Инструменты для запуска приложений в виртуальной среде. Антивирус песочница


Антивирусные песочницы. Введение / Хабр

В процессе публикации последней части цикла статей «Ложь, большая ложь и антивирусы» выяснилась катастрофическая необразованность хабра-аудитории в области антивирусных песочниц, что они собой представляют и как работают. Что самое смешное в этой ситуации– в Сети практически начисто отсутствуют достоверные источники информации по данному вопросу. Лишь куча маркетоидной шелухи и текстов от не пойми кого в стиле «одна бабка сказала, слушай сюды». Придётся мне восполнять пробелы.

Определения.

Итак, песочница. Сам термин произошёл не от детской песочницы, как могут некоторые подумать, а от той, что пользуются пожарные. Это бак с песком, где можно безопасно работать с легковоспламеняющимися предметами либо бросать туда что-то уже горящее без боязни подпалить что-нибудь ещё. Отражая аналогию данного технического сооружения на софтверную составляющую, можно определить программную песочницу как «изолированную среду исполнения с контролируемыми правами». Именно так, например, работает песочница Java-машины. И любая другая песочница тоже, вне зависимости от предназначения.

Переходя к антивирусным песочницам, суть которых есть защита основной рабочей системы от потенциально опасного контента, можно выделить три базовые модели изоляции пространства песочницы от всей остальной системы.

1. Изоляция на основе полной виртуализации. Использование любой виртуальной машины в качестве защитного слоя над гостевой операционной системой, где установлен браузер и иные потенциально опасные программы, через которые пользователь может заразиться, даёт достаточно высокий уровень защиты основной рабочей системы.

Недостатки подобного подхода, кроме монструозного размера дистрибутива и сильного потребления ресурсов, кроются в неудобствах обмена данными между основной системой и песочницей. Более того, нужно постоянно возвращать состояние файловой системы и реестра к исходным для удаления заражения из песочницы. Если этого не делать, то, например, агенты спам-ботов будут продолжать свою работу внутри песочницы как ни в чём не бывало. Блокировать их песочнице нечем. Кроме того, непонятно, что делать с переносимыми носителями информации (флешки, например) или выкачанными из Интернета играми, в которых возможны зловредные закладки.

Пример подхода- Invincea.

2. Изоляция на основе частичной виртуализации файловой системы и реестра. Совсем необязательно таскать с собой движок виртуальной машины, можно подпихивать процессам в песочнице дубликаты объектов файловой системы и реестра, помещая в песочницу приложения на рабочей машине пользователя. Попытка модификации данных объектов приведёт к изменению лишь их копий внутри песочницы, реальные данные не пострадают. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

Недостатки подобного подхода также очевидны– обмен данными между виртуальным и реальным окружением затруднён, необходима постоянная очистка контейнеров виртуализации для возврата песочницы к изначальному, незаражённому состоянию. Также, возможны пробои либо обход такого вида песочниц и выход зловредных программных кодов в основную, незащищённую систему.

Пример подхода- SandboxIE, BufferZone, ZoneAlarm ForceField, изолированная среда Kaspersky Internet Security, Comodo Internet Security sandbox, Avast Internet Security sandbox.

3. Изоляция на основе правил. Все попытки изменения объектов файловой системы и реестра не виртуализируются, но рассматриваются с точки зрения набора внутренних правил средства защиты. Чем полнее и точнее такой набор, тем большую защиту от заражения основной системы предоставляет программа. То есть, этот подход представляет собой некий компромисс между удобством обмена данными между процессами внутри песочницы и реальной системой и уровнем защиты от зловредных модификаций. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

К плюсам такого подхода относится, также, отсутствие необходимости постоянного отката файловой системы и реестра к изначальному состоянию.

Недостатки подобного подхода– программная сложность реализации максимально точного и полноценного набора правил, возможность лишь частичного отката изменений внутри песочницы. Так же, как и любая песочница, работающая на базе рабочей системы, возможен пробой либо обход защищённой среды и выход зловредных кодов в основную, незащищённую среду исполнения.

Пример подхода- DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.

Существуют и смешанные подходы к изоляции процессов песочницы от остальной системы, основанные как на правилах, так и на виртуализации. Они наследуют как достоинства обоих методов, так и недостатки. Причём недостатки превалируют из-за особенностей психологического восприятия пользователей.

Примеры подхода- GeSWall, Windows User Account Control (UAC).

Методы принятия решения о помещении под защиту.

Перейдём к методам принятия решения о помещении процессов под защиту песочницей. Всего их три базовых:

1. На основе правил. То есть, модуль принятия решения смотрит на внутреннюю базу правил запуска тех или иных приложений или потенциально опасных файлов и, в зависимости от этого, запускает процессы в песочнице либо вне неё, на основной системе.

Преимущества данного подхода- наиболее максимальный уровень защиты. Закрываются как зловредные программные файлы, пришедшие из потенциально опасных мест через песочницу, так и неисполняемые файлы, содержащие зловредные скрипты.

Недостатки– могут быть проблемы при установке программ, пришедших через песочницу (хотя белые списки и сильно облегчают эту задачу), необходимость вручную запускать процессы в основной, доверенной зоне для обновления программ, обновляющихся только внутри себя самих (например, Mozilla FireFox, Utorrent или Opera).

Примеры программ с таким подходом- DefenseWall, SandboxIE, BufferZone, GeSWall.

2. На основе прав пользователя. Так работает Windows Limited User Account и защита на основе SRP и ACL. При создании нового пользователя ему предоставляются права доступа к определённым ресурсам, а также ограничения на доступ к другим. При необходимости программы работы с запрещёнными для данного пользователя ресурсами необходимо либо перелогиниться в системе под пользователем с подходящим набором прав и запустить программу, либо запустить её одну под таким пользователем, без перелогинивания основного работающего пользователя (Fast User Switch).

Преимущества такого подхода- относительно неплохой уровень общей защищённости системы.

Недостатки- нетривиальность управления защитой, возможность заражения через разрешённые для модификации ресурсы, поскольку модуль принятия решения не отслеживает такие изменения.

3. На основе эвристических подходов. В этом случае модуль принятия решения «смотрит» на исполняемый файл и пытается по косвенным данным угадать, запустить его на основной системе или в песочнице. Примеры– Kaspersky Internet Security HIPS, Comodo Internet Security sandbox.

Преимущества данного подхода- он более прозрачен для пользователя, чем на основе правил. Проще в обслуживании и реализации для компании–производителя.

Недостатки- неполноценность подобной защиты. Кроме того, что эвристик модуля принятия решения может «промахнуться» на исполняемом модуле, такие решения демонстрируют практически нулевую сопротивляемость неисполняемым файлам, содержащим зловредные скрипты. Ну, плюс ещё парочка проблем (например, с установкой зловредных расширений изнутри самого браузера, из тела эксплойта).

Отдельно хотелось обратить внимание на метод использования песочницы как средства эвристики, т.е. запуск программы в ней на некоторый промежуток времени с последующим анализом действий и принятием общего решения о зловредности– полноценной антивирусной песочницей данный подход не назвать. Ну что это за антивирусная песочница, которая устанавливается лишь на краткий период времени с возможностью полного её снятия?

Режимы использования антивирусных песочниц.

Их всего два основных.

1. Режим постоянной защиты. При старте процесса, который может быть угрозой для основной системы, он автоматически помещается в песочницу.

2. Режим ручной защиты. Пользователь самостоятельно принимает решение о запуске того либо иного приложения внутри песочницы.

Песочницы, имеющие основной режим работы как «постоянную защиту» могут, также, иметь и ручной режим запуска. Равно как и наоборот.

Для песочниц с изоляцией на основе правил характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно прозрачен.

Для эвристических песочниц также характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно несущественен либо сводится к оному.

