Вредоносное ПО (malware) - это назойливые или опасные программы,...
В процессе публикации последней части цикла статей «Ложь, большая ложь и антивирусы» выяснилась катастрофическая необразованность хабра-аудитории в области антивирусных песочниц, что они собой представляют и как работают. Что самое смешное в этой ситуации– в Сети практически начисто отсутствуют достоверные источники информации по данному вопросу. Лишь куча маркетоидной шелухи и текстов от не пойми кого в стиле «одна бабка сказала, слушай сюды». Придётся мне восполнять пробелы.
Определения.
Итак, песочница. Сам термин произошёл не от детской песочницы, как могут некоторые подумать, а от той, что пользуются пожарные. Это бак с песком, где можно безопасно работать с легковоспламеняющимися предметами либо бросать туда что-то уже горящее без боязни подпалить что-нибудь ещё. Отражая аналогию данного технического сооружения на софтверную составляющую, можно определить программную песочницу как «изолированную среду исполнения с контролируемыми правами». Именно так, например, работает песочница Java-машины. И любая другая песочница тоже, вне зависимости от предназначения.
Переходя к антивирусным песочницам, суть которых есть защита основной рабочей системы от потенциально опасного контента, можно выделить три базовые модели изоляции пространства песочницы от всей остальной системы.
1. Изоляция на основе полной виртуализации. Использование любой виртуальной машины в качестве защитного слоя над гостевой операционной системой, где установлен браузер и иные потенциально опасные программы, через которые пользователь может заразиться, даёт достаточно высокий уровень защиты основной рабочей системы.
Недостатки подобного подхода, кроме монструозного размера дистрибутива и сильного потребления ресурсов, кроются в неудобствах обмена данными между основной системой и песочницей. Более того, нужно постоянно возвращать состояние файловой системы и реестра к исходным для удаления заражения из песочницы. Если этого не делать, то, например, агенты спам-ботов будут продолжать свою работу внутри песочницы как ни в чём не бывало. Блокировать их песочнице нечем. Кроме того, непонятно, что делать с переносимыми носителями информации (флешки, например) или выкачанными из Интернета играми, в которых возможны зловредные закладки.
Пример подхода- Invincea.
2. Изоляция на основе частичной виртуализации файловой системы и реестра. Совсем необязательно таскать с собой движок виртуальной машины, можно подпихивать процессам в песочнице дубликаты объектов файловой системы и реестра, помещая в песочницу приложения на рабочей машине пользователя. Попытка модификации данных объектов приведёт к изменению лишь их копий внутри песочницы, реальные данные не пострадают. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.
Недостатки подобного подхода также очевидны– обмен данными между виртуальным и реальным окружением затруднён, необходима постоянная очистка контейнеров виртуализации для возврата песочницы к изначальному, незаражённому состоянию. Также, возможны пробои либо обход такого вида песочниц и выход зловредных программных кодов в основную, незащищённую систему.
Пример подхода- SandboxIE, BufferZone, ZoneAlarm ForceField, изолированная среда Kaspersky Internet Security, Comodo Internet Security sandbox, Avast Internet Security sandbox.
3. Изоляция на основе правил. Все попытки изменения объектов файловой системы и реестра не виртуализируются, но рассматриваются с точки зрения набора внутренних правил средства защиты. Чем полнее и точнее такой набор, тем большую защиту от заражения основной системы предоставляет программа. То есть, этот подход представляет собой некий компромисс между удобством обмена данными между процессами внутри песочницы и реальной системой и уровнем защиты от зловредных модификаций. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.
К плюсам такого подхода относится, также, отсутствие необходимости постоянного отката файловой системы и реестра к изначальному состоянию.
Недостатки подобного подхода– программная сложность реализации максимально точного и полноценного набора правил, возможность лишь частичного отката изменений внутри песочницы. Так же, как и любая песочница, работающая на базе рабочей системы, возможен пробой либо обход защищённой среды и выход зловредных кодов в основную, незащищённую среду исполнения.
Пример подхода- DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.
Существуют и смешанные подходы к изоляции процессов песочницы от остальной системы, основанные как на правилах, так и на виртуализации. Они наследуют как достоинства обоих методов, так и недостатки. Причём недостатки превалируют из-за особенностей психологического восприятия пользователей.
Примеры подхода- GeSWall, Windows User Account Control (UAC).
Методы принятия решения о помещении под защиту.
Перейдём к методам принятия решения о помещении процессов под защиту песочницей. Всего их три базовых:
1. На основе правил. То есть, модуль принятия решения смотрит на внутреннюю базу правил запуска тех или иных приложений или потенциально опасных файлов и, в зависимости от этого, запускает процессы в песочнице либо вне неё, на основной системе.
Преимущества данного подхода- наиболее максимальный уровень защиты. Закрываются как зловредные программные файлы, пришедшие из потенциально опасных мест через песочницу, так и неисполняемые файлы, содержащие зловредные скрипты.
