Sandboxie est sans aucun doute le logiciel sandbox le plus connu.
Ce programme utilise la méthode classique de protection d'une application spécifiée par l'utilisateur en la plaçant dans un environnement isolé spécial, de sorte que l'application ne peut pas affecter le fonctionnement du système lui-même. Le plus intéressant est que Sandboxie a été spécialement conçu pour être utilisé avec un navigateur. Internet Explorer, qui est la seule parmi toutes les principales cibles des cybercriminels. Cependant, aujourd'hui, Sandboxie fonctionne avec presque toutes les applications de l'environnement Windows.

Caractéristique de Sandboxie qui le rend très différent de beaucoup d'autres programmes célèbres de ce type, il est possible de créer un nombre illimité de « bacs à sable ». Malgré le fait que l'utilisateur peut facilement dresser une liste de ses applications qui ne fonctionneront que dans celles-ci. Par défaut, le programme lui-même créera un bac à sable appelé DefaultBox, afin que vous puissiez travailler en toute sécurité avec Sandboxie immédiatement après l'installation. Pour afficher un document ou un programme dans un format protégé Environnement SandBoxie vous devez sélectionner l'élément "Exécuter dans le bac à sable", qui se trouve dans le contexte Menu Windows.

Si vous devez créer des bacs à sable supplémentaires à l'avenir, vous devez indiquer au programme d'ouvrir les fichiers et les applications dans un autre environnement protégé que vous avez créé. Il vous suffit de sélectionner « Sandboxie Start Menu » dans le menu Démarrer et de remplacer le « sandbox » qui sera utilisé par le programme par défaut à l'avenir.

Vous pouvez lancer le bac à sable non seulement à partir du menu contextuel, mais également à partir de la fenêtre du bac à sable Sandboxie elle-même. Pour ce faire, cliquez simplement clic-droit souris sur le bac à sable sélectionné et sélectionnez la bonne commande(ce menu est également disponible lorsque vous cliquez sur l'icône Sandboxie dans la barre d'état système).

Aussi, pour accélérer la sélection d'une application, vous pouvez utiliser la commande « Lancer le navigateur Web », « Lancer le client de messagerie », qui permet de lancer les applications désignées par défaut dans le système. Candidature menu contextuel"bacs à sable", vous pouvez en faire d'autres diverses commandes, par exemple, vous pouvez fermer toutes les applications qui se trouvent dans un environnement isolé d'un simple clic de souris ; vous pouvez en outre afficher le contenu et le supprimer complètement.

Afin d'identifier rapidement un programme qui s'exécute dans le bac à sable, il est fourni commande supplémentaire"Fenêtre dans un bac à sable ?", lorsqu'il est utilisé, un réticule apparaît sur votre écran, et en le pointant sur la fenêtre souhaitée, vous pouvez obtenir rapidement des informations sur le programme en cours d'exécution.

Si le bac à sable est lancé avec les paramètres par défaut, cet outil ne sera pas nécessaire, puisque l'icône [#] apparaît immédiatement dans le titre à côté du nom de l'application. Si une icône apparaît dans l'en-tête, vous devez alors désactiver l'application et modifier les paramètres du bac à sable lui-même. Il est possible d'ajouter le nom de votre « bac à sable » au titre de la fenêtre, et de définir un cadre de couleur autour de la fenêtre dans la couleur que vous aimez, ce qui vous aidera à déterminer rapidement si elle lui appartient.

En examinant d'autres paramètres du bac à sable, vous pouvez configurer de manière rapide et flexible l'accès et les autorisations à diverses ressources. Ainsi, vous pouvez définir rapidement les paramètres d'accès à certains fichiers et les dossiers auxquels l'accès sera refusé. Quels programmes peuvent y accéder en lecture seule et disponibilité des paramètres permettant de travailler avec le registre système.

Si nécessaire, dans les paramètres, vous pouvez sélectionner les applications qui s'y exécuteront. Ceux. quand vous démarrez celui que vous avez spécifié Fichier bac à sable va intercepter à la volée application activée et ne pas donner la possibilité de travailler comme d'habitude. Le programme vous permet de spécifier non seulement les fichiers utilisés individuellement, mais également les dossiers à partir desquels, lors du lancement d'autres applications, ils seront lancés dans l'environnement sécurisé établi. Ce dernier peut être utilisé pour lancer programmes suspects, que vous avez téléchargé sur Internet.

DANS Dernièrement Les cybercriminels sont devenus si inventifs que les rapports sur les épidémies de virus ne sont pas surprenants et sont devenus, en général, monnaie courante. Cependant, voir des informations sur la distribution d'un nouveau cheval de Troie sur 3DNews est une chose, mais trouver ce même cheval de Troie sur votre ordinateur en est une autre. Vous pouvez trouver de nombreux conseils sur Internet pour éviter d'être victime d'arnaqueurs : en utilisant versions modernes Logiciel dans lequel toutes les vulnérabilités connues sont corrigées et jusqu'à ce que l'ordinateur dispose d'un solution moderne pour la sécurité.

Cependant, dans certains cas, même le pare-feu le plus fiable et l'antivirus le plus intelligent ne peuvent pas protéger l'utilisateur d'une infection. Cela se produit lorsque le programme qui protège l'ordinateur n'est pas sûr de l'action malveillante de l'application en cours de lancement ou du script exécuté sur la page Web, de sorte qu'il laisse à l'utilisateur la décision d'autoriser l'action. Vous pouvez très bien décider que l'antivirus est trop suspect ou simplement, après réflexion, cliquer sur le bouton « OK », permettant ainsi l'exécution de code malveillant.