Для неэвристических песочниц с изоляцией на основе частичной виртуализации характерен режим ручной защиты. Это связано с затруднённым обменом данными между процессами внутри песочницы и основной рабочей системой.

Примеры:

1. DefenseWall (песочница с изоляцией на основе правил) имеет основным режимом работы «постоянный на правилах». Однако, запуск вручную приложений внутри песочницы, равно как и вне неё, присутствуют.

2. SandboxIE (песочница и изоляцией на основе частичной виртуализации) имеет основным режимом работы «ручной». Но при покупке лицензии можно активировать режим «постоянный на правилах».

3. Comodo Internet Security sandbox (песочница с изоляцией на основе частичной виртуализации) имеет основной режим работы «постоянный эвристический». Однако, запуск приложений вручную внутри песочницы, равно как и вне неё, присутствуют.

Вот, в основном, базовые вещи, любой уважающий себя профессионал должен знать об антивирусных песочницах. У каждой отдельной программы свои особенности реализации, которые вы уже сами должны будете найти, понять и оценить те плюсы и минусы, которые она несёт.

habr.com

Обзор программ для работы с виртуальными песочницами

Ошибочно полагать, что встроенная защита операционной системы, антивирус или брандмауэр полностью защитят от вредоносных программ. Впрочем, вред может быть и не столь явным, как в случае с вирусами: несколько приложений способны замедлить работу Windows, повлечь за собой аномалии различного рода. Со временем последствия неконтролируемых процессов со стороны «самодеятельного» программного обеспечения дают о себе знать, и деинсталляция, удаление ключей реестра и другие способы очистки уже не помогают.

В таких ситуациях отличную службу могут сыграть программы-песочницы, которым посвящен этот обзор. Принцип работы песочниц отчасти сопоставим с виртуальными машинами (Oracle VM VirtualBox и др., VMware Virtualization). Благодаря виртуализации, все процессы, инициированные программой, выполняются в песочнице — изолированной среде с жестким контролем системных ресурсов.

Данный способ изоляции кода достаточно активно применяется в антивирусном ПО (KIS 2013, avast!), в программах, таких как Google Chrome (в песочнице работает Flash). Не следует, однако, делать вывод, что программы-песочницы являются полной гарантией безопасности. Это всего лишь одно из эффективных дополнительных средств по защите ОС (файловой системы, реестра) от внешних воздействий.

На iXBT.com уже был опубликован обзор программы для создания виртуального окружения — Free BufferZone Pro. Сегодня будут рассмотрены другие приложения, в более широком плане: это не только настольные решения, но и облачные сервисы, улучшающие не только безопасность, но и анонимность, дающие возможность запуска со съемного носителя, с другого компьютера.

Sandboxie

Домашняя страница: http://www.sandboxie.com/

Разработчик Ronen Tzur сравнивает действие программы Sandboxie с невидимым слоем, нанесенным поверх бумаги: на него можно наносить любые надписи; при снятии защиты, лист останется нетронутым.

Можно выделить 4 основных способа применения песочниц в Sandboxie:

  • Защищенный интернет-серфинг
  • Улучшение приватности
  • Безопасная email-переписка
  • Сохранение ОС в первоначальном состоянии

Последний пункт подразумевает, что в песочнице можно устанавливать и запускать любые клиентские приложения — браузеры, IM-мессенджеры, игры — без воздействия на систему. Sandboxie контролирует доступ к файлам, дисковым устройствам, ключам реестра, процессам, драйверам, портам и другим потенциально незащищенным источникам.

Прежде всего, SandboxIE полезна тем, что позволяет пользователю гибко настраивать песочницы и привилегии с помощью оболочки Sandboxie Control. Здесь, через контекстное и главного меню, доступны основные операции:

  • Запуск и остановка программ под контролем Sandboxie
  • Просмотр файлов внутри песочницы
  • Восстановление нужных файлов из песочницы
  • Удаление всех результатов работы или выборочных файлов
  • Создание, удаление и настройка песочниц

Для запуска программы в песочнице достаточно перетянуть исполнимый файл в окно Sandboxie Control, в созданную по умолчанию песочницу. Есть и другие способы — например, меню Проводника Windows или область уведомлений. Окно программы, запущенной в эмулированной среде, будет заключено в желтую рамку, а в заголовке указана решетка (#).

Работа программы в песочнице

Если при работе с изолированной программой нужно сохранить результаты на диск, указывается любой желаемый источник — файлы будут помещены в папку песочницы, в то время как по указанному адресу, за пределами песочницы, его не будет. Для «реального» переноса файлов из песочницы, следует использовать опцию восстановления. Есть два их вида — быстрое или немедленное, в обоих случаях, перед запуском программы в песочнице, нужно настроить папки для восстановления («Настройки песочницы — Восстановление»).

Немедленное восстановление файлов

Более детальные настройки доступа расположены в разделах «Ограничения» и «Доступ к ресурсам». Они могут потребоваться в том случае, если приложение не может работать без определенных привилегий (требуется определенная системная библиотека, драйвер или т. п.). В «Ограничениях», применительно к программам или группам, настраивается доступ в Интернет, к аппаратным средствам, IPC-объектам, а также доступ низкого уровня. В «Доступе к ресурсам» — соответствующие настройки для файлов, директорий, к реестру и прочим системным ресурсам.

Также в настройках Sandboxie находится важный раздел «Приложения», где собраны группы программ, для которых предоставлен доступ к указанным ресурсам. Изначально все элементы списка деактивированы, для применения изменений для конкретного приложения нужно отметить его в списке и нажать кнопку «Добавить».

Настройка доступа приложений

Таким образом, можно создавать песочницы с различными параметрами. Разрешается клонировать конфигурацию уже имеющейся песочницы, для этого, при создании новой, из выпадающего списка нужно выбрать ту среду, из которой требуется перенести настройки.

Резюме

С помощью приложения Sandboxie можно создавать виртуальные среды любых конфигураций, без ограничений для пользователя. Sandboxie предоставляет большое количество настроек как для отдельных приложений, так и для песочниц.

[+] Гибкая настройка каждой песочницы[+] Создание правил для группы программ[−] Нельзя создавать дистрибутивы[−] Отсутствие мастера настройки

Evalaze

Домашняя страница: http://www.evalaze.de/en/evalaze-oxid/

Символично, что Evalaze берет свое начало от программы Thinstall 2007, на данный момент принадлежащей компании VMware.

Evalaze не столь известна, как Sandboxie, среди программ для работы с песочницами, однако имеет ряд интересных особенностей, выделяющей ее из ряда подобных решений. Благодаря виртуализации, приложения можно запускать в автономной среде с любого компьютера, вне зависимости от наличия драйверов, библиотек, более новых версий запускаемого приложения. При этом не требуется ни предварительная настройка, ни дополнительные конфигурационные файлы или библиотеки или ключи реестра.

Evalaze не требует установки, один нюанс: для работы понадобится Microsoft .NET Framework версии 2.0 или выше. В бесплатной версии, равно как и в профессиональной редакции, доступен мастер настройки виртуализации и неограниченное количество виртуальных приложений. Скачать trial-версию с сайта разработчиков можно только по запросу (email разработчиков см. на сайте).

На странице Compatibility опубликован список приложений, протестированных на совместимость с различными ОС и версиями Evalaze. Например, такие программы, как Adobe Reader, AutoCAD, Google Earth, Outlook, Skype нельзя виртуализировать, в то же время, как большинство приложений из обширного списка полноценно работают с Evalaze.

Главное окно Evalaze

В главном окне Evalaze доступен мастер создания проекта (Start Wizard). На первом этапе указывается имя и расположение файлов для работы в песочнице. Перед установкой нового приложения Evalaze создает снимок файловой системы и реестра. В PRO-версии можно выбрать глубину сканирования, в бесплатной данной опции нет.