Недостатки– могут быть проблемы при установке программ, пришедших через песочницу (хотя белые списки и сильно облегчают эту задачу), необходимость вручную запускать процессы в основной, доверенной зоне для обновления программ, обновляющихся только внутри себя самих (например, Mozilla FireFox, Utorrent или Opera).
Примеры программ с таким подходом- DefenseWall, SandboxIE, BufferZone, GeSWall.
2. На основе прав пользователя. Так работает Windows Limited User Account и защита на основе SRP и ACL. При создании нового пользователя ему предоставляются права доступа к определённым ресурсам, а также ограничения на доступ к другим. При необходимости программы работы с запрещёнными для данного пользователя ресурсами необходимо либо перелогиниться в системе под пользователем с подходящим набором прав и запустить программу, либо запустить её одну под таким пользователем, без перелогинивания основного работающего пользователя (Fast User Switch).
Преимущества такого подхода- относительно неплохой уровень общей защищённости системы.
Недостатки- нетривиальность управления защитой, возможность заражения через разрешённые для модификации ресурсы, поскольку модуль принятия решения не отслеживает такие изменения.
3. На основе эвристических подходов. В этом случае модуль принятия решения «смотрит» на исполняемый файл и пытается по косвенным данным угадать, запустить его на основной системе или в песочнице. Примеры– Kaspersky Internet Security HIPS, Comodo Internet Security sandbox.
Преимущества данного подхода- он более прозрачен для пользователя, чем на основе правил. Проще в обслуживании и реализации для компании–производителя.
Недостатки- неполноценность подобной защиты. Кроме того, что эвристик модуля принятия решения может «промахнуться» на исполняемом модуле, такие решения демонстрируют практически нулевую сопротивляемость неисполняемым файлам, содержащим зловредные скрипты. Ну, плюс ещё парочка проблем (например, с установкой зловредных расширений изнутри самого браузера, из тела эксплойта).
Отдельно хотелось обратить внимание на метод использования песочницы как средства эвристики, т.е. запуск программы в ней на некоторый промежуток времени с последующим анализом действий и принятием общего решения о зловредности– полноценной антивирусной песочницей данный подход не назвать. Ну что это за антивирусная песочница, которая устанавливается лишь на краткий период времени с возможностью полного её снятия?
Режимы использования антивирусных песочниц.
Их всего два основных.
1. Режим постоянной защиты. При старте процесса, который может быть угрозой для основной системы, он автоматически помещается в песочницу.
2. Режим ручной защиты. Пользователь самостоятельно принимает решение о запуске того либо иного приложения внутри песочницы.
Песочницы, имеющие основной режим работы как «постоянную защиту» могут, также, иметь и ручной режим запуска. Равно как и наоборот.
Для песочниц с изоляцией на основе правил характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно прозрачен.
Для эвристических песочниц также характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно несущественен либо сводится к оному.
Для неэвристических песочниц с изоляцией на основе частичной виртуализации характерен режим ручной защиты. Это связано с затруднённым обменом данными между процессами внутри песочницы и основной рабочей системой.
Примеры:
1. DefenseWall (песочница с изоляцией на основе правил) имеет основным режимом работы «постоянный на правилах». Однако, запуск вручную приложений внутри песочницы, равно как и вне неё, присутствуют.
2. SandboxIE (песочница и изоляцией на основе частичной виртуализации) имеет основным режимом работы «ручной». Но при покупке лицензии можно активировать режим «постоянный на правилах».
3. Comodo Internet Security sandbox (песочница с изоляцией на основе частичной виртуализации) имеет основной режим работы «постоянный эвристический». Однако, запуск приложений вручную внутри песочницы, равно как и вне неё, присутствуют.
Вот, в основном, базовые вещи, любой уважающий себя профессионал должен знать об антивирусных песочницах. У каждой отдельной программы свои особенности реализации, которые вы уже сами должны будете найти, понять и оценить те плюсы и минусы, которые она несёт.
Так называемая песочница (англ. sandbox) – это относительно новая функция в условно-бесплатных пакетах антивируса Avast! Pro и Avast! Internet Security. Это особая модель безопасности, благодаря которой пользователь может посещать веб-сайты и запускать разнообразные приложения, находясь при этом в безопасной среде. Данная функция помогает избежать вирусов при случайном переходе на потенциально . При попадании на вредоносный ресурс браузер будет автоматически помещен в «песочницу», а посему заражение компьютера будет предотвращено.В бесплатных версиях антивируса Avast! «песочница» отсутствует.
Новую функцию можно также запускать самостоятельно при включении посторонних программ, кажущихся вам подозрительными или ненадежными. Просто запустите программу в «песочнице», и вы узнаете, действительно ли она представляет опасность, или ваши опасения беспочвенны. При проверке программы ваша система будет находиться под защитой «Аваст». «Песочницей» часто пользуются при проверке софта, скачанного из интернета.