Ce qu'il faut faire? Est-ce vraiment en raison de la possibilité d'être infecté par un cheval de Troie qu'il est préférable de ne pas lancer de nouvelles applications et d'abandonner complètement la navigation sur le Web ? Il existe une excellente solution qui, pour beaucoup, peut constituer un excellent complément à tous les moyens de protéger votre ordinateur contre les parasites. Nous parlons de travailler avec des applications dans un bac à sable.

Un bac à sable est un environnement isolé doté d'une petite quantité d'espace disque dur et indépendant du système d'exploitation réel. Lors de l'exécution d'un programme dans un bac à sable, cela fonctionne de la même manière que application normale, cependant, ne peut pas affecter les composants du système situés à l'extérieur environnement isolé. Cela signifie qu'il est impossible d'apporter des modifications au registre système à partir du bac à sable, de remplacer fichiers système ou effectuer toute autre action pouvant affecter la stabilité du système. Grâce à cela, le bac à sable peut être utilisé pour travail sécuritaire sur Internet et pour le lancement applications inconnues. Un tel environnement isolé peut également être utilisé pour d'autres applications - par exemple, les programmeurs et les testeurs peuvent y exécuter des versions instables de programmes.

⇡ "Bac à sable" dans Kaspersky Internet Security 2010

Le fait que travailler avec des applications dans le bac à sable peut être utile à un large éventail d'utilisateurs est démontré par le fait que l'opportunité correspondante est apparue dans Programme Kaspersky la sécurité sur Internet. Les utilisateurs de cette suite de sécurité peuvent exécuter des applications suspectes dans un environnement sandbox s'ils les ouvrent à l'aide de l'option du menu contextuel de Windows « Exécuter dans un environnement sécurisé ». Pour plus de clarté, la fenêtre d'un programme exécuté dans un environnement isolé sera entourée d'un cadre vert.

Kaspersky Internet La sécurité vous permet également de créer une liste de programmes avec lesquels travailler peut être potentiellement dangereux (vous pouvez inclure, par exemple, un navigateur). Pour ce faire, vous devez ouvrir la section « Contrôle des applications » dans les paramètres de l'application et utiliser le bouton « Ajouter » pour ajouter le programme à la liste. Si vous ouvrez ensuite le programme depuis la fenêtre de Kaspersky Internet Security, il fonctionnera dans un environnement isolé. Cette fonction est pratique à utiliser, par exemple si, au cours d'une session de navigateur, vous envisagez de visiter des sites pouvant contenir du code suspect. De plus, une telle fonction peut être un bon remplacement pour le mode confidentialité apparu dans dernières versions navigateurs populaires.

Il convient toutefois de noter que Kaspersky Internet Security ne fournit que les fonctionnalités les plus élémentaires pour exécuter des programmes dans le bac à sable. Applications spécialisées ont beaucoup plus de possibilités. Regardons quelques-uns programmes populaires, conçu pour travailler dans un environnement isolé.

⇡ Bac à sable 3.44

• Développeur : Ronen Tzur
• Taille de la distribution : 1,6 Mo
• Distribution : shareware
• Interface russe : oui

Sandboxie est sans aucun doute le plus solution connue organiser un bac à sable. Le programme utilise la méthode de protection classique : l'application spécifiée par l'utilisateur est placée dans un environnement isolé, de sorte qu'elle ne peut pas influencer le fonctionnement du système. Il est intéressant de noter que Sandboxie a été conçu pour être utilisé avec le navigateur Internet Explorer, qui est l'une des cibles les plus populaires des cybercriminels. Cependant, Sandboxie peut désormais fonctionner avec presque toutes les applications Windows.

L'une des caractéristiques de Sandboxie qui le distingue de nombreux autres programmes similaires est la possibilité de créer un nombre illimité de bacs à sable. Dans ce cas, l'utilisateur peut créer une liste d'applications qui seront lancées dans chacune d'elles. Par défaut, le programme lui-même crée un bac à sable appelé DefaultBox, afin que vous puissiez commencer à travailler avec Sandboxie immédiatement après l'installation. Pour ouvrir un programme ou un document dans un environnement sandbox, sélectionnez la commande "Exécuter dans le bac à sable" qui apparaît dans le menu contextuel de Windows.

Si vous créez des sandbox supplémentaires à l'avenir, vous pouvez demander au programme d'ouvrir les fichiers et les applications dans un sandbox autre que DefaultBox. Pour ce faire, sélectionnez « Menu Démarrer de Sandboxie » dans le menu Démarrer et modifiez le bac à sable par défaut.

Vous pouvez exécuter des applications dans un environnement isolé non seulement depuis le menu contextuel, mais également directement depuis la fenêtre Sandboxie. Pour ce faire, faites un clic droit sur le nom du bac à sable et sélectionnez la commande appropriée ( ce menuégalement disponible en cliquant sur l'icône Sandboxie dans la barre d'état système).

D'ailleurs, pour accélérer la sélection, vous pouvez utiliser les commandes « Lancer le navigateur Web » et « Lancer le client de messagerie », qui ouvrent par défaut les applications installées sur le système. À l'aide du menu contextuel du bac à sable, vous pouvez exécuter d'autres commandes, telles que fermer toutes les applications en bac à sable d'un simple clic, afficher le contenu des bacs à sable ou les supprimer complètement.