На следующем шаге требуется выбрать инсталлятор, произвести полную установку и запустить приложение хотя бы один раз. После чего в Evalaze запускается вторичное сканирование, сравниваются изменения и создается снимок виртуального приложения. Его можно «персонализировать»: настроить ярлыки на Рабочем столе, в Главном меню, добавить заставку.

Пользователь может выбрать один из трех способов изоляции новоявленного приложения — WriteCopy, Merge-Mode или Full. Для системных утилит, помещенных в песочницу, рекомендуется режим Write Copy, при котором запросы доступа для чтения передаются в песочницу, и все изменения производятся с копией реальных данных (подробнее см. здесь).

Полученная конфигурация может быть сохранена в проект. От начала и до конца процесс настройки виртуального приложения занимает больше времени, чем, скажем, в Sandboxie, однако он более последователен и понятен.

Следует отметить две дополнительные возможности Evalaze, которые, вероятно, заинтересуют разработчиков ПО, тестировщиков: это работа с виртуальной файловой системой и виртуальным реестром. Данные автономные среды Evalaze можно редактировать на свое усмотрение, добавляя файлы, директории, ключи, необходимые для функционирования той или иной виртуальной программы.

Также в Evalaze можно настраивать ассоциации «из коробки»: виртуальное приложение при запуске сразу создаст необходимые ассоциации с файлами в ОС.

Резюме

Программа, с помощью которой можно создавать автономные приложения, которые удобно использовать во всевозможных ситуациях, что в целом облегчает миграцию, совместимость, безопасность. Увы, бесплатная версия практически бесполезна, она интересна только для очень поверхностного изучения функций Evalaze.

[−] Малофункциональная ознакомительная версия[−] Высокая цена Pro-версии[+] Присутствует мастер настройки[+] Виртуальные файловая система и реестр

Enigma Virtual Box

Домашняя страница: http://www.enigmaprotector.com/en/downloads.html

Настройка виртуального приложения в Enigma Virtual Box

Программа Enigma Virtual Box предназначена для запуска приложений в изолированной виртуальной среде. Список поддерживаемых форматов включает в себя dll, ocx (библиотеки), avi, mp3 (мультимедиа), txt, doc (документы) и др.

Enigma Virtual Box моделирует виртуальную среду вокруг приложения следующим образом. Перед запуском приложения срабатывает загрузчик Virtual Box, который считывает информацию, которая необходима для работы программы: библиотеки и другие компоненты — и предоставляет их приложению вместо системных. В результате программа работает автономно по отношению к ОС.

На конфигурацию песочниц Sandboxie или Evalaze, как правило, уходит минут 5. На первый взгляд, в Virtual Box также не предполагается длительная настройка. В документации использование программы вмещается фактически в одно предложение.

Всего 4 вкладки — «Файлы», «Реестр», «Контейнеры» и, собственно, «Опции». Нужно выбрать исполнимый файл, указать расположение конечного результата и запустить обработку. Но впоследствии оказывается, что виртуальное среду нужно создавать самостоятельно. Для этого и предназначены три рядом идущие раздела «Файлы», «Реестр» и «Контейнеры», где вручную добавляются нужные данные. После чего можно нажать обработку, запустить выходной файл и проверить работоспособность программы.

Резюме

Таким образом, в Enigma Virtual Box нет анализа ОС до установки приложения и после, как в случае с Evalaze. Акцент смещен в сторону разработки — поэтому, скорее, Virtual Box полезен для тестирования, проверки совместимости, создания искусственных условий для запуска программы. Виртуализация неизвестных приложений вызовет затруднения, поскольку пользователь будет вынужден самостоятельно указывать все связи программы самостоятельно.

[−] Отсутствие удобной настройки[+] Используемые программой ресурсы можно определить самостоятельно

Cameyo

Домашняя страница: http://www.cameyo.com/

Cameyo предлагает виртуализацию приложений в трех направлениях: бизнес, разработка персональное использование. В последнем случае, песочницу можно задействовать для сохранения ОС в «чистом» состоянии, хранения и запуска приложений на съемных носителях и в облачные сервисах. Кроме того, на портале cameyo.com опубликовано несколько сотен уже сконфигурированных виртуальных приложений, а это еще и экономия времени пользователя.

Этапы создания виртуального приложения схожи с Enigma Virtual Box: вначале создается снимок системы перед установкой, затем после нее. Изменения между этими состояниями учитываются при создании песочницы. Однако, в отличие от Virtual Box, Cameyo синхронизируется с удаленным сервером и публикует приложение в облачном хранилище. Благодаря этому, приложения можно запускать на любом компьютере с предоставленным доступом к аккаунту.

Через библиотеку (Library) можно скачать для последующего запуска популярные системные приложения (Public Virtual Apps): архиваторы, браузеры, проигрыватели и даже антивирусы. При запуске предлагается выбрать исполнимый файл и указать, стабильно он работает или нет (что, видимо, как-то учитывается модераторами галереи Cameyo).

Библиотека приложений Cameyo

Еще одна интересная возможность — создание виртуального приложения через веб-интерфейс. Установщик можно загрузить с компьютера либо указать URL файла.

Процесс конвертации, по заявлениям, занимает от 10 до 20 минут, но часто время ожидания меньше в несколько раз. По окончании, на email приходит уведомление со ссылкой на опубликованный пакет.

Email-уведомление о создании дистрибутива

При всех облачных удобствах нужно отметить два важных момента. Первый: каждая программа время ко времени обновляется, а в библиотеке присутствуют достаточно устаревшие экземпляры. Второй аспект: приложения, добавленные пользователями, может идти вразрез с лицензией отдельно взятой программы. Необходимо это понимать и учитывать при создании пользовательских дистрибутивов. И третье — никто не даст гарантии, что виртуальное приложение, выложенное в галерею, не модифицировано злоумышленником.

Впрочем, говоря о безопасности, в Cameyo есть 4 режима работы приложения:

  • Data mode: программа может сохранять файлы в папке Документы и на Рабочем столе
  • Isolated: возможность записи в файловой системе и реестре отсутствует
  • Full access: свободный доступ к файловой системе и реестру
  • Customize this app: модификация меню для запуска, выбор места хранения программы и др.
Резюме

Удобный облачный сервис, к которому можно подключиться на любом компьютере, позволяющий быстро создавать портативные приложения. Настройка песочниц сведена к минимуму, не все прозрачно с проверкой на вирусы и безопасностью в целом — однако в данной ситуации достоинства способны компенсировать недостатки.

[+] Сетевая синхронизация[+] Доступ к пользовательским приложениям[+] Создание виртуальных приложений онлайн[−] Отсутствие настройки песочниц

Spoon.net

Домашняя страница: http://www.spoon.net/

Spoon Tools — это комплекс инструментов для создания виртуальных приложений. Кроме профессиональной среды Spoon Studio, spoon.net заслуживает внимания как облачный сервис, который интегрируется с Рабочим столом, позволяя быстро создавать песочницы.

Для интеграции с Рабочим столом необходимо зарегистрироваться на сервере spoon.net и установить специальный виджет. После регистрации пользователь получает возможность скачивать с сервера виртуальные приложения через удобную оболочку.

Четыре возможности, привносимые виджетом:

  • Создание песочниц для файлов и приложений
  • Наведение порядка на Рабочем столе посредством ярлыков, меню быстрого запуска
  • Безопасное тестирование новых приложений, запуск устаревших версий поверх новых
  • Отмена изменений, произведенных песочницей

Быстрый доступ к виджету spoon.net возможен посредством сочетания клавиш Alt + Win. Оболочка включает в себя строку поиска, по совместительству — консоль. В ней производится поиск приложений на компьютере и на веб-сервисе.