Как воспользоваться «песочницей»
Для того чтобы запустить сомнительное приложение или выйти в интернет через «песочницу», кликните на запросе «запустить виртуализированный процесс». После этого перейдите к нужной вам программе на компьютере. Браузер или приложение запустятся в новом специальном окне, обрамленном красной рамкой, указывающей на то, что программа успешно запущена из «песочницы».Во вкладке «расширенные настройки» вы можете назначить приложения, которые не нужно виртуализировать, а также те, которые следует запускать из «песочницы» всегда.
Характерная особенность «песочницы» – возможность встраивания в контекстное меню. Чтобы подключить данную опцию, в окне «Параметры» установите флажок напротив графы «встроить в контекстное меню, запускаемое правым щелчком мыши». Опцию можно сделать доступной как для всех пользователей, так и для пользователей, обладающих правами администратора. С ее помощью вы сможете запускать любое приложение в «песочнице», всего лишь кликнув по ярлыку правой кнопкой мыши и выбрав команду «запустить с ».
Обратите внимание: если вы щелкнете правой кнопкой мыши по приложению, помещенному в «песочницу», в открывшемся контекстном меню вы можете выбрать команду однократного запуска вне «песочницы» либо удаления приложения из нее.
Интернет и компьютерные технологии полностью захватили современный мир. Сейчас почти у каждого человека есть электронный девайс, с помощью которого он в любое время и в любом месте может найти необходимую информацию в Интернете или пообщаться с друзьями по чату. Но не стоит забывать, что иногда за этим таится и скрытая угроза – вирусы и вредоносные файлы, созданные и запущенные в глобальную сеть для заражения данных пользователей. Помимо стандартных антивирусов были созданы программы-«песочницы», помогающие предотвратить их доступ в компьютер.
Назначение и принцип программы
Программы-«песочницы» предназначены для обеспечения безопасности компьютера во время серфинга в интернете или исполнения разнообразных программ. Говоря более простым языком, можно сказать, что эта программа представляет собой некое ограниченное виртуальное пространство, в котором и осуществляются все действия пользователя. Программа, которую запустили в то время, как работает «песочница», работает только в этой среде и, если -либо вредоносный вирус, то его доступ к системным файлам блокируется.
Плюсы «песочницы»
Пожалуй, первое достоинство этого приложения можно вынести из абзаца выше – оно ограничивает доступ вредоносных файлов в систему. Даже если вирусы, например, трояны или черви, были подхвачены во время серфинга в интернете, но в это время пользователь работал при включенной «песочнице», вирусы не проникнут никуда более, а при очистке «песочницы» и вовсе будут удалены с компьютера без следа. Кроме того, такие программы помогают ускорять компьютер. Так как в большинстве своем деятельность «песочницы» связана с работой в браузерах, каждый раз запуская его (Google Chrome, Opera, Mozilla Firefox), перед пользователем будет открываться абсолютно чистый и будто заново установленный браузер, который не имеет обычно тормозящего мусора – «кэша».
Минусы «песочницы»
Таковые тоже имеются, и самым главным является удаление личных данных, будь то закладки, сохраненные при работе в интернете страницы или даже история. Программа не настроена на то, чтобы распознавать, что именно является вредным для устройства, поэтому при очистке с нее безвозвратно удаляются абсолютно все данные. Пользователю надо это учитывать и при необходимости синхронизировать нужные закладки или использовать специальные приложения, предназначенные для сохранения подобных данных.
На настоящий момент существует много наименований подобных программ, среди известных можно выделить такие, как Sandboxie, Comodo Internet Security и др. Каждый выбирает ту, которая ему приходится более удобной и понятной. В любом случае не стоит забывать и о минусах этих программ и использовать их аккуратно.
Avast – это одна из антивирусных программ. Установка и регистрация ее максимально просты. Есть версии для ПК и мобильных устройств. При этом лицензию на первый год использования можно получить абсолютно бесплатно. Avast предлагает разные дополнительные опции защиты. Также здесь реализована возможность добавления исключений.
Вам понадобится
- Компьютер, мобильное устройство, интернет.
Инструкция
Внутри экрана файловой системы нажмите кнопку «Настройки», далее выберите вкладку «Исключения». Нажав на «Обзор», вы увидите содержимое жесткого диска. Осуществите выбор исключений, отметив нужные папки или файлы двойным щелчком и нажав на ОК. Подтвердите свой выбор в следующем окне, еще раз нажав на ОК.
То мы решили кратенько затронуть эту тему.
По сути "песочница" представляет собой изолированную программную среду с жестко ограниченными ресурсами для выполнения в рамках этой среды программного кода (говоря просто, - запуска программ). В некотором роде "песочница" это такая себе урезанная , предназначенная для изоляции сомнительных процессов в целях безопасности.
Некоторая часть хороших антивирусов и фаерволлов (правда, как правило, в платном своём варианте) используют этот метод без Вашего ведома, некоторые позволяют управлять этим функционалом (т.к всё таки он создает излишнее ресурсопотребление), но так же существуют и программы, которые позволяют реализовывать подобный функционал.
