Sandboxie - это, без всяких сомнений, самая известная программа для создания "песочницы".
В этой программе применяется классический способ защиты указанного пользователем приложения помещается в специальную изолированную среду, в следствии чего, приложение не может повлиять на работу самой системы. Самое интересное, что Sandboxie была специально разработана для применения с браузером Internet Explorer, являющимся единственной из всех главных целей кибер преступников. Однако на сегодняшний день Sandboxie работает практически с любым приложением в среде Windows.

Особенность Sandboxie, которая сильно отличает ее от многих известных программ подобного плана, это возможность создания безграничного количества "песочниц". При том, что пользователь легко может составить список своих приложений, которые будут работать только в них. По умолчанию программа сама создаст "песочницу" с названием DefaultBox, так что можно спокойно работать с Sandboxie сразу после установки. Для просмотра какого-то документа или программы в защищенной среде SandBoxie нужно выбрать пункт "Запустить в песочнице", которая расположена, в контекстном меню Windows.

Если в будущем вам нужно создать дополнительные "песочницы", нужно указать программе, открывать файлы и приложения в другой созданной вами защищенной среде. Нужно просто выбрать в меню "Пуск" пункт " Начальное меню Sandboxie" и замените "песочницу", которая в дальнейшем будет использоваться программой по умолчанию.

Запускать песочницу можно не только из контекстного меню, но и из окна самой песочницы Sandboxie. Для этого достаточно кликнуть правой кнопкой мыши на выбранной "песочнице" и выбрать нужную команду (это меню доступно и при нажатии на значок Sandboxie в системном трее).

Так же, для ускорения выбора приложения можно использовать команду "Запустить Web-браузер", "Запустить почтовый клиент", которые могут запускать приложения, обозначенные в системе по умолчанию. Применяя контекстное меню "песочницы", можно выполнять и другие различные команды, например, щелчком мыши закрывать сразу все приложения, которые находятся в изолированной среде, дополнительно можно просматривать содержимое и полностью его удалять.

Для того, чтобы быстро определить программу, которая запущена в "песочнице", предусмотрена дополнительная команда "Окно в песочнице?", при применении которой, на вашем экране появляется прицел, направив который на нужное окно, можно быстро получить информацию о запущенной программе.

Если же"песочница" запущена с параметрами по умолчанию (default), то этот инструмент не понадобится, так как рядом с наименованием приложения, в заголовке сразу появляется значок [#]. Если появляется значок в заголовке, то нужно отключить приложение, и внести изменения в настройках самой "песочницы". Есть возможность добавить в заголовок окна название вашей "песочницы", и установить вокруг окна цветовую рамку понравившегося вам цвета, которая поможет более быстро определить принадлежность к ней.

Посмотрев другие параметры "песочницы", можно достаточно быстро и гибко настроить доступ и разрешения к различным ресурсам. Так, можно быстро установить параметры доступа, к определенным файлам и папкам, к которым будет запрещен доступ. Какие программы могут обращаться к ним только для чтения, и доступность настройки работы с системным реестром.

При большой необходимости, в настройках можно будет выбрать приложения, которые будут запускаться в ней. Т.е. при запуске указанного вами файла Sandboxie будет на лету перехватывать активированное приложение и не давать возможности работать в привычном режиме. Программа допускает указать не только отдельно используемые файлы, но и папки, при запуске других приложений из которых они будут запускаться в установленной безопасной среде. Последнее можно, использовать для запуска подозрительных программ, которые вы скачали из Интернета.

В последнее время кибер-преступники стали столь изобретательны, что сообщения о вирусных эпидемиях не вызывают удивления и стали, в общем, привычными. Однако увидеть новость о распространении нового трояна на 3DNews это одно, а обнаружить этот самый троян на своем компьютере - совсем другое. В Интернете можно найти множество советов относительно того, как не стать жертвой мошенников: от использования современных версий ПО, в которых закрыты все известные уязвимости, и до наличия на компьютере надежного современного решения для обеспечения безопасности.

Однако в некоторых случаях от заражения пользователя не спасает даже самый надежный брандмауэр и самый глазастый антивирус. Это происходит тогда, когда программа, защищающая компьютер, не уверена во вредоносном действии запускаемого приложения или выполняемого на веб-странице скрипта, вследствие чего оставляет решение о разрешении действия за пользователем. Вы вполне можете решить, что антивирус излишне подозрителен или просто, задумавшись, щелкнуть мышкой по кнопке "ОК", тем самым разрешив исполнение вредоносного кода.