Консоль и строка поиска spool.net

Очень удобна организация десктопа: на виртуальный Рабочий стол можно перетянуть нужные файлы, которые будут синхронизироваться со spool.net. Новые песочницы можно создавать буквально двумя кликами.

Песочница, созданная в Spoon

Безусловно, по части настройки песочниц Spoon не может составить конкуренцию Sandboxie или Evalaze по той причине, что в Spoon они попросту отсутствуют. Нельзя устанавливать ограничения, конвертировать «обычное» приложение в виртуальное. Для этих целей предназначен комплекс Spoon Studio.

Резюме

Spoon — «самая облачная» оболочка для работы с виртуальными приложениями и, вместе с тем, наименее поддающаяся настройке. Данный продукт придется по вкусу пользователям, которым важна не столько безопасность работы посредством виртуализации, сколько удобство работы с необходимыми программами повсеместно.

[+] Интеграция виджета с Рабочим столом[+] Быстрое создание песочниц[−] Отсутствие настроек по ограничению виртуальных программ

Сводная таблица

Программа/сервисSandboxieEvalazeEnigma Virtual BoxCameyoSpoon.net
РазработчикSandboxie Holdings LLCDogel GmbHThe Enigma Protector Developers TeamCameyoSpoon.net
ЛицензияShareware (€13+)Freeware/Shareware (€69,95)FreewareFreewareFree (аккаунт Basic)
Добавление приложений в песочницу+
Персонализация (создание ярлыков, интеграция в меню)++++
Мастер настройки+++
Создание новых виртуальных приложений+++
Онлайн-синхронизация++
Настройка привилегий для песочницы++++
Анализ изменений при создании песочницы+++

www.ixbt.com

10 лучших бесплатных антивирусов - Лайфхакер

Покупка дорогостоящих лицензий комплексных антивирусных пакетов вполне оправданна для корпоративных пользователей. Но нет никакого смысла тратить деньги на домашний антивирус. Бесплатные версии популярных антивирусных продуктов вполне способны защитить ваш ПК.

1. AVG AntiVirus Free

Популярный бесплатный антивирус с простым интерфейсом. Весьма скромно потребляет системные ресурсы. В этом антивирусе есть панель управления AVG Zen для контроля над всеми вашими устройствами с установленным AVG, утилита для безопасного удаления конфиденциальных файлов, система веб-репутации и блокировщик слежения.

Преимущества: простой интерфейс, хороший антивирусный сканер.

Недостатки: плохая защита от фишинга.

Загрузить AVG AntiVirus Free для Windows →

Загрузить AVG AntiVirus Free для macOS →

2. Avira Free Security Suite

Очень популярный антивирус, в прошлом году удостоившийся высокой оценки от лаборатории SE Labs. Помимо антивирусной защиты, он поддерживает технологию облачного сканирования Protection Cloud.

Преимущества: хороший антивирусный сканер, наличие сетевого экрана и защиты от фишинга, дополнительные функции вроде менеджера паролей и клиента VPN.

Недостатки: неудобный интерфейс, навязывание дополнительных продуктов вроде инструмента для сравнения цен в интернет-магазинах.

Загрузить Avira Free Security Suite для Windows →

Загрузить Avira Free Antivirus для macOS →

3. Bitdefender Antivirus Free Edition

Это бесплатная версия известного антивируса Bitdefender. Антивирус завоевал награду «Лучший продукт 2017 года» по версии AV-Comparatives.

Преимущества: один из лучших показателей обнаружения и нейтрализации вредоносного ПО, защита от фишинга, простой интерфейс, скромное расходование ресурсов.

Недостатки: возможности настройки антивирусного сканирования урезаны по сравнению с платными решениями Bitdefender.

Загрузить Bitdefender Antivirus Free Edition для Windows →

4. Comodo Internet Security

Антивирус от компании Comodo — это настоящий комбайн, в котором, помимо антивирусной защиты, есть и файрвол, и антируткит, и облачный сканер, и «песочница». Есть возможность активировать «игровой режим», в котором уведомления антивируса отключены.

Преимущества: универсальность, широкие возможности (бесплатный антивирус Comodo содержит в себе те же функции, что и платные аналоги других разработчиков).

Недостатки: излишняя параноидальность файрвола, навязывание продуктов вроде Comodo GeekBuddy и Comodo Dragon Web Browser.

Загрузить Comodo Internet Security для Windows →

Загрузить Comodo Antivirus для macOS →

Загрузить Comodo Antivirus для Linux →

5. Avast Free Antivirus

Avast Free Antivirus используется уже 400 миллионами пользователей. Этот антивирус оснащён менеджером паролей и расширениями для браузеров. Имеется в Avast Free Antivirus и «игровой режим», в котором уведомления антивируса сводятся к минимуму, чтобы пользователя ничто не отвлекало. Помимо прочего, Avast Free Antivirus умеет создавать загрузочные диски и оценивать уязвимость Wi-Fi-сетей.

Преимущества: прекрасная функциональность для бесплатного продукта, встроенная «песочница», продвинутое облачное сканирование, защита от руткитов и фишинга.

Недостатки: периодически раздражает предложениями приобрести платную версию.

Загрузить Avast Free Antivirus для Windows →

Загрузить Avast Free Antivirus для macOS →

6. Kaspersky Free

Бесплатная версия российского антивируса, неизменно занимавшего высокие позиции во всевозможных рейтингах. Хотя это урезанный продукт, здесь есть всё для комфортного домашнего использования.

Преимущества: мощный антивирусный сканер и сетевая защита, простой интерфейс, отличная защита от фишинга.

Недостатки: довольно медлительное сканирование, прилагаемая бесплатная версия Kaspersky Secure Connection VPN имеет ограничения по трафику.

Загрузить Kaspersky Free для Windows →

7. Panda Free Antivirus

В Panda Free Antivirus есть возможность создать загрузочный диск, с которого можно запустить систему, если её повредил вирус. Если вы не хотите, чтобы антивирус напоминал о себе, можно включить «игровой режим».

Преимущества: инструмент USB-защиты, настраиваемое сканирование, создание загрузочных дисков, планировщик.

Недостатки: медлительность и большое потребление ресурсов.

Загрузить Panda Free Antivirus для Windows →

8. 360 Total Security

Бесплатный антивирус от китайских разработчиков. Включает в себя аж три антивирусных движка: от Bitdefender, Avira и свой, Qihoo. Кроме антивирусного сканера, содержит инструмент проверки Wi-Fi-сетей и «песочницу».

Преимущества: настраиваемые режимы защиты.

Недостатки: множество функций сомнительной полезности вроде «Оптимизации» и «Очистки».

Загрузить 360 Total Security для Windows →

Загрузить 360 Total Security для macOS →

9. Sophos Home

Sophos состоит из двух частей: панели управления, реализованной в виде веб-приложения, и клиента, который осуществляет сканирование в реальном времени. Антивирус защищает как от обычных вредоносных программ, так и от шифровальщиков. Кроме того, в комплект входит родительский контроль и удалённое управление вашими устройствами через веб-интерфейс.

Преимущества: хорошая защита от фишинга, родительский контроль и фильтрация сайтов.

Недостатки: весьма странный способ управления антивирусом через веб-приложение.

Загрузить Sophos Home для Windows →

Загрузить Sophos Home для macOS →

10. Защитник Windows

Стоит ли вообще устанавливать сторонние решения, если есть Microsoft Security Essentials? Это стандартный антивирус, включённый в Windows 10. Если вы пользуетесь более ранними версиями Windows, вы можете загрузить Security Essentials отдельно.

Преимущества: обеспечивает довольно-таки неплохую защиту, совершенно не влияя на работу системы.

Недостатки: небогатая функциональность.