Об одной из таковых мы сегодня и поговорим.
Sandboxie - обзор, настройка и загрузка
Как Вы поняли из заголовка и подзаголовка, мы будем вести речь о программе Sandboxie .
К сожалению, она условно-бесплатная, но тот же бесплатный период поможет Вам познакомится с этим типом инструментов поближе, что, возможно, в дальнейшем таки подтолкнет Вас к более подробному изучению , которая, в большинстве своём, существует в бесплатном виде и предоставляет больше возможностей.
Далее Вам предложат пройти краткий курс по работе с программой, точнее немного расскажут о том как оно работает. Пройдите все шесть этапов, желательно, внимательно читая написанное в предоставленной Вам инструкции.
Хотите знать и уметь, больше и сами?
Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!
Если говорить кратко, то по сути, Вы можете запустить любую программу в рамках изолированной среды. В инструкции, если Вы её таки читали, достаточно хорошо приведена метафора на тему того, что по сути, песочница представляет собой кусок прозрачной бумаги, помещенной между программой и компьютером и удаление содержимого песочницы чем-то похоже на отбрасывание использованного листа бумаги и его содержимого, с, что логично, последующей заменой на новый.
Как настроить и использовать программу-песочницу
Теперь давайте попробуем понять как с этим работать. Для начала Вы можете попробовать запустить, скажем, браузер, в "песочнице". Чтобы это сделать, собственно, либо воспользуйтесь ярлыком, который появился у Вас на рабочем столе, либо используйте в главном окне программы, элементы меню: "DefaultBox - Запустить в песочнице - Запустить Web-браузер ", либо, если Вы хотите запустить браузер, который не установлен в системе как браузер по умолчанию, то используйте пункт "Запустить любую программу " и укажите путь к браузеру (или программе).
После этого, собственно, браузер будет запущен в "песочнице" и Вы увидите его процессы в окне Sandboxie . С этого момента всё происходящее происходит в, как уже неоднократно говорилось, изолированной среде и, допустим, вирус, использующий кеш браузера как элемент для проникновения в систему, собственно, не сможет толком ничего сделать, т.к по завершению работы с изолированной средой.. Вы можете её очистить, выкинув, как говорилось в метафоре, исписанный лист и перейдя к новому (при этом никак не трогая целостность компьютера как такового).
Для очистки содержимого песочницы (если оно Вам не нужно), в главном окне программе или в трее (это где часы и прочие иконки) используйте пункт "DefaultBox - Удалить содержимое ".
Внимание ! Удалится лишь та часть , что писалась и работала в изолированной среде, т.е, допустим, сам браузер, удалён с компьютера не будет, а вот перенесенная в него.. ммм.. условно говоря, копия процесса, созданный кеш, сохраненные данные (вроде скаченных/созданных файлов) и тп, будут удалены, если Вы их не сохраните.
Чтобы глубже понять принцип работы, попробуйте несколько раз позапускать браузер и другой софт в песочнице, скачивая различные файлы и удаляя/сохраняя содержимое по завершению работы с этой самой песочницей, а потом, допустим, запуская тот же браузер или программу уже непосредственно на компьютере. Поверьте, Вы поймете суть на практике лучше, чем её можно объяснить словами.
Кстати говоря, по нажатию на правую кнопку мышки на процессе в списке процессов окна Sandboxie Вы можете управлять доступом к разного рода ресурсам компьютера в в обход песочницы, выбрав пункт "Доступ к ресурсам ".
Грубо говоря, если Вы хотите рискнуть и дать, например, тому же Google Chrome, прямой доступ к какой-либо папке на компьютере, то Вы можете сделать это на соответствующей вкладке (Доступ к файлам - Прямой/полный доступ ) с использованием кнопки "Добавить ".
Логично, что песочница предназначена не только и не столько для работы с браузером и хождению по разного рода сомнительным сайтам, но и для запуска приложений, которые кажутся Вам подозрительными (особенно, например, на работе (где зачастую ), запускают сомнительные файлы из почты или флешек) и/или, не должны иметь доступа к основным ресурсам компьютера и/или оставлять там лишних следов.
Кстати говоря, последнее может быть хорошим элементом для защиты , т.е для запуска какого-либо приложения, данные которого, должны быть начисто изолированы и удалены по завершению работы.
Конечно данные из песочницы не обязательно удалять по завершению и работать с некоторыми программами только в изолированной среде (прогресс запоминается и существует возможность быстрого восстановления), но делать это или нет, - дело Ваше.
При попытке запуска некоторых программ Вы можете столкнуться с вышепоказанной проблемой. Не стоит её пугаться, достаточно, для начала, просто нажать в "ОК
", а, в дальнейшем, открыть настройки песочницы методом "DefaultBox - Настройки песочницы
" и на вкладке "Перенос файлов
" задать чуть больший размер для опции переноса файлов.