Что же делать? Неужели из-за возможности подхватить троян, лучше не запускать новые приложения, а от веб-серфинга и вовсе отказаться? Существует прекрасное решение, которое для многих может стать отличным дополнением ко всем средствам для защиты компьютера от проникновения вредителей. Речь идет о работе с приложениями в "песочнице".

"Песочница" представляет собой изолированную среду, для которой отводится небольшое пространство на жестком диске и которая никак не зависит от реальной операционной системы. При запуске программы в "песочнице" она работает так же, как обычное приложение, однако не может влиять на любые компоненты системы, которые находятся вне изолированной среды. Это значит, что из "песочницы" невозможно внести изменения в системный реестр, заменить системные файлы или выполнить любые другие действия, которые могут повлиять на стабильность работы системы. Благодаря этому "песочницу" можно использовать для безопасной работы в Интернете и для запуска неизвестных приложений. Такой изолированной среде можно найти и другие применения - например, программисты и тестеры могут запускать в ней нестабильные версии программ.

⇡ "Песочница" в Kaspersky Internet Security 2010

О том, что работа с приложениями в "песочнице" может пригодиться самому широкому кругу пользователей, говорит хотя бы то, что соответствующая возможность в прошлом году появилась в программе Kaspersky Internet Security. Пользователи этого пакета для обеспечения безопасности могут работать с подозрительными приложениями в изолированной среде, если откроют их посредством пункта контекстного меню Windows "Запустить в безопасной среде". Для наглядности окно программы, запущенной в изолированной среде, будет обведено зеленой рамкой.

Kaspersky Internet Security также позволяет составить список программ, работа с которыми может быть потенциально опасна (в него можно включить, например, браузер). Для этого в настройках приложения необходимо открыть раздел "Контроль программ" и при помощи кнопки "Добавить" внести программу в список. Если после этого открыть программу из окна Kaspersky Internet Security, она будет работать в изолированной среде. Подобную функцию удобно использовать, скажем, в том случае, если во время сессии в браузере вы планируете посещать сайты, которые могут содержать подозрительный код. Кроме этого, такая функция может стать хорошей заменой режиму приватности, который появился в последних версиях популярных браузеров.

Стоит, однако, заметить, что Kaspersky Internet Security предоставляет лишь самые базовые возможности запуска программ в "песочнице". Специализированные приложения имеют гораздо больше возможностей. Рассмотрим некоторые популярные программы, предназначенные для работы в изолированной среде.

⇡ Sandboxie 3.44

• Разработчик: Ronen Tzur
• Размер дистрибутива: 1,6 Мб
• Распространение: shareware
• Русский интерфейс: есть

Sandboxie это, вне всякого сомнения, самое известное решение для организации "песочницы". В программе используется классический метод защиты указанное пользователем приложение помещается в изолированную среду, в результате чего оно не может влиять на работу системы. Интересно, что Sandboxie была разработана для использования с браузером Internet Explorer, который является одной из самых популярных мишеней кибер-преступников. Однако в настоящее время Sandboxie может работать практически с любым приложением Windows.

Одна из особенностей Sandboxie, которая отличает ее от многих других программ подобной плана, возможность создания неограниченного количества "песочниц". При этом пользователь может составить список приложений, которые будут запускаться в каждой из них. По умолчанию программа сама создает "песочницу" под названием DefaultBox, поэтому можно начинать работу с Sandboxie сразу же после установки. Для открытия программы или документа в изолированной среде нужно выбрать команду "Запустить в песочнице", которая появляется в контекстном меню Windows.

Если в будущем вы создадите дополнительные "песочницы", можно попросить программу открывать файлы и приложения не в DefaultBox, а в другой изолированной среде. Для этого выберите в меню "Пуск" пункт "Начальное меню Sandboxie" и измените "песочницу", которая будет использоваться по умолчанию.

Запускать приложения в изолированной среде можно не только из контекстного меню, но и непосредственно из окна Sandboxie. Для этого нужно щелкнуть правой кнопкой мыши по названию "песочницы" и выбрать соответствующую команду (данное меню доступно и при щелчке по значку Sandboxie в системном трее).