Загрузить «Защитник Windows» →

Как видите, бесплатных антивирусов хватает, и каждый пользователь может выбрать из них более подходящий. Если вы предпочитаете проверенные и популярные решения, устанавливайте AVG или Avast Free Antivirus. Если больше доверяете продуктам от крупных вендоров, ваш выбор — Kaspersky Free или Bitdefender Antivirus Free Edition. Фанатам комплексных пакетов понравятся Avira Free Security Suite, 360 Total Security, Comodo Internet Security и Sophos Home.

Если вы используете другой бесплатный антивирус и считаете, что он лучше этих, поделитесь в комментариях.

lifehacker.ru

Часть 2. Анализ в оффлайн / Хабр

Итак, ранее мы познакомились с основными ресурсами, доступными в сети для анализа файлов.

Однако на практике случается довольно много случаев, когда использование онлайн-песочниц не позволяет решить задачу. Это может быть связано с самыми различными факторами, например:

— Доступ к интернет затруднителен — Онлайн-песочницы в данный момент перегружены, а выполнение анализа критично по времени — Выполнение в онлайн песочницах блокируется изучаемым файлом — Необходима более тонкая настройка режима выполнения файла при анализе, например — увеличение времени задержки с момента запуска

В этом случае на помощь нам приходит оффлайн-решение проблемы.

Суть работы практически любой песочницы — это ограничение выполнения программы в контролируемой среде с виртуализацией вносимых изменений в систему. Безусловно, идеальным решением такой задачи будет выполнение кода на виртуальной машине с возможностью отката назад до снимка, либо на физической машине с полным посекторным бэкапом системы с возможностью такого же отката назад. И это абсолютно верно — так же работают аналитики во всём мире, так же работают уже рассмотренные нами онлайн-песочницы. Однако в таком случае необходимо вручную снимать и анализировать дампы памяти, изучать изменения в системе, реестре и т.д. Мы же рассмотрим несколько решений, выполняющих эту работу автоматически. Ну или почти автоматически :)

В нашем обзоре мы будем двигаться от простого к сложному, от доступного — к затруднительному и от автоматического — к ручному. Мне кажется, что с таким подходом люди, которым станет скучно, уйдут и не потеряют ничего важного :)

Комплекс Buster Sandbox Analyzer + SandboxIE

SandboxIE — пожалуй, одна из самых перспективных программ-песочниц из имеющихся в открытом доступе. Связано это с рядом факторов, не последними в которых является постоянная поддержка и обновление программы автором, а также доступность бесплатного варианта использования с практически полным функционалом (во всяком случае для наших целей его вполне хватит). Самое главное — это поддержка в SandboxIE подключаемых плагинов, которые расширяют функционал.

Одним из таких плагинов является Buster Sandbox Analyzer или BSA. Этот плагин работает во многом подобно уже обсуждённой CWSandbox — внедряет динамическую библиотеку в адресное пространство исследуемого процесса, позволяя отслеживать API-вызовы в ходе выполнения. Кроме того, программа позволяет отслеживать сетевую активность, производить анализ изменённых файлов и другие полезные вещи.

Чтобы оценить работу этой системы, вначале построим её. Дополнительно нужно будет скачать такие два аддона на SandboxIE: Block Process Access и Antidel. Эти плагины позволяют с одной стороны скрыть от анализируемого процесса наличие других процессов вне песочницы, а с другой — воспрепятствовать удалению файлов в ходе работы (полезно при анализе некоторых дропперов).

Далее:

1. Устанавливаем SandboxIE.

2. Создаём дополнительную песочницу через Песочница — Создать новую песочницу. Я её назвал BSA — пусть и у вас будет так же для простоты.

3. Правой кнопкой мыши щёлкаем на песочницу BSA в списке окна программы и выбираем Настройки песочницы.

4. Критично: Поведение — Отображать границу вокруг окна — выбрать красныйRecovery. — Немедленное восстановление — убрать галку И вообще убедиться, что ни одной папки нет в восстановлении.Delete — поснимать все галки про удаление.Restrictions — Доступ в Internet — поудалять все программы, пока не появится надпись «Ни одна программа не сможет получить доступ в Internet». Запомните эту опцию — для некоторых зловредов доступ нужно будет открывать, но учтите, что в этом случае все пароли и информация с хостовой машины уйдут злоумышленнику.Restrictions — Доступ на запуск и выполнение — разрешить всем.Доступ низкого уровня и аппаратные средства — все галки поснимать. Это важно, иначе низкоуровневые вирусы типа TDSS, Mebratix, Mebroot пролезут из песочницы в систему. Остальные опции оставить по умолчанию. В дальнейшем можно их настроить на свой вкус — там всё достаточно понятно.

5. В папке, куда установили SandboxIE, создаём папку Buster Sandbox Analyzer, куда распаковываем всё, что скачано выше.

6. Файл LOG_API.DLL переименовываем во что хотите. Я его назвал LAPI.DLL. Также переименовываем HideDriver.sys.

7. В главном окне SandboxIE выбираем Настроить — Редактировать конфигурацию. В открывшемся текстовом документе находим раздел BSA сразу под этими буквами добавляем строки:

InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\sbiextra.dll InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\antidel.dll InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\LAPI.dll OpenWinClass=TFormBSA

Путь у вас, конечно, может отличаться. Но порядок инжектируемых библиотек обязательно должен быть такой!

Теперь обратите внимание на раздел GlobalSettings, а конкретно на параметр FileRootPath:

FileRootPath=C:\Sandbox\%SANDBOX% (у вас может отличаться).

Запомните его значение.

8. Сохраняем текстовый файл по оригинальному пути. В главном окне SandboxIE выбираем Настроить — Перезагрузить конфигурацию.

9. В главном окне SandboxIE выбираем: Настроить — Интеграция в проводник Windows — Запустить управление SandboxIE — когда запускается программа в песочнице и Действия «запускать в песочнице» — добавить пункт контекстного меню «Запустить в песочнице» для файлов и папок.

10. Запускаем Buster Sandbox Analyzer (вручную, из одноимённой папки путём запуска bsa.exe.

11. Выбираем Options — Analysis mode — Manual и Options — Program Options — Windows Shell Intagration — Add right-click action «Run BSA».

Всё готово для работы.

Как это использовать?

1. Отключаем резидентный антивирус (если имеется).

2. Наводим мышкой на изучаемый процесс и жмём правой кнопкой Run BSA. Откроется окно BSA.

3. Убедитесь, что в строке Sandbox folder to check указана папка, которая совпадает со значением параметра FileRootPath SandboxIE (см. выше), только вместо %SANDBOX% в ней указано BSA. В моём случае при параметре

FileRootPath=C:\Sandbox\%SANDBOX%

в BSA должно стоять

C:\Sandbox\BSA

4. Нажмите Start Analysis.

5. Наводим мышкой на изучаемый процесс и жмём правой кнопкой Запустить в песочнице. В предлагаемом списке песочниц выбираем BSA.

Всё. Процесс пойдёт. Вы будете видеть лог API-вызовов в BSA и активные процессы в главном окне SandboxIE. Иногда процесс завершится, тогда в BSA жмите Finish Analysis, иногда — его нужно прибить в SandboxIE (например, для файловых инфекторов), выбрав на правой мышкой на активной песочнице BSA Завершить программы.

По окончании BSA выдаст детальный отчёт об изменениях в системе, можно также через Viewer ознакомиться с другими отчётами. Если поставите в систему WinPcap — сможете даже перехватывать пакеты из песочницы, хотя там это не очень здорово организовано, нет, например, персонализации UDP-пакетов. Но если очень хочется — то можно, но при этом на хостовой системе следует заглушить все сетевые приложения, особенно торренты.

После работы, кликнув на песочнице BSA правой мышкой можно выбрать Просмотреть содержимое и изучить все файлы, созданные или изменённые процессом в ходе работы.

Логи BSA и файлы песочницы хранятся до следующего запуска нового процесса на исследование.