О других настройках мы сейчас говорить не будем, но, если они Вам интересны, то Вы легко можете разобраться с ними самостоятельно, благо всё на русском языке, предельно понятно и доступно.. Ну, а если возникнут вопросы, то Вы можете задать их в комментариях к этой записи.
На сим, пожалуй, можно переходить к послесловию.
Послесловие
Ах да, чуть не забыли, само собой, что песочница потребляет повышенное количество ресурсов машины, т.к откусывает (виртуализирует) часть мощностей, что, естественно, создаёт нагрузку, отличную от запуска напрямую. Но, логично, что безопасность и/или конфиденциальность может того стоит.
Кстати говоря, использование песочниц, chroot или виртуализации, частично относится к методологиии безантивирусной безопасности, которой мы .
На сим, пожалуй, всё. Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.
Н екоторые массивные приложения (такие, как брендмауэры Outpost Security Suite и Online Armor Premium Firewall, а также скаченные из интернета исполняемые exe- и msi-файлы непонятного содержания) могут нарушить целостность и стабильность системы. Их установка в рабочую ОС может привести к появлению BSOD-экранов при загрузке ОС, изменению параметров браузера, и даже к распространению червей и троянов, что, вполне вероятно, повлечет за собой похищение злоумышленником паролей к аккаунтам соцсетей, используемых вами веб-служб, почтового ящика и пр.
Ранее мы уже писали о популярных методиках тестирования нового ПО в статьях про и . В этом материале мы расскажем о еще одном простом, быстром и эффективном способе запуска любых приложений под Windows в защищенной изолированной среде, и имя ему – песочница Sandboxie.
Что такое песочница?
В области компьютерной безопасности песочницей называют специально выделенную среду, предназначенную для безопасного запуска приложений на ПК. Некоторые комплексные программные продукты включают в свой состав режим безопасной среды (песочницы). К таким приложениям относятся фаерволл Comodo Internet Security, антивирус Avast! (платная версия), разработки в области защиты данных от Лаборатории Касперского. Предмет нашей статьи-инструкции, программа Sandboxie, представляет собой полноценное средство для масштабного тестирования любых программ без внесения изменений в структуру и параметры рабочей операционки. Как с ней работать – читайте дальше.
Скачивание дистрибутива и установка Sandboxie
Прежде, чем приступать к установке, как всегда, нужно скачать инсталляционный пакет в сети. Воспользуемся официальным сайтом проекта.
Хотя разработчики и предлагают платные версии продукта для домашнего и офисного использования, нам вполне подойдет и версия, распространяемая на бесплатной основе. Она не имеет никаких временных ограничений. Единственный минус – это возможность работы только с одной песочницей и недоступность некоторых не слишком критичных параметров.
После загрузки дистрибутива, начнем процедуру инсталляции. Она проходит в 2 фазы. Сперва ставятся системные библиотеки и исполняемые файлы Sandboxie.
На заключительном этапе вам будет предложено установить системный драйвер, представляющий собой ядро приложения. Драйвер будет работать в связке со служебными файлами, время его установки – пару мгновений. Соглашаемся и идем дальше.
Первый запуск песочницы Sandboxie
При первом запуске приложения на экране отобразится список программ, для которых можно улучшить совместимость с песочницей. Несмотря на то, что в этом перечне отображаются далеко не все доступные в ОС приложения, программа песочница автоматически определила, что по умолчанию эти программы не доступны для управления в Sandboxie. Соглашаемся улучшить совместимость, отметив все элементы списка и нажав ОК.
Далее нам предстоит пройти короткое введение для работы с приложением, где можно познакомиться с общим принципом работы программного продукта, механизмом запуска веб-браузера в защищенном режиме, а также функцией удаления содержимого активной песочницы. Руководство очень сжатое, все его содержимое сводится к нескольким нажатиям кнопок для выполнения наиболее востребованных действий и графической иллюстрации с базовой методикой работы сервиса.
Итак, когда мануал исчерпан, можем приступать к работе в изолированной среде. Запустить приложение можно, выбрав соответствующий пункт в меню «Пуск», либо воспользовавшись нажатием на соответствующую пиктограмму в виде «Приложения» (Win 8/8.1).
Альтернативный способ – двойной клик на иконке песочницы Sandboxie в панели задач.
В результате запуска программы на экране появится форма с активной песочницей, доступной пользователю (еще раз напомним, что в бесплатной версии можно создать только одну песочницу). Практически все операции вызываются из этой формы.
Запуск браузера в режиме песочницы
Ну что ж, запустим браузер в защищенном режиме. Для этого можно воспользоваться ярлыком на рабочем столе, либо сделав правый клик на DefaultBox и выбрав в контекстном меню пункт «Запустить в песочнице» -> «Запустить web-браузер». Стоит отметить, что таким образом можно работать с браузером, установленным в системе в качестве активного по умолчанию.