Кстати, для ускорения выбора можно использовать команды "Запустить Web-браузер" и "Запустить почтовый клиент", которые открывают приложения, установленные в системе по умолчанию. Используя контекстное меню "песочниц", можно выполнять и другие команды, например, одним щелчком мыши закрывать все приложения, запущенные в изолированной среде, просматривать содержимое "песочниц" или полностью удалять его.

Для того чтобы быстро идентифицировать программу, которая запущена в изолированной среде, в Sandboxie предусмотрена специальная команда "Окно в песочнице?", при выборе которой на экране появляется специальный прицел, перетащив который на нужное окно, можно получить информацию о статусе программы.

Впрочем, если "песочница" работает с параметрами по умолчанию, то этот инструмент не нужен, так как возле названия приложения в заголовке появляется значок [#]. Если по каким-то причинам показ значка в заголовке нужно отключить, это можно сделать в настройках "песочницы". Кроме этого, можно добавить в заголовок окна название "песочницы", а также нарисовать вокруг окна тонкую рамку любого цвета, которая поможет более наглядно определить принадлежность к ней.

Обратившись к другим параметрам "песочницы", можно гибко настроить разрешения на доступ к разным ресурсам. Так, можно определить, к каким файлам и папкам будет заблокирован доступ, к каким программы смогут обращаться только для чтения, а также настроить взаимодействие с ключами системного реестра.

При необходимости в настройках "песочницы" можно указать приложения, которые будут форсировано запускаться в ней. Иными словами, при запуске указанного файла Sandboxie будет перехватывать приложение и не давать ему работать в обычном режиме. Программа позволяет указать не только отдельные исполняемые файлы, но и папки, при запуске любых приложений из которых они будут открываться в безопасной среде. Последнюю возможность можно, например, использовать для запуска новых программ, которые были скачаны из Интернета в папку Downloads.

⇡ BufferZone Pro 3.31

• Разработчик: Trustware
• Размер дистрибутива: 9,2 Мб
• Распространение: shareware
• Русский интерфейс: нет

BufferZone Pro - это еще одно хорошее решение для работы с приложениями в изолированной среде. Несмотря на то, что с помощью программы можно запускать в "песочнице" самые разные приложения, она предназначена, прежде всего, для работы с браузерами, IM-клиентами, программами для обмена файлами через пиринговые сети и другим ПО для Интернета. Об этом говорит хотя бы то, что в BufferZone изначально имеется достаточно обширный список приложений, которые по умолчанию запускаются в безопасном режиме. Среди них Mozilla Firefox, Google Chrome, ICQ, BitComet, Skype, GoogleTalk и другие. Пользователь может редактировать этот список по своему усмотрению, добавляя в него дополнительные программы и удаляя ненужные.

Подобно рассмотренной выше утилите, BufferZone может отслеживать все приложения, которые запускаются на компьютере, и перенаправлять их в "песочницу". Также BufferZone может блокировать запуск любых неизвестных программ.

В отличие от Sandboxie, в этой программе не предусмотрено возможности создания нескольких "песочниц". Окна всех программ, которые запущены в "песочнице", обводятся красной рамкой. Увидеть, какие программы в данный момент работают в изолированной среде, можно также в главном окне BufferZone. Тут же отображается краткая статистика о работе программ в изолированной среде. BufferZone не только подсчитывает, сколько действий всего было произведено такими приложениями, но и ведет учет потенциально опасных операций в системе, а также угроз, относящихся к безопасности, которые удалось предотвратить.

В том случае, если программа, работающая в "песочнице", выполнила вредоносный код или другое деструктивное действие, можно быстро удалить все данные, относящиеся к приложениям, запущенным в изолированной среде. Кроме этого, предусмотрена возможность автоматической очистки таких данных согласно составленному пользователем расписанию.

В BufferZone есть и некоторые дополнительные возможности, которые не имеют непосредственного отношения к организации "песочнице", однако помогают повысить общий уровень безопасности компьютера. Так, при помощи программы можно запретить открытие файлов с внешних жестких дисков, DVD-дисков и с USB-накопителей или разрешить работу с такими данными только в изолированной среде.

В заключение отметим, что помимо платной версии BufferZone Pro имеется также бесплатная редакция программы. В ней реализован ряд ограничений, например, нет возможности создания снимка виртуальной среды и восстановления сохраненных в ней данных. Кроме этого, в бесплатной версии меньше приложений, для которых защита включена по умолчанию.