Afin d'identifier rapidement un programme exécuté dans un environnement isolé, Sandboxie fournit équipe spéciale"Fenêtre dans un bac à sable ?", une fois sélectionné, un réticule spécial apparaît sur l'écran ; en le faisant glisser sur la fenêtre souhaitée, vous pouvez obtenir des informations sur l'état du programme.

Cependant, si le bac à sable fonctionne avec les paramètres par défaut, cet outil n'est pas nécessaire, puisqu'une icône [#] apparaît à côté du nom de l'application dans l'en-tête. Si, pour une raison quelconque, vous devez désactiver l'affichage de l'icône dans l'en-tête, cela peut être fait dans les paramètres du bac à sable. De plus, vous pouvez ajouter le nom du « bac à sable » au titre de la fenêtre et également dessiner un mince cadre de n'importe quelle couleur autour de la fenêtre, ce qui vous aidera à déterminer plus clairement si elle lui appartient.

En accédant à d'autres paramètres du bac à sable, vous pouvez configurer de manière flexible les autorisations d'accès à différentes ressources. Ainsi, vous pouvez déterminer quels fichiers et dossiers seront bloqués, quels programmes pourront accéder en lecture seule, et également configurer l'interaction avec les clés de registre système.

Si nécessaire, dans les paramètres du bac à sable, vous pouvez spécifier les applications qui seront forcées de s'y lancer. En d'autres termes, lorsque vous exécutez le fichier spécifié, Sandboxie interceptera l'application et l'empêchera de s'exécuter dans mode normal. Le programme vous permet de spécifier non seulement des fichiers exécutables individuels, mais également des dossiers à partir desquels ils s'ouvriront dans un environnement sûr lorsque vous lancerez des applications. Cette dernière fonctionnalité peut, par exemple, être utilisée pour lancer de nouveaux programmes téléchargés depuis Internet vers le dossier Téléchargements.

⇡ BufferZone Pro 3.31

• Développeur : Trustware
• Taille de la distribution : 9,2 Mo
• Distribution : shareware
• Interface russe : non

BufferZone Pro en est un autre bonne décision pour travailler avec des applications dans un environnement isolé. Malgré le fait qu'en utilisant le programme, vous pouvez exécuter le plus différentes applications, il est principalement conçu pour fonctionner avec les navigateurs, les clients de messagerie instantanée, les programmes de partage de fichiers peer-to-peer et d'autres logiciels Internet. En témoigne le fait que BufferZone dispose initialement d'une liste assez longue d'applications qui se lancent par défaut mode sans échec. Parmi eux Mozilla Firefox, Google Chrome, ICQ, BitComet, Skype, GoogleTalk et autres. L'utilisateur peut modifier cette liste à sa discrétion en ajoutant programmes supplémentaires et en supprimant ceux qui sont inutiles.

Semblable à l'utilitaire décrit ci-dessus, BufferZone peut surveiller toutes les applications exécutées sur l'ordinateur et les rediriger vers le bac à sable. BufferZone peut également bloquer le lancement de tout programme inconnu.

Contrairement à Sandboxie, ce programme n'offre pas la possibilité de créer plusieurs bacs à sable. Les fenêtres de tous les programmes exécutés dans le bac à sable sont entourées d'un cadre rouge. Voir quels sont les programmes ce moment travaillez dans un environnement isolé ou dans la fenêtre principale de BufferZone. De brèves statistiques sur le fonctionnement des programmes dans un environnement isolé sont également affichées. BufferZone compte non seulement le nombre d'actions effectuées par ces applications, mais conserve également un enregistrement des opérations potentiellement dangereuses sur le système, ainsi que des menaces de sécurité qui ont été évitées.

Dans le cas où un programme exécuté dans le bac à sable a exécuté code malicieux ou toute autre action destructrice, vous pouvez supprimer rapidement toutes les données liées aux applications exécutées dans un environnement sandbox. De plus, il est possible nettoyage automatique ces données selon un calendrier défini par l'utilisateur.

BufferZone a également quelques caractéristiques supplémentaires, qui ne sont pas directement liés à l'organisation sandbox, mais contribuent à augmenter le niveau global de sécurité informatique. Ainsi, en utilisant le programme, vous pouvez empêcher l'ouverture de fichiers avec externe dur disques, DVD et clés USB, ou permettre que ces données soient traitées uniquement dans un environnement isolé.

En conclusion, notons qu'en plus de la version payante de BufferZone Pro, il existe également Édition gratuite programmes. Il implémente un certain nombre de limitations, par exemple, il n'est pas possible de créer un instantané environnement virtuel et restaurer les données qui y sont stockées. De plus, la version gratuite comporte moins d'applications pour lesquelles la protection est activée par défaut.

⇡Conclusion

Choisir programme spécialisé Pour exécuter des applications dans un bac à sable, vous devez garder à l'esprit qu'il existe deux approches principales pour organiser un environnement isolé. Dans le premier cas, un bac à sable est créé pour spécifié par l'utilisateur applications, et au cours d'une session informatique, il utilise à la fois des programmes qui s'exécutent dans un environnement isolé et ceux qui s'exécutent en mode normal. Les programmes qui utilisent cette approche pour organiser la protection du système ont été abordés dans cet article.