О включении безопасной изолированной среды символизирует желтая грань, окаймляющая браузерную форму.
Как с ней работать? Запустив браузер в песочнице, вы можете свободно заходить на любые, даже потенциально опасные ресурсы без угрозы заражения вашего ПК каким-либо вредоносным кодом. Такой режим наверняка пригодится, если вы ищете ключи для программ, кряки, либо вы под своим присмотром усадили за компьютер ребенка, и опасаетесь, что он может оказать вред системе путем перехода на небезопасные ресурсы через баннеры, или же изменить настройки браузера, поставив очередное «супер-уникальное» дополнение. Все загруженные с помощью этого браузера файлы также не будут иметь доступа к рабочей системе.
При попытке скачать посредством работающего в песочнице браузера какой-либо файл, обратите внимание на заголовок формы для задания имени сохранения. Название такой формы обрамляется двумя символами #, что говорит о том, что при сохранении объект будет помещен в оболочку Sandboxie Windows и не будет доступен на обычном дисковом устройстве.
То же самое касается и запускаемых программ.
По умолчанию, загружаемые из сети файлы предлагается поместить в папку Desktop или Downloads. Эти каталоги подходят для работы с песочницей.
Как убедиться, что скаченный файл в песочнице сохранен?
В верхнем меню выберите пункт Вид и отметьте галочкой опцию Файлы и папки. Перед вами откроется дерево доступных дисков и пользовательских каталогов, с которыми можно работать в защищенном режиме. Откройте нужную вам папку и убедитесь, что соответствующие файлы там есть.
Можно ли извлечь файл из песочницы, поместив его в аналогичную папку на обычном служебном диске?
Разумеется, для этого выполните правый клик на файле для восстановления, и в контекстном меню выберите пункт «Восстановить в ту же папку». После этого файл будет извлечен.
К доступным для сохранения папкам можно добавить и новые пути, указав их на форме Настройки песочницы, категория Восстановление -> раздел Быстрое восстановление.
Чтобы открыть форму Настройки песочницы, зайдите в верхнее меню в опцию Песочница, далее выберите подпункт DefaultBox и в появившемся контекстном меню кликните на элемент Настройки песочницы.
Как установить в песочницу новое приложение?
Щелкните правой кнопкой мыши на соответствующем дистрибутиве, сохраненном в изолированной среде либо в стандартной ОС, и выберите в меню пункт «Запустить в песочнице»
Далее последует штатная процедура инсталляции, с которой можно разобраться буквально в два счета. Единственный нюанс: если вы хотите протестировать 64-разрядную программу, перед установкой добавьте в настройках песочницы Sandboxie путь к папке “C:\Program Files”, поскольку по умолчанию может присутствовать лишь путь к системному каталогу “C:\Program Files (x86)”. Сделать это можно опять же в меню Быстрое восстановление. Для вступления изменений в силу нажмите кнопку «Применить» и перезапустите инсталляцию, если процесс уже запущен.
Как запустить в песочнице программу?
Пользователю доступно два способа запуска приложения в защищенной среде.
Первый – это контекстное меню, вызываемое из пункта Песочница в верхнем меню Sandboxie. Здесь можно запустить что-угодно: от внешнего почтового клиента до консольного демона, предназначенного для сжатия файлов в альтернативный аудио-формат.
Второй способ – это воспользоваться интеграцией Sandboxie с проводником Windows. Для этого нужно выполнить правый клик на нужной вам программе на обычном рабочем дисковом устройстве и выбрать вариант «Запустить в песочнице».
Итоги
В целом, нужно сказать, что на 64-битных операционных системах последнего поколения программа чувствует себя не очень уверенно. Случаются периодические вылеты, появляются окна с уведомлением о попытке немедленного восстановления запущенных процессов. Однако, немного поигравшись с настройками, можно сделать так, чтобы песочница Sandboxie работала стабильно, эффективно и без всяких оговорок, а благодаря интеграции с проводником, запуск приложений проходит гладко и плавно. Наряду с другими методами виртуализации, данный механизм представляет собой отличное средство отладки и тестирования приложений, которое пригодится для детального изучения взаимодействия программного продукта с рабочей операционной средой.
В последнее время кибер-преступники стали столь изобретательны, что сообщения о вирусных эпидемиях не вызывают удивления и стали, в общем, привычными. Однако увидеть новость о распространении нового трояна на 3DNews это одно, а обнаружить этот самый троян на своем компьютере - совсем другое. В Интернете можно найти множество советов относительно того, как не стать жертвой мошенников: от использования современных версий ПО, в которых закрыты все известные уязвимости, и до наличия на компьютере надежного современного решения для обеспечения безопасности.