⇡ Заключение

Выбирая специализированную программу для запуска приложений в "песочнице", нужно иметь в виду, что существует два основных подхода к организации изолированной среды. В первом случае "песочница" создается для указанных пользователем приложений, и во время одной сессии работы за компьютером он использует и такие программы, которые запущены в изолированной среде, и такие, которые работают в обычном режиме. Программы, в которых используется такой подход к организации защиты системы, были рассмотрены в этой статье.

Однако такое решение приемлемо не всегда. Существует второй подход к организации работы ПО в изолированной среде, который подразумевает создание "песочницы" размером с целую операционную систему. При этом создается образ работающей системы, после чего пользователь начинает работать именно с ним, а не с реальной средой. Все произведенные им действия сохраняются только до перезагрузки, а после того, как она выполнена, система возвращается в исходное состояние. Такое решение удобно использовать на общественных ПК, например, в интернет-кафе, в компьютерных классах и т.д. О программах, при помощи которых можно организовать такую защиту, мы расскажем во второй части статьи.

Многие пользователи устанавливают то или иное программное обеспеченье со сторонних источников, которое может в теории нанести вред компьютеру. К сожалению, современные антивирусные программы некоторые вредоносные программы не способны сразу же опознать.

Но не стоит рисковать и запускать потенциально опасное ПО на своём компьютере без какой-либо защиты. В данном случае Sandboxie предоставляет возможность запуска программ в специальной среде, где вы можете проследить за тем, как себя будет вести запускаемая программа.

Как работает эта программа

Принцип работы Sandboxie заключается в создании системном диске определённого ограниченного пространства с симуляцией работы системы. Данное пространство закрыто от основной системы, что позволяет не выносить все изменения в нём за его пределы. По завершению работы с файлами в «песочнице» вся информация очищается, поэтому не стоит боятся, что у вас на компьютере где-то останется вирус, пускай и в закрытом дисковом пространстве.

В Sandboxie можно запустить исполняемые EXE-файлы, установочные файлы и документы. Существуют некоторые исключения, но они не так критичны для работы. Вы можете просматривать статистику работы и поведения тех или иных файлов. Также перед закрытием «песочницы» можно настроить, какие файлы будут удалены, а какие оставлены до следующего запуска. По умолчанию при закрытии автоматически удаляются все файлы, а процессы останавливаются.

Рассмотрим работу в программе более подробно.

Меню «Файл»

По умолчанию интерфейс «песочницы» не представляет из себя ничего интересного. Управляющие элементы расположены только в верхнем меню. Рассмотрим более подробно параметр «Файл» . По клику на него появляется контекстное меню со следующими параметрами:

• «Закрыть Все программы» . Принудительно завершает деятельность всех программ и процессов, открытых в «песочнице». Может быть актуален в том случае, если какой-то вредоносный файл активно начинает свою деятельность и её нужно срочно приостановить;
• «Запретить формированные программы» . Данная кнопка отвечает за возможность запуска программ, которые по умолчанию открываются в «песочнице», в обычном режиме системы. Стандартные настройки подразумевают запуск такой программы не более чем на 10 секунд в обычном режиме. Этого должно хватить, чтобы посмотреть, как ведёт себя ПО за пределами «песочницы». Настройки могут быть изменены;
• «Окно в песочнице» . Нужна, чтобы определить где открыта та или иная программа;
• «Монитор доступа к ресурсам» . Позволяет проследить к каким ресурсам компьютера получила доступ запущенная в «песочнице» программа. Может пригодиться для выявления подозрительной активности;
• «Выход» . Закрывает Sandboxie.

Меню «Вид»

При нажатии на кнопку «Вид» вы получите доступ к пунктам, отвечающим за отображение элементов в интерфейсе программы (пункты меню «Программы» и «Файлы и папки» ).

Также в меню «Вид» есть функция «Восстановить запись» , отвечающая за нахождение и удаление файлов, которые случайно были восстановлены из «песочницы».