Toutefois, une telle solution n’est pas toujours acceptable. Il existe une deuxième approche pour organiser le fonctionnement des logiciels dans un environnement isolé, qui consiste à créer un « bac à sable » de la taille de l'ensemble du système d'exploitation. Dans ce cas, une image d'un système fonctionnel est créée, après quoi l'utilisateur commence à travailler avec celui-ci, et non avec l'environnement réel. Toutes les actions qu'il effectue ne sont enregistrées que jusqu'au redémarrage, et une fois celui-ci terminé, le système revient à l'état initial. Cette solution est pratique à utiliser sur des PC publics, par exemple dans les cybercafés, les cours d'informatique, etc. Nous parlerons des programmes pouvant être utilisés pour organiser une telle protection dans la deuxième partie de l'article.

De nombreux utilisateurs installent ceci ou cela logiciel provenant de sources tierces, ce qui pourrait, en théorie, endommager l'ordinateur. Malheureusement, moderne programmes antivirus quelques malware incapable de l'identifier immédiatement.

Mais vous ne devriez pas risquer d’exécuter des logiciels potentiellement dangereux sur votre ordinateur sans aucune protection. Dans ce cas, Sandboxie offre la possibilité de lancer des programmes dans un environnement spécial où vous pouvez surveiller le comportement du programme lancé.

Comment fonctionne ce programme ?

Le principe de fonctionnement de Sandboxie est de créer un disque système d'un certain espace limité avec une simulation du fonctionnement du système. Cet espace est fermé au système principal, ce qui permet de ne pas y apporter toutes modifications en dehors de ses limites. Une fois le travail terminé avec les fichiers dans le bac à sable, toutes les informations sont effacées. Vous ne devez donc pas craindre d'avoir un virus quelque part sur votre ordinateur, bien que dans un espace disque verrouillé.

Sandboxie peut exécuter des fichiers EXE exécutables, des fichiers d'installation et des documents. Il existe quelques exceptions, mais elles ne sont pas si critiques pour le fonctionnement. Vous pouvez afficher des statistiques sur le fonctionnement et le comportement de certains fichiers. De plus, avant de fermer le bac à sable, vous pouvez configurer quels fichiers seront supprimés et lesquels seront laissés jusqu'au prochain lancement. Par défaut, la fermeture supprime automatiquement tous les fichiers et arrête les processus.

Examinons plus en détail le travail du programme.

Menu Fichier

Par défaut, l’interface sandbox n’a rien d’intéressant. Les éléments de commande sont situés uniquement dans menu principal. Regardons de plus près le paramètre "Déposer". En cliquant dessus, un menu contextuel apparaît avec les paramètres suivants :

• "Fermer tous les programmes". Met fin de force aux activités de tous les programmes et processus ouverts dans le bac à sable. Cela peut être pertinent si un fichier malveillant démarre activement son activité et doit être suspendu de toute urgence ;
• "Interdire les programmes créés". Ce bouton est responsable de la possibilité d'exécuter des programmes qui s'ouvrent dans le bac à sable par défaut en mode système normal. Paramètres standards impliquent d'exécuter un tel programme pendant 10 secondes maximum en mode normal. Cela devrait suffire pour voir comment le logiciel se comporte en dehors du bac à sable. Les paramètres sont susceptibles de changer ;
• "Fenêtre dans le bac à sable". Nécessaire pour déterminer où un programme particulier est ouvert ;
• "Moniteur d'accès aux ressources". Vous permet de suivre les ressources informatiques auxquelles un programme exécuté dans le bac à sable a accès. Peut être utile pour identifier une activité suspecte ;
• "Sortie". Ferme Sandboxie.

Afficher le menu

Lorsque vous appuyez sur le bouton "Voir" vous aurez accès aux éléments responsables de l'affichage des éléments dans l'interface du programme (éléments de menu "Programmes" Et "Fichiers et dossiers").

Également au menu "Voir" il y a une fonction "Restaurer l'enregistrement", chargé de rechercher et de supprimer les fichiers qui ont été accidentellement restaurés du bac à sable.

Élément bac à sable

Les principales fonctionnalités du programme sont concentrées ici. Cet élément de menu est directement responsable du travail avec le bac à sable. Regardons son contenu plus en détail :

1. "Boîte par défaut" est un « bac à sable » dans lequel tous les programmes s’exécutent par défaut. Lorsque vous déplacez le curseur de la souris sur cet élément de menu, une fenêtre déroulante apparaît dans laquelle vous pouvez sélectionner des environnements supplémentaires pour exécuter un programme particulier. Par exemple, exécutez le logiciel dans "Explorateur" Windows, navigateur, client de messagerie etc. De plus, vous pouvez effectuer les opérations suivantes :
   • "Terminer tous les programmes". Ferme tous les programmes en cours d'exécution ;
   • "Récupération rapide". Responsable de la possibilité de supprimer tout ou partie des fichiers du bac à sable et de les transférer vers la normale espace disque;
   • "Supprimer le contenu". Ferme et supprime tous les programmes, fichiers et processus à l'intérieur de l'espace isolé ;
   • "Afficher le contenu". Permet de connaître tout ce qui est contenu dans le « bac à sable » ;
   • "Paramètres du bac à sable". Une fenêtre spéciale s'ouvre dans laquelle vous pouvez configurer la mise en évidence de la fenêtre dans l'interface dans une couleur ou une autre, configurer la récupération et/ou la suppression des données, les autorisations des programmes pour accéder à Internet, etc.
   • "Renommer le bac à sable". Donnons-lui nom unique, composé de lettres latines et de chiffres arabes ;
   • "Supprimer le bac à sable". Supprime tout l'espace disque isolé alloué à un bac à sable spécifique ainsi que toutes les données qui y sont exécutées.
2. Vous pouvez créer un nouveau bac à sable en utilisant le bouton correspondant. Par défaut, tous les paramètres des sandbox déjà créés seront transférés, que vous pourrez ajuster selon vos besoins. De plus, le nouvel espace isolé devra recevoir un nom.
3. Cliquer sur un élément du menu contextuel "Définir le dossier de stockage", vous pouvez choisir l'emplacement de l'espace isolé. Par défaut, il s'agit de C:\Sandbox .
4. De plus, vous pouvez configurer l'ordre dans lequel les sandbox sont affichés. Affichage standard va par ordre alphabétique, pour le changer, utilisez l'élément de menu "Définir l'emplacement et les groupes".