Однако в некоторых случаях от заражения пользователя не спасает даже самый надежный брандмауэр и самый глазастый антивирус. Это происходит тогда, когда программа, защищающая компьютер, не уверена во вредоносном действии запускаемого приложения или выполняемого на веб-странице скрипта, вследствие чего оставляет решение о разрешении действия за пользователем. Вы вполне можете решить, что антивирус излишне подозрителен или просто, задумавшись, щелкнуть мышкой по кнопке "ОК", тем самым разрешив исполнение вредоносного кода.
Что же делать? Неужели из-за возможности подхватить троян, лучше не запускать новые приложения, а от веб-серфинга и вовсе отказаться? Существует прекрасное решение, которое для многих может стать отличным дополнением ко всем средствам для защиты компьютера от проникновения вредителей. Речь идет о работе с приложениями в "песочнице".
"Песочница" представляет собой изолированную среду, для которой отводится небольшое пространство на жестком диске и которая никак не зависит от реальной операционной системы. При запуске программы в "песочнице" она работает так же, как обычное приложение, однако не может влиять на любые компоненты системы, которые находятся вне изолированной среды. Это значит, что из "песочницы" невозможно внести изменения в системный реестр, заменить системные файлы или выполнить любые другие действия, которые могут повлиять на стабильность работы системы. Благодаря этому "песочницу" можно использовать для безопасной работы в Интернете и для запуска неизвестных приложений. Такой изолированной среде можно найти и другие применения - например, программисты и тестеры могут запускать в ней нестабильные версии программ.
⇡ "Песочница" в Kaspersky Internet Security 2010
О том, что работа с приложениями в "песочнице" может пригодиться самому широкому кругу пользователей, говорит хотя бы то, что соответствующая возможность в прошлом году появилась в программе Kaspersky Internet Security. Пользователи этого пакета для обеспечения безопасности могут работать с подозрительными приложениями в изолированной среде, если откроют их посредством пункта контекстного меню Windows "Запустить в безопасной среде". Для наглядности окно программы, запущенной в изолированной среде, будет обведено зеленой рамкой.
Kaspersky Internet Security также позволяет составить список программ, работа с которыми может быть потенциально опасна (в него можно включить, например, браузер). Для этого в настройках приложения необходимо открыть раздел "Контроль программ" и при помощи кнопки "Добавить" внести программу в список. Если после этого открыть программу из окна Kaspersky Internet Security, она будет работать в изолированной среде. Подобную функцию удобно использовать, скажем, в том случае, если во время сессии в браузере вы планируете посещать сайты, которые могут содержать подозрительный код. Кроме этого, такая функция может стать хорошей заменой режиму приватности, который появился в последних версиях популярных браузеров.
Стоит, однако, заметить, что Kaspersky Internet Security предоставляет лишь самые базовые возможности запуска программ в "песочнице". Специализированные приложения имеют гораздо больше возможностей. Рассмотрим некоторые популярные программы, предназначенные для работы в изолированной среде.
⇡ Sandboxie 3.44
- Разработчик: Ronen Tzur
- Размер дистрибутива: 1,6 Мб
- Распространение: shareware
- Русский интерфейс: есть
Sandboxie это, вне всякого сомнения, самое известное решение для организации "песочницы". В программе используется классический метод защиты указанное пользователем приложение помещается в изолированную среду, в результате чего оно не может влиять на работу системы. Интересно, что Sandboxie была разработана для использования с браузером Internet Explorer, который является одной из самых популярных мишеней кибер-преступников. Однако в настоящее время Sandboxie может работать практически с любым приложением Windows.
Одна из особенностей Sandboxie, которая отличает ее от многих других программ подобной плана, возможность создания неограниченного количества "песочниц". При этом пользователь может составить список приложений, которые будут запускаться в каждой из них. По умолчанию программа сама создает "песочницу" под названием DefaultBox, поэтому можно начинать работу с Sandboxie сразу же после установки. Для открытия программы или документа в изолированной среде нужно выбрать команду "Запустить в песочнице", которая появляется в контекстном меню Windows.
Если в будущем вы создадите дополнительные "песочницы", можно попросить программу открывать файлы и приложения не в DefaultBox, а в другой изолированной среде. Для этого выберите в меню "Пуск" пункт "Начальное меню Sandboxie" и измените "песочницу", которая будет использоваться по умолчанию.
Запускать приложения в изолированной среде можно не только из контекстного меню, но и непосредственно из окна Sandboxie. Для этого нужно щелкнуть правой кнопкой мыши по названию "песочницы" и выбрать соответствующую команду (данное меню доступно и при щелчке по значку Sandboxie в системном трее).
Кстати, для ускорения выбора можно использовать команды "Запустить Web-браузер" и "Запустить почтовый клиент", которые открывают приложения, установленные в системе по умолчанию. Используя контекстное меню "песочниц", можно выполнять и другие команды, например, одним щелчком мыши закрывать все приложения, запущенные в изолированной среде, просматривать содержимое "песочниц" или полностью удалять его.
Для того чтобы быстро идентифицировать программу, которая запущена в изолированной среде, в Sandboxie предусмотрена специальная команда "Окно в песочнице?", при выборе которой на экране появляется специальный прицел, перетащив который на нужное окно, можно получить информацию о статусе программы.