Элемент «Песочница»

Здесь сосредоточен основной функционал программы. Этот элемент меню отвечает непосредственно за работу с «песочницей». Рассмотрим его содержимое более подробно:

1. «DefaultBox» — это «песочница», в которой по умолчанию запускаются все программы. При подводе на этот элемент меню курсора мыши появляется выпадающее окно, где можно выбрать дополнительные среды для запуска той или иной программы. Например, запустить ПО в «Проводнике» Windows, браузере, почтовом клиенте и т.д. Дополнительно можно совершить следующие действия:
   • «Завершить все программы» . Закрывает все запущенные программы;
   • «Быстрое восстановление» . Отвечает за возможность достать из «песочницы» все или некоторые файлы и перевести их в обычное дисковое пространство;
   • «Удалить содержимое» . Закрывает и удаляет все программы, файлы и процессы внутри изолированного пространства;
   • «Посмотреть содержимое» . Позволяет узнать обо всём, что содержится в «песочнице»;
   • «Настройки песочницы» . Открывается специальное окно, где вы можете настраивать выделение окна в интерфейсе тем или иным цветом, настраивать восстановление и/или удаление данных, разрешения доступа программам в интернет и т.д;
   • «Переименовать песочницу» . Позволяет дать ей уникальное имя, состоящее из латинских букв и арабских цифр;
   • «Удалить песочницу» . Удаляет всё изолированное дисковое пространство, выделенное под конкретную «песочницу» вместе со всеми данными, запущенными в нём.
2. Вы можете создать новую «песочницу», воспользовавшись соответствующей кнопкой. По умолчанию будут перенесены все настройки из уже созданных «песочниц», которые вы сможете подкорректировать под свои нужды. Дополнительно новому изолированному пространству придётся задать имя.
3. Нажав на элемент контекстного меню «Установить папку для хранения» , вы сможете выбрать месторасположение изолированного пространства. По умолчанию это C:\Sandbox .
4. Дополнительно можно настроить порядок отображения «песочниц». Стандартное отображение идёт по алфавиту, чтобы изменить его, воспользуйтесь пунктом меню «Установить расположение и группы» .

Пункт «Настроить»

Как ясно из названия – этот пункт меню отвечает за настройку программы. С его помощью можно настроить следующее:

• «Предупреждение о запуске программ» . При открытии в «песочнице» тех или иных программ, выбранных пользователем, будет приходить соответствующее уведомление;
• «Интеграция в проводник Windows» . Открывает окно с настройками запуска программ через контекстное меню ярлыка или исполняемого файла;
• «Совместимость программ» . Не все программы могут быть совместимы с вашей операционной системой и/или средой в «песочнице». С помощью этого пункта меню выставляются настройки совместимости, что позволяет запускать больше программ;
• Блок с элементами управления конфигурациями. Здесь уже идут настройки для более опытных пользователей, часть из которых должна задаваться в виде специальных команд.

Преимущества и недостатки программы

Программа имеет свои преимущества, но и не лишена недостатков.

Преимущества

• Программа имеет хорошую репутацию, так как смогла отлично себя зарекомендовать;
• Удобно расположены и названы элементы настроек, что позволит даже неопытному пользователю разобраться в них;
• Можно создать неограниченное количество «песочниц», задав каждой настройки под конкретный тип задач;
• Программа отлично переведена на русский язык.

Недостатки

• Интерфейс программы устарел, однако на удобство использования это практически никак не повлияло;
• В данной песочнице невозможно запустить программы, которые требуют установки дополнительных драйверов или других компонентов. Такая проблема есть не только в Sandboxie.

Как запустить программу в «песочнице»

Рассмотрим работу программы на примере запуска в её среде другой программы, которая имеет в своём установочном файле нежелательное ПО:

Таким образом вы и изучили основные особенности программы Sandboxie, а также поняли, как ей пользоваться. В данной статье были рассмотрены не все варианты использования программы, однако этих данных хватит, чтобы вы смогли проверить ту или иную программу на наличие вредоносного/нежелательного ПО.

Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

WARNING

Неправильное использование описанной методики может нанести вред системе и привести к заражению! Будь внимателен и осторожен.

«Песочница» для анализа

Люди, которые занимаются компьютерной безопасностью, хорошо знакомы с концепцией «песочницы». Если вкратце, «песочница» - эта тестовая среда, в которой выполняется некая программа. При этом работа налажена таким образом, что все действия программы отслеживаются, все изменяемые файлы и настройки сохраняются, но в реальной системе ничего не происходит. В общем, можешь запускать любые файлы в полной уверенности, что на работоспособность системы это никак не повлияет. Такие инструменты можно использовать не только для обеспечения безопасности, но и для анализа тех действий зловреда, которые он выполняет после запуска. Еще бы, ведь если есть слепок системы до начала активных действий и картина того, что произошло в «песочнице», можно легко отследить все изменения.