Article « Personnaliser »

Comme son nom l'indique, cet élément de menu est responsable de la configuration du programme. Avec lui, vous pouvez configurer les éléments suivants :

• "Avertissement concernant les programmes en cours d'exécution". Lors de l'ouverture de certains programmes sélectionnés par l'utilisateur dans le bac à sable, une notification correspondante sera envoyée ;
• "L'intégration dans Windows Explorer» . Ouvre une fenêtre avec les paramètres de lancement de programmes via le menu contextuel d'un raccourci ou d'un fichier exécutable ;
• "Compatibilité des programmes". Tous les programmes ne sont peut-être pas compatibles avec le vôtre système opérateur et/ou environnement sandbox. À l'aide de cet élément de menu, vous pouvez définir les paramètres de compatibilité, ce qui vous permet d'exécuter plus de programmes ;
• Bloquer avec des contrôles de configuration. Il existe déjà des paramètres pour plus utilisateurs expérimentés, dont certaines doivent être spécifiées sous forme de commandes spéciales.

Avantages et inconvénients du programme

Le programme a ses avantages, mais il n’est pas sans inconvénients.

Avantages

• Le programme a une bonne réputation, car il a fait ses preuves ;
• Les éléments de configuration sont idéalement situés et nommés, ce qui permettra même à un utilisateur inexpérimenté de les comprendre ;
• Vous pouvez créer un nombre illimité de sandbox en spécifiant chaque paramètre en fonction de type spécifique Tâches;
• Le programme est parfaitement traduit en russe.

Défauts

• L'interface du programme est obsolète, mais cela n'a pratiquement aucun effet sur la facilité d'utilisation ;
• Ce bac à sable ne peut pas exécuter de programmes nécessitant l'installation de pilotes supplémentaires ou d'autres composants. Ce problème ne se limite pas à Sandboxie.

Comment exécuter un programme dans le bac à sable

Considérons le fonctionnement du programme à l'aide de l'exemple du lancement d'un autre programme dans son environnement, qui a dans son fichier d'installation logiciels indésirables :

Ainsi, vous avez appris les principales fonctionnalités du programme Sandboxie, et avez également compris comment l'utiliser. Cet article n'a pas couvert toutes les options d'utilisation du programme, mais ces données sont suffisantes pour vous permettre de vérifier un programme particulier pour la présence de logiciels malveillants/indésirables.

Il existe deux manières principales d'exécuter une opération suspecte en toute sécurité. fichier exécutable: sous une machine virtuelle ou dans ce qu'on appelle le « bac à sable ». De plus, cette dernière peut être adaptée de manière élégante pour l'analyse opérationnelle d'un dossier, sans recourir à services publics spécialisés et des services en ligne et sans utiliser beaucoup de ressources, comme c'est le cas avec une machine virtuelle. Je veux vous parler de lui.

AVERTISSEMENT

Une mauvaise utilisation de la technique décrite peut endommager le système et entraîner une infection ! Soyez attentif et prudent.

Bac à sable pour analyse

Les personnes qui travaillent dans le domaine de la sécurité informatique connaissent très bien le concept de bac à sable. En bref, un bac à sable est un environnement de test dans lequel un certain programme est exécuté. Parallèlement, le travail est organisé de manière à ce que toutes les actions du programme soient suivies, toutes fichiers mutables et les paramètres sont enregistrés, mais dans système réel Il ne se passe rien. En général, vous pouvez exécuter n'importe quel fichier en toute certitude que cela n'affectera en rien les performances du système. De tels outils peuvent être utilisés non seulement pour assurer la sécurité, mais également pour analyser les actions du malware qu'il exécute après son lancement. Bien sûr, s'il existe un instantané du système avant le début des actions actives et une image de ce qui s'est passé dans le bac à sable, vous pouvez facilement suivre tous les changements.

Bien entendu, il existe de nombreux services en ligne prêts à l'emploi sur Internet qui proposent une analyse de fichiers : Anubis, CAMAS, ThreatExpert, ThreatTrack. Ces services utilisent des approches différentes et ont leurs propres avantages et inconvénients, mais nous pouvons également identifier les principaux inconvénients communs :

Vous devez avoir accès à Internet. Vous devez faire la queue pendant le traitement (dans les versions gratuites). Généralement, les fichiers créés ou modifiés lors de l'exécution ne sont pas fournis. Il n'est pas possible de contrôler les paramètres d'exécution (dans les versions gratuites). Il est impossible d'interférer avec le processus de démarrage (par exemple, cliquez sur les boutons des fenêtres qui apparaissent). Il n'est généralement pas possible de fournir les bibliothèques spécifiques nécessaires à son exécution (dans les versions gratuites). En règle générale, seuls les fichiers PE exécutables sont analysés.

