучше использовать виртуальную машину.
То мы решили кратенько затронуть эту тему.
По сути "песочница" представляет собой изолированную программную среду с жестко ограниченными ресурсами для выполнения в рамках этой среды программного кода (говоря просто, - запуска программ). В некотором роде "песочница" это такая себе урезанная , предназначенная для изоляции сомнительных процессов в целях безопасности.
Некоторая часть хороших антивирусов и фаерволлов (правда, как правило, в платном своём варианте) используют этот метод без Вашего ведома, некоторые позволяют управлять этим функционалом (т.к всё таки он создает излишнее ресурсопотребление), но так же существуют и программы, которые позволяют реализовывать подобный функционал.
Об одной из таковых мы сегодня и поговорим.
К сожалению, она условно-бесплатная, но тот же бесплатный период поможет Вам познакомится с этим типом инструментов поближе, что, возможно, в дальнейшем таки подтолкнет Вас к более подробному изучению , которая, в большинстве своём, существует в бесплатном виде и предоставляет больше возможностей.
Скачать Sandboxie можно с или, допустим, . Установка практически элементарна, не считая момента, когда потребуется установка драйвера (см.скриншот ниже).
На данном этапе лучше отключить любые элементы защиты (т.е те же антивирусы и фаерволлы), иначе, если этот шаг не удастся, а компьютер повиснет, перезагрузится или уйдет в , то может потребоваться загрузиться в безопасном режиме и удалить программу без возможности дальнейшего использования.
После установки, собственно, программу необходимо запустить. Вполне возможно, что Вы столкнетесь с уведомлением, которое показано выше. Ничего страшного в нём нет, просто нажмите "ОК ".
Далее Вам предложат пройти краткий курс по работе с программой, точнее немного расскажут о том как оно работает. Пройдите все шесть этапов, желательно, внимательно читая написанное в предоставленной Вам инструкции.
Если говорить кратко, то по сути, Вы можете запустить любую программу в рамках изолированной среды. В инструкции, если Вы её таки читали, достаточно хорошо приведена метафора на тему того, что по сути, песочница представляет собой кусок прозрачной бумаги, помещенной между программой и компьютером и удаление содержимого песочницы чем-то похоже на отбрасывание использованного листа бумаги и его содержимого, с, что логично, последующей заменой на новый.
Как настроить и использовать программу-песочницу
Теперь давайте попробуем понять как с этим работать. Для начала Вы можете попробовать запустить, скажем, браузер, в "песочнице". Чтобы это сделать, собственно, либо воспользуйтесь ярлыком, который появился у Вас на рабочем столе, либо используйте в главном окне программы, элементы меню: "DefaultBox - Запустить в песочнице - Запустить Web-браузер ", либо, если Вы хотите запустить браузер, который не установлен в системе как браузер по умолчанию, то используйте пункт "Запустить любую программу " и укажите путь к браузеру (или программе).
После этого, собственно, браузер будет запущен в "песочнице" и Вы увидите его процессы в окне Sandboxie . С этого момента всё происходящее происходит в, как уже неоднократно говорилось, изолированной среде и, допустим, вирус, использующий кеш браузера как элемент для проникновения в систему, собственно, не сможет толком ничего сделать, т.к по завершению работы с изолированной средой.. Вы можете её очистить, выкинув, как говорилось в метафоре, исписанный лист и перейдя к новому (при этом никак не трогая целостность компьютера как такового).
Для очистки содержимого песочницы (если оно Вам не нужно), в главном окне программе или в трее (это где часы и прочие иконки) используйте пункт "DefaultBox - Удалить содержимое ".
Внимание ! Удалится лишь та часть , что писалась и работала в изолированной среде, т.е, допустим, сам браузер, удалён с компьютера не будет, а вот перенесенная в него.. ммм.. условно говоря, копия процесса, созданный кеш, сохраненные данные (вроде скаченных/созданных файлов) и тп, будут удалены, если Вы их не сохраните.
Чтобы глубже понять принцип работы, попробуйте несколько раз позапускать браузер и другой софт в песочнице, скачивая различные файлы и удаляя/сохраняя содержимое по завершению работы с этой самой песочницей, а потом, допустим, запуская тот же браузер или программу уже непосредственно на компьютере. Поверьте, Вы поймете суть на практике лучше, чем её можно объяснить словами.
Кстати говоря, по нажатию на правую кнопку мышки на процессе в списке процессов окна Sandboxie Вы можете управлять доступом к разного рода ресурсам компьютера в в обход песочницы, выбрав пункт "Доступ к ресурсам ".
Грубо говоря, если Вы хотите рискнуть и дать, например, тому же Google Chrome, прямой доступ к какой-либо папке на компьютере, то Вы можете сделать это на соответствующей вкладке (Доступ к файлам - Прямой/полный доступ ) с использованием кнопки "Добавить ".
Логично, что песочница предназначена не только и не столько для работы с браузером и хождению по разного рода сомнительным сайтам, но и для запуска приложений, которые кажутся Вам подозрительными (особенно, например, на работе (где зачастую ), запускают сомнительные файлы из почты или флешек) и/или, не должны иметь доступа к основным ресурсам компьютера и/или оставлять там лишних следов.
Кстати говоря, последнее может быть хорошим элементом для защиты , т.е для запуска какого-либо приложения, данные которого, должны быть начисто изолированы и удалены по завершению работы.
Конечно данные из песочницы не обязательно удалять по завершению и работать с некоторыми программами только в изолированной среде (прогресс запоминается и существует возможность быстрого восстановления), но делать это или нет, - дело Ваше.
При попытке запуска некоторых программ Вы можете столкнуться с вышепоказанной проблемой. Не стоит её пугаться, достаточно, для начала, просто нажать в "ОК
", а, в дальнейшем, открыть настройки песочницы методом "DefaultBox - Настройки песочницы
" и на вкладке "Перенос файлов
" задать чуть больший размер для опции переноса файлов.
О других настройках мы сейчас говорить не будем, но, если они Вам интересны, то Вы легко можете разобраться с ними самостоятельно, благо всё на русском языке, предельно понятно и доступно.. Ну, а если возникнут вопросы, то Вы можете задать их в комментариях к этой записи.
На сим, пожалуй, можно переходить к послесловию.
Послесловие
Ах да, чуть не забыли, само собой, что песочница потребляет повышенное количество ресурсов машины, т.к откусывает (виртуализирует) часть мощностей, что, естественно, создаёт нагрузку, отличную от запуска напрямую. Но, логично, что безопасность и/или конфиденциальность может того стоит.
Кстати говоря, использование песочниц, chroot или виртуализации, частично относится к методологиии безантивирусной безопасности, которой мы .
На сим, пожалуй, всё. Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.