Конечно, в Сети есть масса готовых онлайн-сервисов, которые предлагают анализ файлов: Anubis , CAMAS , ThreatExpert , ThreatTrack . Подобные сервисы используют разные подходы и имеют свои достоинства и недостатки, но можно выделить и общие основные минусы:

Необходимо иметь доступ к интернету. Необходимо ждать очереди в процессе обработки (в бесплатных версиях). Как правило, файлы, создаваемые или изменяемые в ходе выполнения, не предоставляются. Невозможно контролировать параметры выполнения (в бесплатных версиях). Невозможно вмешиваться в процесс запуска (например, нажимать на кнопки появляющихся окон). Как правило, невозможно предоставлять специфические библиотеки, необходимые для запуска (в бесплатных версиях). Как правило, анализируются только исполняемые РЕ-файлы.

Такие сервисы чаще всего строятся на основе виртуальных машин с установленным инструментарием, вплоть до отладчиков ядра. Их можно организовать и дома. Однако эти системы достаточно требовательны к ресурсам и занимают большой объем на жестком диске, а анализ логов отладчика уходит много времени. Это значит, что они весьма эффективны при глубоком исследовании определенных образцов, но вряд ли смогут оказаться полезными в рутинной работе, когда нет возможности нагружать ресурсы системы и тратить время на анализ. Использование «песочницы» для анализа позволяет обойтись без огромных затрат ресурсов.

Пара предупреждений

Сегодня мы попробуем сделать свой собственный анализатор на основе «песочницы», а именно утилиты Sandboxie. Эта программа доступна как условно-бесплатная на сайте автора www.sandboxie.com . Для нашего исследования вполне подойдет ограниченная бесплатная версия. Программа запускает приложения в изолированной среде, так что они не производят вредоносных изменений в реальной системе. Но тут есть два нюанса:

1. Sandboxie позволяет отслеживать только программы на уровне user mode. Вся деятельность вредоносного кода в режиме ядра не отслеживается. Поэтому максимум, что удастся узнать при изучении руткитов - это каким образом вредонос внедряется в систему. Проанализировать само поведение на уровне kernel mode, к сожалению, невозможно.
2. В зависимости от настроек Sandboxie может блокировать выход в Сеть, разрешать полный доступ или доступ только для отдельных программ. Понятно, что, если для нормального запуска вредоносу нужен выход в интернет, необходимо его предоставить. С другой стороны, если у тебя на флешке валяется Pinch, который запускается, собирает все пароли в системе и отправляет их на ftp злоумышленнику, то Sandboxie с открытым доступом в интернет не защитит тебя от потери конфиденциальной информации! Это очень важно, и об этом следует помнить.

Первичная настройка Sandboxie

Sandboxie - великолепный инструмент с большим количеством настроек. Упомяну лишь те из них, которые необходимы для наших задач.

После установки Sandboxie автоматически создается одна «песочница». Ты можешь добавить еще несколько «песочниц» под разные задачи. Доступ к настройкам «песочницы» осуществляется через контекстное меню. Как правило, все параметры, которые можно изменять, снабжены достаточно подробным описанием на русском языке. Для нас особенно важны параметры, перечисленные в разделах «Восстановление», «Удаление» и «Ограничения». Итак:

1. Необходимо убедиться, что в разделе «Восстановление» ничего не указано.
2. В разделе «Удаление» не должны быть никаких проставлены галки и/или отмечены добавленные папки и программы. Если неправильно выставить параметры в разделах, указанных в пунктах 1 и 2, это может привести к тому, что вредоносный код заразит систему или все данные для анализа будут уничтожены.
3. В разделе «Ограничения» необходимо выбрать настройки, соответствующие твоим задачам. Практически всегда необходимо ограничивать доступ низкого уровня и использование аппаратных средств для всех выполняемых программ, чтобы не допустить заражения системы руткитами. А вот ограничивать доступ на запуск и выполнение, а также забирать права, наоборот, не стоит, иначе подозрительный код будет выполняться в нестандартной среде. Впрочем, всё, в том числе и наличие доступа к интернету, зависит от задачи.
4. Для наглядности и удобства в разделе «Поведение» рекомендуется включить опцию «Отображать границу вокруг окна» и выбрать цвет для выделения программ, выполняемых в ограниченной среде.