De tels services sont le plus souvent construits sur la base machines virtuelles avec les outils installés, jusqu'aux débogueurs du noyau. Ils peuvent également être organisés à la maison. Cependant, ces systèmes sont assez gourmands en ressources et occupent une grande quantité d'espace disque dur, et l'analyse des journaux du débogueur prend beaucoup de temps. Cela signifie qu'ils sont très efficaces pour une étude approfondie de certains échantillons, mais il est peu probable qu'ils soient utiles dans les travaux de routine, lorsqu'il n'y a aucun moyen de charger les ressources du système et de perdre du temps en analyse. L'utilisation d'un bac à sable pour l'analyse vous permet d'éviter d'énormes dépenses de ressources.

Quelques avertissements

Aujourd'hui, nous allons essayer de créer notre propre analyseur basé sur un bac à sable, à savoir l'utilitaire Sandboxie. Ce programme est disponible en shareware sur le site de l'auteur www.sandboxie.com. Pour notre étude, un nombre limité version gratuite. Le programme exécute les applications dans un environnement isolé afin qu'elles n'apportent pas de modifications malveillantes au système réel. Mais il y a ici deux nuances :

1. Sandboxie vous permet de surveiller uniquement les programmes au niveau du mode utilisateur. Toute activité de code malveillant en mode noyau n'est pas surveillée. Par conséquent, le mieux que l’on puisse apprendre en étudiant les rootkits est la manière dont le malware est introduit dans le système. Malheureusement, il est impossible d'analyser le comportement lui-même au niveau du mode noyau.
2. Selon les paramètres, Sandboxie peut bloquer l'accès à Internet, autoriser accès total ou accès uniquement pour programmes individuels. Il est clair que si le malware a besoin d’un accès à Internet pour fonctionner normalement, il doit être fourni. D'un autre côté, si vous avez Pinch sur votre clé USB, qui démarre, collecte tous les mots de passe du système et les envoie à l'attaquant via FTP, alors Sandboxie avec accès libre Internet ne vous protégera pas de la perte information confidentielle! Ceci est très important et doit être rappelé.

Configuration initiale de Sandboxie

Sandboxie est un excellent outil avec gros montant paramètres. Je ne mentionnerai que ceux d'entre eux qui sont nécessaires à nos tâches.

Après Installations de bacs à sable Un bac à sable est automatiquement créé. Vous pouvez ajouter quelques bacs à sable supplémentaires sous différentes tâches. Les paramètres du bac à sable sont accessibles via le menu contextuel. En règle générale, tous les paramètres pouvant être modifiés disposent de suffisamment d'informations. Description détaillée en russe. Les paramètres répertoriés dans les sections « Récupération », « Suppression » et « Restrictions » sont particulièrement importants pour nous. Donc:

1. Vous devez vous assurer que rien n'est répertorié dans la section "Récupération".
2. Dans la section « Supprimer », aucune case à cocher et/ou dossiers et programmes ajoutés ne doivent être cochés. Si vous définissez incorrectement les paramètres dans les sections spécifiées aux paragraphes 1 et 2, cela peut conduire à un code malveillant infectant le système ou à la destruction de toutes les données à analyser.
3. Dans la section « Restrictions », vous devez sélectionner les paramètres adaptés à vos tâches. Il est presque toujours nécessaire de restreindre l'accès niveau faible et l'utilisation de matériel pour tous les programmes en cours d'exécution afin d'empêcher les rootkits d'infecter le système. Mais restreindre l'accès au lancement et à l'exécution, ainsi que supprimer les droits, au contraire, n'en vaut pas la peine, sinon du code suspect sera exécuté dans un environnement non standard. Cependant, tout dépend de la tâche, y compris la disponibilité de l'accès à Internet.
4. Pour plus de clarté et de commodité, dans la section « Comportement », il est recommandé d'activer l'option « Afficher la bordure autour de la fenêtre » et de sélectionner une couleur pour mettre en évidence les programmes exécutés dans un environnement restreint.

Connecter des plugins

En quelques clics, nous obtenons un excellent environnement isolé pour une exécution de code en toute sécurité, mais pas d'outil pour analyser son comportement. Heureusement, l'auteur de Sandboxie a prévu la possibilité d'utiliser un certain nombre de plugins pour son programme. Le concept est assez intéressant. Les modules complémentaires sont bibliothèques dynamiques, introduit dans un processus exécuté dans un bac à sable et enregistrant ou modifiant d'une certaine manière son exécution.

Nous aurons besoin de plusieurs plugins répertoriés ci-dessous.

1. SBIExtra. Ce plugin intercepte un certain nombre de fonctions pour un programme en bac à sable afin de bloquer les fonctionnalités suivantes :
   • aperçu des processus et des threads en cours d'exécution ;
   • accès aux processus en dehors du bac à sable ;
   • appeler la fonction BlockInput (saisie clavier et souris) ;
   • Lecture des titres des fenêtres actives.
2. Antidèle. L'addon intercepte les fonctions responsables de la suppression des fichiers. Ainsi, tous les fichiers temporaires dont provient la commande à supprimer code source, restent toujours à leur place.