Следует заметить, что возможен прямой анализ изменений, вносимых в систему изучаемым файлом. Учитывая то, что виртуализованный реестр хранится C:\Sandbox\%SANDBOX%\RegHive, то перевести его в «понятный» вид крайне просто вот таким командным скриптом:

REG LOAD HKLM\uuusandboxuuu C:\Sandbox\DefaultBox\RegHive REG EXPORT HKLM\uuusandboxuuu C:\Sandbox\sandbox.reg REG UNLOAD HKLM\uuusandboxuuu

Только учтите, что «DefaultBox» у каждого будет индивидуален — но об этом уже мы говорили выше.

Полученный файл sandbox.reg будет содержать все внесённые в реестр изменения, которые легко проанализировать.

Возможность SandboxIE инжектировать динамические библиотеки в процесс может быть эффективно использована зловредного кода, выполняемого не в виде PE-исполняемого файла, а виде библиотеки, инжектируемой в адресное пространство процессов или регистрируемой в качестве сервиса. Но об этом — совершенно другой и непростой разговор.

ZeroWine

Одним из наиболее распространённых приёмов автоматизации изучения зловредного кода является объединение выполнения ряда операций и утилит на Linux-системе с помощью скриптов Python. Именно так поступил Joxean Koret при создании своего проекта ZeroWine. ZeroWine — это образ виртуальной машины QEmu (который, однако, легко может быть конвертирован для других систем, в том числе VBox и VMWare), построенный на базе Debian. Вредоносный файл можно загрузить через веб-интерфейс, в результате чего он выполняется в среде wine, работа его контролируется рядом утилит, автоматизированных скриптом на Python. В результате, пользователь может получить информацию о вызываемых командах, дампы памяти процесса, перехват сетевых пакетов и др.

Другим «лицом» проекта ZeroWine является ZeroWine-tryouts? в котором внесено несколько дополнительных функций.

К сожалению, использование wine не позволяет полностью создать среду для вредоносов, которая бы соответствовала Windows. В результате этого выполнение кода может быть совершенно не таким, а иногда оно может просто не происходить. Сам автор указывает на ряд недочётов в своей программе, а также на лёгкий способ обнаружения выполнения в среде wine со стороны исследуемого процесса. Да и логи, представленные на скринах на сайте автора вряд ли могут помочь в понимании механизма заражения и планирования процесса лечения, скорее, они представят интерес для аналитика, строящего сигнатурную или поведенческую защиту от зловредов.

От себя хочу добавить, что хоть ZeroWine обновился в декабре прошлого года, мне лично больше понравился старый (с 2009 года) ZeroWine-tryout — может быть из-за более гибкой настройки и управления сканированием, а может быть — потому что он у меня запустился нормально, в отличие от новой версии :)

Распределённые системы анализа

Это — наиболее серьёзные и сложные решения аналитического характера. Обычно, распределённые системы представляют собой Linux-систему, работающую как сервер, принимающую и обрабатывающую дампы и логи, получаемые с заражённой Windows-системы. Такой механизм может быть построен в рамке взаимодействия виртуальных машин, либо виртуального Windows-гостя с Linux-хостом. По последнему принципу построен MINIBIS — Вы можете свободно скачать всё необходимое для развёртывания такой системы, базирующейся на выполнении виртуальной Windows XP в среде Ubuntu. Ещё одним интересным подходом является использование гипервизора, как в проекте Ether.

Однако если уж Вы решили заняться данным вопросом серьёзно — наиболее правильным подходом является построение своей собственной системы на базе двух физических машин. При этом Linux-система обычно работает в роли эмулятора сетевого соединения и конечной станции обработки информации, а Windows — как исследуемая база, на которой выполняется зловредный код. В сети свободно распространяются как готовые решения — например Truman, так и примеры Linux-систем, например REMnux и SIFT Workstation.

Безусловно, Вы можете сами создать любую аналогичную систему на базе любимого дистрибутива Linux (настоятельно рекомендую Ubuntu, но не потому что являюсь её фанатом, а потому что к сожалению специализированный софт был заточен под Debian, а сейчас — почти всегда под Ubuntu), дополнив её необходимым софтом и скриптами по образу и подобию описанных выше или по собственному разумению. Однако описание создания таких систем чрезвычайно сложно и длительно, поэтому я приведу ряд ссылок на проекты, которые могут быть интересны и полезны в такой работе.

— Невидимый прокси-сервер для перехвата и анализа http/https-трафика, используемого для связи с C&C и скачивания модулей. Пример — Burp Suite. — Симулятор интернета, например INetSim. — Централизованная система восстановления образов, например FOG. — Система анализа дампов памяти, лучшая имхо тут Volatality Framework. — Антивирусная система ClamAV для автоматизации классификации найденных зловредов. Я сознательно не пишу коммерческие антивирусы не по причине убеждённости, что ClamAV круче (что неверно), а по причине возможности добавления собственных сигнатур в ClamAV, чего нет в коммерческих вариантах. В крайнем случае можно использовать для тех же целей YARA. — Утилиты для анализа и деобфускации JS, PDF, Flash, java-скриптов, парсинга файловой системы Windows, работы с сигнатурами файлов и распаковки — всё это есть в большом количестве в сети, описать всё невозможно и всегда является делом вкуса. В частности, ряд таких утилит упомянут на сайте проекта REMnux и входит в его состав.

На этой оптимистической ноте я заканчиваю (?) свой опус, если всё же возникнут вопросы — буду рад отписаться в комментах. Спасибо тем, кто дотерпел и дочитал это до конца :)

habr.com

Avast Antivirus. Настройки песочницы

Экран Виртуализированные процессы может быть полезен, если нужно запускать сомнительные приложения в песочнице регулярно. Можно указать песочнице всегда выполнять виртуализацию определенного приложения или нескольких приложений, содержащихся в папке.

Чтобы добавить приложение, вручную введите его расположение в текстовое поле или щелкните кнопку Обзор и выберите файл (с расширением .exe), а затем нажмите OK. Можно также щелкнуть значок приложения в Windows правой кнопкой мыши и выбрать в контекстном меню пункт Всегда запускать в песочнице.

Чтобы добавить папку, содержащую несколько приложений, выполните следующие действия.

  1. Щелкните стрелку вниз рядом с элементом Виртуализированные папки, чтобы развернуть этот раздел.
  2. Щелкните Обзор и отметьте флажком папку, которую нужно виртуализировать, после этого нажмите OK.

Чтобы добавить в список еще один элемент, щелкните Добавить. Чтобы удалить элемент, щелкните нужную строку, а затем нажмите Udalit'.

Расположение файлов и папок может содержать знаки подстановки: ? и *. Звездочка может замещать ноль и более символов, знак вопроса замещает только один символ. Например:

  • для запуска всех исполняемых файлов в песочнице введите в текстовое поле *.exe;
  • чтобы запускать в песочнице все файлы из папок с определенной отметкой на любом из ваших жестких дисков, добавьте в начало пути ?:\ (например, ?:\example\*).

Примечание. Если программа Avast после сканирования отмечает файл как подозрительный, но вам нужно регулярно его использовать, рекомендуем добавить его в исключения, выбрав ☰ Меню ▸ Настройки ▸ Общие ▸ Исключения, а затем добавив этот файл в список Виртуализированные процессы, чтобы он всегда автоматически запускался в песочнице.

help.avast.com

Инструменты для запуска приложений в виртуальной среде

Содержание статьи

Можно бесконечно смотреть на огонь, воду и активность программ, изолированных в песочнице. Благодаря виртуализации ты одним кликом можешь отправить результаты этой деятельности — зачастую небезопасной — в небытие.