Подключаем плагины

В несколько кликов мы получили отличную изолированную среду для безопасного выполнения кода, но не инструмент для анализа его поведения. К счастью, автор Sandboxie предусмотрел возможность использования целого ряда плагинов для своей программы. Концепция довольно интересна. Аддоны представляют собой динамические библиотеки, внедряемые в выполняемый в «песочнице» процесс и определенным образом регистрирующие или модифицирующие его выполнение.

Нам понадобится несколько плагинов, которые перечислены ниже.

1. SBIExtra . Этот плагин осуществляет перехват ряда функций для выполняемой в песочнице программы, чтобы блокировать следующие возможности:
   • обзор исполняемых процессов и потоков;
   • доступ к процессам вне пределов «песочницы»;
   • вызов функции BlockInput (ввод с клавиатуры и мыши);
   • считывание заголовков активных окон.
2. Antidel . Аддон перехватывает функции, отвечающие за удаление файлов. Таким образом, все временные файлы, команда на удаление которых поступает от исходного кода, все равно остаются на своих местах.

Как интегрировать их в «песочницу»? Поскольку это не предусмотрено средствами интерфейса Sandboxie, редактировать файл конфигурации придется вручную. Создаем папку Plugins и распаковываем в нее все подготовленные плагины. Теперь внимание: в состав Buster Sandbox Analyzer входит несколько библиотек с общим именем LOG_API*.dll, которые могут инжектироваться в процесс. Есть два типа библиотек: Verbose и Standard. Первый отображает практически полный список вызовов API, выполняемых программой, включая обращения к файлам и реестру, второй - сокращенный список. Сокращение позволяет ускорить работу и уменьшить журнал, который затем придется анализировать. Лично я не боюсь больших логов, зато опасаюсь того, что какая-нибудь нужная инфа будет заботливо «сокращена», поэтому выбираю Verbose. Именно эту библиотеку мы и будем инжектировать. Чтобы зловред не смог заметить инжект библиотеки по ее имени, применим простейшую меру предосторожности: сменим имя LOG_API_VERBOSE.dll на любое другое, например LAPD.dll.

Теперь в главном окне Sandboxie выбираем «Настроить -> Редактировать конфигурацию». Откроется текстовый конфиг со всеми настройками программы. Сразу обращаем внимание на следующие строки:

• Параметр FileRootPath в разделе указывает общий путь к папке изолированной среды, то есть к папке, где будут находиться все файлы «песочницы». У меня этот параметр имеет вид FileRootPath=C:\Sandbox\%SANDBOX%, у тебя он может отличаться.
• Раздел нас не интересует - его пропускаем и листаем дальше.
• Затем идет раздел, имя которого совпадает с названием «песочницы» (пусть это будет BSA). Сюда мы и будем добавлять плагины:InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\LAPD.dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Пути, конечно, могут отличаться. Но порядок инжектируемых библиотек обязательно должен быть именно таким! Это требование связано с тем, что перехват функций должен осуществляться именно в указанном порядке, иначе плагины работать не будут. Чтобы применить изменения, выбираем в главном окне Sandboxie: «Настроить -> Перезагрузить конфигурацию».

Теперь настроим сам плагин Buster Sandbox Analyzer.

1. Запускаем плагин вручную, воспользовавшись файлом bsa.exe из папки Plugins.
2. Выбираем «Options -> Analysis mode –> Manual» и далее «Options -> Program Options -> Windows Shell Integration -> Add right-click action «Run BSA»».

Теперь всё готово для работы: наша «песочница» интегрирована в систему.

Portable-версия «песочницы»

Безусловно, многим не понравится, что надо что-то устанавливать, настраивать и т. д. Так как меня всё это тоже не прельщает, я сделал портабельную версию инструмента, который можно запускать без установки и настройки, прямо с флешки. Скачать такую версию можно здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip . Для запуска «песочницы» достаточно выполнить скрипт start.cmd, а по окончании работы не забыть выполнить скрипт stop.cmd, который полностью выгрузит драйвер и все компоненты из памяти, а также сохранит внесенные в ходе работы изменения в портабеле.

Настроек у самого портабелизатора совсем не много: его работа в основном основана на манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates. По сути, этот файл представляет собой файл настроек Sandboxie, который должным образом обрабатывается и передается программе, а по окончании работы перезаписывается обратно в Templates. Если открыть этот файл «Блокнотом», то ты вряд ли найдешь что-то интересное. Нужно обязательно обратить внимание на шаблон $(InstallDrive), повторяющийся в ряде параметров пути. Особенно нас интересует параметр FileRootPath. Если он имеет следующий вид:

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

То «песочницы» будут создаваться на диске, где находится портабельная Sandboxie. Если же параметр имеет, например, такой вид:

FileRootPath=C:\Sandbox\%SANDBOX%

Иначе говоря в нем указан определенный системный диск, то «песочницы» будут создаваться на этом диске.