Впрочем, если "песочница" работает с параметрами по умолчанию, то этот инструмент не нужен, так как возле названия приложения в заголовке появляется значок [#]. Если по каким-то причинам показ значка в заголовке нужно отключить, это можно сделать в настройках "песочницы". Кроме этого, можно добавить в заголовок окна название "песочницы", а также нарисовать вокруг окна тонкую рамку любого цвета, которая поможет более наглядно определить принадлежность к ней.
Обратившись к другим параметрам "песочницы", можно гибко настроить разрешения на доступ к разным ресурсам. Так, можно определить, к каким файлам и папкам будет заблокирован доступ, к каким программы смогут обращаться только для чтения, а также настроить взаимодействие с ключами системного реестра.
При необходимости в настройках "песочницы" можно указать приложения, которые будут форсировано запускаться в ней. Иными словами, при запуске указанного файла Sandboxie будет перехватывать приложение и не давать ему работать в обычном режиме. Программа позволяет указать не только отдельные исполняемые файлы, но и папки, при запуске любых приложений из которых они будут открываться в безопасной среде. Последнюю возможность можно, например, использовать для запуска новых программ, которые были скачаны из Интернета в папку Downloads.
⇡ BufferZone Pro 3.31
- Разработчик: Trustware
- Размер дистрибутива: 9,2 Мб
- Распространение: shareware
- Русский интерфейс: нет
BufferZone Pro - это еще одно хорошее решение для работы с приложениями в изолированной среде. Несмотря на то, что с помощью программы можно запускать в "песочнице" самые разные приложения, она предназначена, прежде всего, для работы с браузерами, IM-клиентами, программами для обмена файлами через пиринговые сети и другим ПО для Интернета. Об этом говорит хотя бы то, что в BufferZone изначально имеется достаточно обширный список приложений, которые по умолчанию запускаются в безопасном режиме. Среди них Mozilla Firefox, Google Chrome, ICQ, BitComet, Skype, GoogleTalk и другие. Пользователь может редактировать этот список по своему усмотрению, добавляя в него дополнительные программы и удаляя ненужные.
Подобно рассмотренной выше утилите, BufferZone может отслеживать все приложения, которые запускаются на компьютере, и перенаправлять их в "песочницу". Также BufferZone может блокировать запуск любых неизвестных программ.
В отличие от Sandboxie, в этой программе не предусмотрено возможности создания нескольких "песочниц". Окна всех программ, которые запущены в "песочнице", обводятся красной рамкой. Увидеть, какие программы в данный момент работают в изолированной среде, можно также в главном окне BufferZone. Тут же отображается краткая статистика о работе программ в изолированной среде. BufferZone не только подсчитывает, сколько действий всего было произведено такими приложениями, но и ведет учет потенциально опасных операций в системе, а также угроз, относящихся к безопасности, которые удалось предотвратить.
В том случае, если программа, работающая в "песочнице", выполнила вредоносный код или другое деструктивное действие, можно быстро удалить все данные, относящиеся к приложениям, запущенным в изолированной среде. Кроме этого, предусмотрена возможность автоматической очистки таких данных согласно составленному пользователем расписанию.
В BufferZone есть и некоторые дополнительные возможности, которые не имеют непосредственного отношения к организации "песочнице", однако помогают повысить общий уровень безопасности компьютера. Так, при помощи программы можно запретить открытие файлов с внешних жестких дисков, DVD-дисков и с USB-накопителей или разрешить работу с такими данными только в изолированной среде.
В заключение отметим, что помимо платной версии BufferZone Pro имеется также бесплатная редакция программы. В ней реализован ряд ограничений, например, нет возможности создания снимка виртуальной среды и восстановления сохраненных в ней данных. Кроме этого, в бесплатной версии меньше приложений, для которых защита включена по умолчанию.
⇡ Заключение
Выбирая специализированную программу для запуска приложений в "песочнице", нужно иметь в виду, что существует два основных подхода к организации изолированной среды. В первом случае "песочница" создается для указанных пользователем приложений, и во время одной сессии работы за компьютером он использует и такие программы, которые запущены в изолированной среде, и такие, которые работают в обычном режиме. Программы, в которых используется такой подход к организации защиты системы, были рассмотрены в этой статье.
Однако такое решение приемлемо не всегда. Существует второй подход к организации работы ПО в изолированной среде, который подразумевает создание "песочницы" размером с целую операционную систему. При этом создается образ работающей системы, после чего пользователь начинает работать именно с ним, а не с реальной средой. Все произведенные им действия сохраняются только до перезагрузки, а после того, как она выполнена, система возвращается в исходное состояние. Такое решение удобно использовать на общественных ПК, например, в интернет-кафе, в компьютерных классах и т.д. О программах, при помощи которых можно организовать такую защиту, мы расскажем во второй части статьи.