Впрочем, виртуализация применяется и в исследовательских целях: например, захотелось тебе проконтролировать воздействие свежескомпилированной программы на систему или запустить две разные версии приложения одновременно. Или создать автономное приложение, которое не будет оставлять следов в системе. Вариантов применения песочницы — множество. Не программа диктует свои условия в системе, а ты ей указываешь дорогу и распределяешь ресурсы.

 

Sandboxie

  • Сайт: http://www.sandboxie.com
  • Разработчик: Sandboxie Holdings LLC
  • Лицензия: shareware (15 евро)
Монитор доступа к ресурсам

Sandboxie — это, безусловно, классика жанра. С помощью этой программы ты можешь не только изолировать деятельность приложений, но и обезопасить интернет-активность и улучшить приватность.

Вначале создается песочница и определяются настройки окружения, где будут пресмыкаться программы. Песочниц может быть сколько угодно, с различным набором приложений и конфигураций. Тебе доступны распределение прав доступа, настройка исключений, распределение ресурсов, поведение Sandboxie при завершении активности приложения и прочее.

Внутренний мир песочницы легче понять, очутившись внутри ее. Перетащи текстовый редактор в песочницу и попробуй сохранить файл с текстом на рабочем столе — Sandboxie перехватывает запрос и предлагает действие с сохраняемым файлом на выбор. Через настройки ты можешь заранее указать папки и файлы, которые подлежат быстрому или немедленному (то есть автоматическому) восстановлению. Файлы из песочницы могут быть удалены после завершения эмуляции — соответственно, смотри раздел «Удаление».

Управление Sandboxie вполне интуитивно, тебе не нужно вспоминать, добавил ты программу в песочницу или нет. Достаточно взглянуть на окно приложения: если оно помечено индикатором [#] в заголовке, имеет окантовку желтого цвета — значит, все под контролем Sandboxie.

Ты можешь прикрыть доступ к файлам, окнам, реестру, процессам, портам, сети и прочим лакомым ресурсам, а затем указать группы программ, для которых будут применяться соответствующие ограничения. Более того, о тебе уже позаботился разработчик, составив правила доступа для популярных приложений. Зайди в раздел «Приложения» и выставь настройки для знакомой тулзы, благо что здесь есть интернет-софт, утилиты и менее жадные к ресурсам представители. Немаловажно отметить, что Sandboxie располагает списком опций для популярных антивирусов и файрволов, это поможет избежать конфликтов, при их известной взаимной ненависти.

В Sandboxie обнаруживается очень полезный инструмент — монитор доступа к ресурсам. Посредством его ты можешь отследить запросы приложения к ресурсам. Эта информация нужна как для собственно контроля, так и для составления пользовательских правил блокировки.

Для тех, кто в Windows 8.1: придется подождать очередного обновления программы, с этой ОС Sandboxie на момент написания статьи не дружил.

 

Shadow Defender

Shadow Defender

Shadow Defender, одна из ближайших альтернатив Sandboxie, предлагает пользователю запускать программы в «теневом режиме». Естественно, как ни называй, это все та же песочница. Настроив Shadow Defender, ты можешь доверить машину другому пользователю или самостоятельно поглумиться над системой — после перезагрузки она предстанет перед тобой в первозданном виде. Конечно, если Shadow Defender не сдаст свой пост.

Shadow Defender гораздо проще и интуитивнее Sandboxie. Тебе достаточно отметить «теневые» разделы жесткого диска (Mode Setting) и определить список исключений файлов и ключей реестра (Registry / File Exclusion List). Можно включить автоматический переход в теневой режим при загрузке.

Из других опций обрати внимание на кеширование: изменения будут записываться в память, а по исчерпании ее резервов — на диск. Для пущей безопасности предусмотрено шифрование кеша.

Со всеми изменениями в процессе эксплуатации приложения можно ознакомиться в разделе Commit Now. Есть два способа принять изменения — прямо в этом разделе либо контекстное меню.

Как альтернативу этой проге можно посоветовать Deep Freeze или ToolWiz Time Freeze. Последний вариант будет попроще в настройках и наглядней: с уведомлениями на рабочем столе. Иначе бывает сложно вспомнить, в песочнице ты сейчас или вылез из нее.

 

VMware ThinApp

Процесс виртуализации

ThinApp от небезызвестной тебе VMware представляет собой мощный инструмент для изоляции, обеспечения безопасности, а также создания мобильных (то есть портативных) приложений.

Механизм работы похож на описанные программы: ты делаешь снимок системы, устанавливаешь программу, запускаешь и настраиваешь ее, сверяешь изменения и на их основе создаешь среду для запуска софта. Особенность VMware ThinApp в том, что ты тщательно контролируешь процесс от начала и до конца, начиная с предварительного сканирования. На этом этапе ты указываешь диски и разделы реестра для анализа. После сканирования можно создать группу для запуска приложений (с поддержкой Active Directory) и режим изоляции:

  • Merged Isolation Mode — возможность чтения и записи вне виртуального окружения;
  • WriteCopy isolation mode — операции записи перенаправляются в песочницу.

Теперь нужно указать пользовательскую директорию, куда прога будет записывать изменения. Все служебные файлы песочницы также будут храниться в этой папке. Удалив их, ты вернешь приложение к ее исходному состоянию. Если разместить песочницу в сетевой папке, можно будет дать к ней общий доступ.

Наконец, завершающая стадия — создание установочного MSI-пакета. Более тонкие настройки можно задавать через внешний конфиг Package.ini и макросы (актуальный мануал ищи здесь.

Если тебя не устраивает медлительность процесса, с помощью тулзы ThinApp Converter ты можешь поставить виртуализацию на поток. Инсталляторы будут создаваться на основе указанного тобой конфига.

Вообще, разработчики советуют производить все указанные препарации в стерильных условиях, на свежей ОС, дабы все нюансы установки были учтены. Для этих целей можно использовать виртуальную машину, но, разумеется, это наложит свой отпечаток на скорость работы. VMware ThinApp и без того неслабо грузит системные ресурсы, причем не только в режиме сканирования. Однако, как говорится, медленно, но верно.

 

BufferZone

  • Сайт: www.trustware.com
  • Разработчик: Trustware
  • Лицензия: freeware
Мощь настроек BufferZone

BufferZone контролирует интернет- и программную активность приложений с помощью виртуальной зоны, вплотную приближаясь к файрволам. Другими словами, здесь применяется виртуализация, регулируемая с помощью правил. BufferZone легко срабатывается в связке с браузерами, мессенджерами, почтовыми и P2P-клиентами.

На момент написания статьи разработчики предупреждали о возможных проблемах при работе с Windows 8. Программа способна убить систему, после чего ее придется удалять через безопасный режим. Виной тому драйверы BufferZone, которые вступают в нешуточный конфликт с ОС.

То, что попадает под радар BufferZone, можно отследить в главном разделе Summary. Число ограниченных приложений ты определяешь сам: для этого предназначен список Programs to run inside BufferZone. В него уже включены потенциально небезопасные приложения вроде браузеров и почтовых клиентов. Вокруг окна захваченного приложения появляется красная рамка, что придает уверенность при безопасном серфинге. Хочешь запустить вне зоны — без проблем, контроль можно обойти через контекстное меню.

Помимо виртуальной зоны, есть такое понятие, как зона приватная. В нее можно добавить сайты, на которых требуется соблюдать строжайшую конфиденциальность. Сразу нужно отметить, что функция работает только в Internet Explorer ретро-версий. В более современных браузерах имеются встроенные средства для обеспечения анонимности.

В разделе Policy настраивается политика по отношению к установщикам и обновлениям, а также программам, запущенным с устройств и сетевых источников. В Configurations также смотри дополнительные опции политики безопасности (Advanced Policy). Имеется шесть уровней контроля, в зависимости от чего меняется отношение BufferZone к программам: без защиты (1), автоматический (2) и полуавтоматический (3), уведомления о запуске всех (4) и неподписанных программ (5), максимальная защита (6).