Comment les intégrer dans le bac à sable ? Comme cela n'est pas fourni par l'interface Sandboxie, vous devrez éditer le fichier de configuration manuellement. Créez un dossier Plugins et décompressez-y tous les plugins préparés. Attention maintenant : Buster Sandbox Analyzer comprend plusieurs bibliothèques portant le nom commun LOG_API*.dll, qui peuvent être injectées dans le processus. Il existe deux types de bibliothèques : Verbose et Standard. Le premier affiche presque liste complète Appels API effectués par le programme, y compris les appels aux fichiers et au registre, la seconde est une liste abrégée. La réduction permet d'accélérer le travail et de réduire le journal qui doit ensuite être analysé. Personnellement, je n'ai pas peur des gros journaux, mais j'ai peur que certaines informations nécessaires soient soigneusement « coupées », j'ai donc choisi Verbose. C'est cette bibliothèque que nous allons injecter. Pour éviter que le malware ne remarque l'injection d'une bibliothèque par son nom, nous utiliserons la précaution la plus simple : changer le nom LOG_API_VERBOSE.dll par n'importe quel autre nom, par exemple LAPD.dll.

Maintenant, dans la fenêtre principale de Sandboxie, sélectionnez « Configurer -> Modifier la configuration ». Une configuration de texte s'ouvrira avec tous les paramètres du programme. Faisons immédiatement attention aux lignes suivantes :

• Le paramètre FileRootPath dans la section spécifie le chemin général du dossier sandbox, c'est-à-dire le dossier dans lequel tous les fichiers sandbox seront situés. Pour moi, ce paramètre ressemble à FileRootPath=C:\Sandbox\%SANDBOX%, cela peut être différent pour vous.
• La section ne nous intéresse pas - nous la sautons et faisons défiler plus loin.
• Ensuite, il y a une section dont le nom est le même que celui du bac à sable (que ce soit BSA). C'est ici que nous ajouterons les plugins : InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\antidel.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ LAPD .dll OpenWinClass=TFormBSA Enabled=y ConfigLevel=7 BoxNameTitle=n BorderColor=#0000FF NotifyInternetAccessDenied=y Template=BlockPorts

Bien entendu, les chemins peuvent différer. Mais l’ordre des bibliothèques injectées doit être exactement comme ça ! Cette exigence est due au fait que les fonctions doivent être interceptées dans l'ordre spécifié, sinon les plugins ne fonctionneront pas. Pour appliquer les modifications, sélectionnez dans la fenêtre principale de Sandboxie : « Configurer -> Recharger la configuration ».

Configurons maintenant le plugin Buster Sandbox Analyzer lui-même.

1. Nous lançons le plugin manuellement à l'aide du fichier bsa.exe du dossier Plugins.
2. Sélectionnez « Options -> Mode d'analyse -> Manuel », puis « Options -> Options du programme -> Intégration du shell Windows -> Ajouter une action de clic droit « Exécuter BSA » ».

Maintenant, tout est prêt à fonctionner : notre bac à sable est intégré au système.

Version portable du bac à sable

Bien sûr, beaucoup n'aimeront pas le fait qu'ils doivent installer, configurer, etc. Comme tout cela ne me plaît pas non plus, j'ai réalisé une version portable de l'outil qui peut être lancée sans installation ni configuration, directement depuis un flash. conduire. Vous pouvez télécharger cette version ici : tools.safezone.cc/gjf/Sandboxie-portable.zip. Pour démarrer le bac à sable, exécutez simplement le script start.cmd, et à la fin du travail, n'oubliez pas d'exécuter le script stop.cmd, qui déchargera complètement le pilote et tous les composants de la mémoire, et enregistrera également les modifications apportées pendant le travail dans le portable.

Le portabelizer lui-même a très peu de paramètres : son travail repose principalement sur des manipulations avec le fichier Sandboxie.ini.template, situé dans le dossier Templates. Essentiellement, ce fichier est un fichier de paramètres Sandboxie qui est correctement traité et transmis au programme, et une fois terminé, réécrit dans les modèles. Si vous ouvrez ce fichier avec le Bloc-notes, il est peu probable que vous trouviez quelque chose d'intéressant. Vous devez absolument faire attention au modèle $(InstallDrive), qui est répété dans un certain nombre de paramètres de chemin. Nous sommes particulièrement intéressés par le paramètre FileRootPath. Si cela ressemble à ceci :

FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%

Ensuite, des « bacs à sable » seront créés sur le disque où se trouve le Sandboxie portable. Si le paramètre a par exemple la forme suivante :

FileRootPath=C:\Sandbox\%SANDBOX%

En d'autres termes, il précise un certain disque système, alors des bacs à sable seront créés sur ce disque.

Personnellement, je recommande de toujours créer des bacs à sable sur disques locaux. Cela accélère le fonctionnement de l'outil et, lorsqu'il est exécuté à partir d'un lecteur flash, il accélère de plusieurs ordres de grandeur. Si vous êtes tellement tourmenté par la paranoïa que vous souhaitez exécuter et analyser tout sur votre support préféré que vous portez près de votre cœur, alors le paramètre peut être modifié, mais utilisez au moins un portable disques durs pour que tout ne ralentisse pas terriblement.