Лично я рекомендую всегда создавать песочницы на локальных дисках. Это ускоряет работу инструмента, а при запуске с флешки - ускоряет на порядки. Если же тебя настолько замучила паранойя, что хочется всё запускать и анализировать на любимом носителе, который ты носишь у сердца, то параметр можно поменять, но тогда хотя бы используй портабельные жесткие диски, чтобы всё безбожно не тормозило.

Практическое применение

Попробуем наш инструмент на реальной угрозе. Чтобы никто не упрекнул меня в подтасовке, я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее, что там появилось на момент написания статьи. Это оказался премилый файл pp.exe с какого-то зараженного сайта. Одно только название внушает большие надежды, кроме того, на этот файл сразу заорал мой антивирус. К слову, все наши манипуляции лучше производить при отключенном антивирусе, иначе мы рискуем заблокировать/удалить что-нибудь из того, что исследуем. Как изучить поведения бинарника? Просто нажимаем правой кнопкой на этот файл и выбираем в выпавшем меню пункт Run BSA. Откроется окно Buster Sandbox Analyzer. Внимательно смотрим в строку Sandbox folder to check. Все параметры должны совпадать с теми, которые мы указали при настройке Sandboxie, то есть если песочница получила название BSA, а в качестве пути к папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то вс,ёе должно быть как на скриншоте. Если же ты знаешь толк в извращениях и назвал песочницу по-другому или настроил параметр FileRootPath на другой диск или папку, его нужно изменить соответствующим образом. В противном случае Buster Sandbox Analyzer не будет знать, где искать новые файлы и изменения в реестре.

BSA включает в себя массу настроек по анализу и изучению процесса выполнения бинарника, вплоть до перехвата сетевых пакетов. Смело нажимай кнопку Start Analysis. Окно перейдет в режим анализа. Если песочница, выбранная для анализа, по каким-то причинам содержит результаты предыдущего исследования, утилита предложит предварительно ее очистить. Все готово к запуску исследуемого файла.

Готов? Тогда нажми на изучаемый файл правой кнопкой мыши и в открывшемся меню выбери «Запустить в песочнице», после чего укажи ту «песочницу», к которой мы прикрутили BSA.

Сразу после этого в окне анализатора побегут API-вызовы, которые будут фиксироваться в лог-файлах. Обрати внимание, что сам Buster Sandbox Analyzer не знает, когда завершится анализ процесса, фактически сигналом к окончанию служит именно твое жмакание на кнопку Finish Analysis. Как же узнать, что время уже наступило? Тут может быть два варианта.

1. В окне Sandboxie не отображается ни один выполняемый процесс. Это означает, что выполнение программы явно завершилось.
2. В списке API-вызовов долгое время не появляется ничего нового или, наоборот, одно и то же выводится в циклической последовательности. При этом в окне Sandboxie что-то еще выполняется. Такое бывает, если программа настроена на резидентное выполнение или попросту зависла. В этом случае ее необходимо вначале завершить вручную, нажав правой кнопкой в окне Sandboxie на соответствующую «песочницу» и выбрав «Завершить программы». Кстати, при анализе моего pp.exe произошла именно такая ситуация.

После этого можно смело выбирать Finish Analysis в окне Buster Sandbox Analyzer.

Анализ поведения

Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:\Documents and Settings\Администратор\Application Data\dplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу http://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user - файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu notepad sandbox.reg

Что умеет и не умеет инструмент

Полученный инструмент умеет:

• Отслеживать API-вызовы запущенного приложения.
• Отслеживать новые создаваемые файлы и параметры реестра.
• Перехватывать сетевой трафик при выполнении приложения.
• Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
• Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.

Этот инструмент не может:

• Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
• Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

Таким образом, ты получишь sandbox.reg, в котором указаны строки, внесенные зловредом в ходе выполнения. После выполнения анализа выбери в меню Options пункт Cancel analysis, чтобы вернуть всё как было. Учти, что после этой операции все журналы анализа будут удалены, но содержимое «песочницы» останется на месте. Впрочем, при следующем запуске программа сама предложит все удалить.