Как видишь, ценность BufferZone состоит в тотальном интернет-контроле. Если тебе нужны более гибкие правила, то любой файрвол тебе в помощь. В BufferZone он также есть, но больше для галочки: позволяет блокировать приложения, сетевые адреса и порты. С практической точки зрения он малоудобен для активного обращения к настройкам.

 

Evalaze

Evalaze: вместо приветствия

Главная фишка Evalaze заключается в гибкости виртуализированных приложений: их можно запускать со сменных носителей или из сетевого окружения. Программа позволяет создавать полностью автономные дистрибутивы, функционирующие в эмулированной среде файловой системы и реестра.

Главная особенность Evalaze — это удобный мастер, который понятен без чтения мануала. Вначале ты делаешь образ ОС до установки программы, затем инсталлируешь ее, производишь тестовый запуск, настраиваешь. Далее, следуя мастеру Evalaze, анализируешь изменения. Очень напоминает принцип работы деинсталляторов (например, Soft Organizer).

Виртуализированные приложения могут работать в двух режимах: в первом случае операции записи перенаправляются в песочницу, во втором программа сможет записывать и читать файлы в реальной системе. Будет ли программа удалять следы своей деятельности или нет — решать тебе, опция Delete Old Sandbox Automatic к твоим услугам.

Множество интересных фич доступно только в коммерческой версии Evalaze. Среди них — редактирование элементов окружения (таких как файлы и ключи реестра), импорт проектов, настройка режима чтения. Однако лицензия стоит больше двух тысяч евро, что, согласись, несколько превышает психологический ценовой барьер. По аналогично неподъемной цене предлагается использование сервиса онлайн-виртуализации. В качестве утешения на сайте разработчика есть заготовленные виртуальные приложения-образцы.

 

Cameyo

  • Сайт: www.cameyo.com
  • Разработчик: Cameyo
  • Лицензия: freeware
Редактор песочницы Cameyo

Беглый осмотр Cameyo наводит на мысль, что функции аналогичны Evalaze и ты в три клика можешь «слепить» дистрибутив с виртуализированным приложением. Упаковщик делает снимок системы, сравнивает его с изменениями после установки софта и создает экосистему для запуска.

Важнейшее отличие от Evalaze состоит в том, что программа полностью бесплатна и не блокирует ни одной опции. Настройки удобно сосредоточены: переключение способа виртуализации с сохранением на диск или в память, выбор режима изоляции: сохранение документов в указанные директории, запрет на запись или полный доступ. Вдобавок к этому можешь настроить виртуальную среду с помощью редактора файлов и ключей реестра. Каждая папка также имеет один из трех уровней изоляции, который легко переопределить.

Ты можешь указать режим очистки песочницы после выхода из автономного приложения: удаление следов, без очистки и запись изменений реестра в файл. Доступна также интеграция с проводником и возможность привязки к конкретным типам файлов в системе, чего нет даже в платных аналогах Cameyo.

Однако самое интересное — это не локальная часть Cameyo, а онлайн-упаковщик ипубличные виртуальные приложения. Достаточно указать URL или закинуть MSI или EXE-инсталлятор на сервер, указав разрядность системы, — и на выходе получаешь автономный пакет. С этого момента он доступен под крышей твоего облака.

 

Резюме

Sandboxie будет оптимальным выбором для экспериментов в песочнице. Программа наиболее информативна среди перечисленных инструментов, в ней доступна функция мониторинга. Широкий выбор настроек и неплохие возможности по управлению группой приложений.

Shadow Defender не имеет каких-то уникальных функций, но зато очень проста и безотказна. Любопытный факт: статья писалась внутри этой «песочницы», и по досадной ошибке все изменения ушли в «тень» (читай: астрал). Если бы не Dropbox, на этой странице был бы опубликован совсем другой текст — скорее всего, другого автора.

Evalaze предлагает не комплексный подход виртуализации, а индивидуальный: ты контролируешь запуск конкретного приложения, создав для этого искусственные условия обитания. Здесь есть свои достоинства и недостатки. Впрочем, с учетом урезанности бесплатной версии Evalaze, и достоинства померкнут в твоих глазах.

Cameyo несет в себе некоторый «облачный» привкус: приложение можно скачать с сайта, закинуть на флешку или в Dropbox — это во многих случаях удобно. Правда, наводит на ассоциации с фастфудом: за качество и соответствие содержания описанию ручаться не приходится.

А вот если ты предпочитаешь готовить по рецепту, VMware ThinApp — твой вариант. Это решение для экспертов, которым важен каждый нюанс. Набор уникальных функций дополняется возможностями консоли. Ты можешь конвертировать приложения из командной строки, используя конфиги, сценарии — в индивидуальном и пакетном режиме.

BufferZone представляет собой песочницу с функцией файрвола. Этот гибрид далек от совершенства и актуальности настроек, но для контроля интернет-активности и приложений, защиты от вирусов и прочих угроз BufferZone использовать можно.

 

xakep.ru

Песочница для windows. Запуск подозрительных файлов

Интернет просто кишит вирусами. Они могут быть под видом полезных программ, или даже могут быть встроенны в рабочую нужную программу. (Довольно часто можно встретить в взломанных программах, так что ко взломанным программам стоит относится с недоверием, особенно если скачиваете с подозрительных сайтов). Вот вы поставили програмку а в компьютер вам бонусом поставилось что то ещё ( в лучшем случае программы для скрытого серфинга или майнеры) а в худшем ратники, бэкдоры, стилеры и прочая пакость.

Есть 2 варианта если вы не доверяете файлу. — Запуск вируса в песочнице — Использование виртуальных машин

                              В этой статье мы рассмотрим 1-й вариант — песочница для windows .

Песочница для windows прекрасная возможность работы с подозрительными файлами, мы рассмотрим как начать пользоваться песочницей.Если вы используете антивирусы, песочницы часто встраивают уже в них. Но я не люблю эти штуки и считаю оптимальным скачать песочницу на сайте www.sandboxie.com.

Программа позволяет запустить файл в специально-выделенной области, за пределы которой вирусы не могут вырваться и навредить компьютеру.

Вы можете скачать программу бесплатно. Но, после 2х недель использования будет повляться при влючении табличка о предложении купить подписку, и программу можно будет запустить через несколько секунд. Но программа все равно остаётся вполне работоспособной. Установка не вызовет затруднений. Да и сам интерфейс довольно простой.

 

 

По умолчанию программа будет запускаться сама при включении компьютера. Если программа запущена, появится значок в трее. Если нет следует запустить в Пуск-Все программы-Sandboxie- Управление sandboxie. Самый простой способ запустить программу в песочнице, это щелкнуть правой кнопкой мыши по файлу запуска или по ярлыку нужной программы, и в меню вы увидите надпись «Запустить в песочнице» кликаете и запускаете. Выбираете нужный профиль в котором запустить и нажимаете OK. Всё, нужная программа работает в безопасной среде и вирусы не вырвутся за пределы песочницы.

Внимание : некоторые зараженные программы не допускают запуск в песочницах и виртуальных машинах, вынуждая запустить прямо так. Если вы столкнулись с такой реакцией лучшим будет удалить файл, иначе запускаете на свой страх и риск

.

Если в контекстном меню (при нажатии правой кнопкой) не появился запуск в песочнице, переходите в окно программы , выбираете Настроить — Интеграция в проводник Windows — и ставите галочку на два пункта под надписью " Действия — запускать в песочнице.

Вы можете создавать разные песочницы. Для этого нажимаем Песочница — создать песочницу и пишите название новой. Так же в разделе песочница можно удалять старые (рекомендуется).

Более рассматривать в программе нечего. На последок хочу сказать - Берегите свои данные и свой компьютер! До новых встреч

teralex.ru