Utilisation pratique

Essayons notre outil sur une menace réelle. Pour que personne ne m'accuse de fraude, j'ai fait une chose simple : je suis allé sur www.malwaredomainlist.com et j'ai téléchargé la dernière chose qui y figurait au moment de la rédaction. Il s’est avéré qu’il s’agissait d’un joli fichier pp.exe provenant d’un site infecté. Le nom à lui seul inspire beaucoup d'espoir, de plus, mon antivirus a immédiatement crié sur ce fichier. D’ailleurs, il est préférable d’effectuer toutes nos manipulations avec l’antivirus désactivé, sinon nous risquons de bloquer/supprimer quelque chose de ce que nous recherchons. Comment étudier le comportement d'un binaire ? Faites simplement un clic droit sur ce fichier et sélectionnez Exécuter BSA dans le menu déroulant. La fenêtre Buster Sandbox Analyzer s’ouvrira. Regardez attentivement le dossier Sandbox de la ligne pour vérifier. Tous les paramètres doivent correspondre à ceux que nous avons spécifiés lors de la configuration de Sandboxie, c'est-à-dire que si le bac à sable s'appelait BSA et que le chemin d'accès au dossier était défini sur FileRootPath=C:\Sandbox\%SANDBOX%, alors tout devrait être comme sur la capture d'écran. . Si vous en savez beaucoup sur les perversions et que vous avez nommé le bac à sable différemment ou configuré le paramètre FileRootPath sur un lecteur ou un dossier différent, vous devez le modifier en conséquence. DANS sinon Buster Sandbox Analyzer ne saura pas où chercher les nouveaux fichiers et les modifications du registre.

BSA comprend de nombreux paramètres pour analyser et étudier le processus d'exécution binaire, jusqu'à l'interception paquets réseau. N'hésitez pas à cliquer sur le bouton Démarrer l'analyse. La fenêtre passera en mode analyse. Si le bac à sable sélectionné pour l'analyse pour une raison quelconque contient les résultats d'une étude précédente, l'utilitaire proposera d'abord de l'effacer. Tout est prêt pour exécuter le dossier sous enquête.

Prêt? Faites ensuite un clic droit sur le fichier que vous étudiez et dans le menu qui s'ouvre, sélectionnez « Exécuter dans le bac à sable », puis sélectionnez le « bac à sable » auquel nous avons attaché le BSA.

Immédiatement après cela, les appels API seront exécutés dans la fenêtre de l'analyseur, qui seront enregistrés dans les fichiers journaux. Veuillez noter que Buster Sandbox Analyzer lui-même ne sait pas quand l'analyse du processus sera terminée ; en fait, le signal de fin est votre clic sur le bouton Terminer l'analyse. Comment savez-vous que le moment est déjà venu ? Il peut y avoir deux options ici.

1. La fenêtre Sandboxie n'affiche aucun processus en cours d'exécution. Cela signifie que le programme est clairement terminé.
2. Dans la liste des appels API pendant longtemps rien de nouveau n'apparaît ou, au contraire, la même chose s'affiche dans une séquence cyclique. En même temps, quelque chose d'autre s'exécute dans la fenêtre Sandboxie. Cela se produit si le programme est configuré pour une exécution résidente ou est simplement gelé. Dans ce cas, il faut d'abord y mettre fin manuellement en cliquant avec le bouton droit sur le bac à sable correspondant dans la fenêtre Sandboxie et en sélectionnant « Terminer les programmes ». À propos, lors de l'analyse de mon pp.exe, c'est exactement cette situation qui s'est produite.

Après cela, vous pouvez sélectionner en toute sécurité Terminer l'analyse dans la fenêtre Buster Sandbox Analyzer.

Analyse du comportement

En cliquant sur le bouton Malware Analyzer, nous recevrons immédiatement des informations récapitulatives sur les résultats de la recherche. Dans mon cas, la malveillance du fichier était tout à fait évidente : lors de l'exécution, le fichier C:\Documents and Settings\Administrator\Application Data\dplaysvr.exe a été créé et lancé, qui a été ajouté au démarrage (d'ailleurs, il a été ce fichier qui ne voulait pas se terminer tout seul), une connexion a été établie avec 190.9.35.199 et le fichier hosts a été modifié. À propos, seuls cinq moteurs antivirus ont détecté le fichier sur VirusTotal, comme le montrent les journaux, ainsi que sur le site Web de VirusTotal.

Toutes les informations sur les résultats de l'analyse peuvent être obtenues directement à partir du menu Viewer dans la fenêtre Buster Sandbox Analyzer. Il existe également un journal des appels API, qui sera certainement utile pour des recherches détaillées. Tous les résultats sont stockés sous la forme fichiers texte dans le sous-dossier Reports du dossier Buster Sandbox Analyzer. Le rapport Report.txt (appelé via View Report), qui fournit des informations détaillées sur tous les fichiers, est particulièrement intéressant. C'est à partir de là que l'on apprend que les fichiers temporaires étaient effectivement exécutables, la connexion est passée sur http://190.9.35.199/view.php?rnd=787714, le malware a créé un mutex spécifique G4FGEXWkb1VANr, etc. Vous pouvez non seulement visualiser rapports, mais également extraire tous les fichiers créés lors de l'exécution. Pour ce faire, dans la fenêtre Sandboxie, faites un clic droit sur le « bac à sable » et sélectionnez « Afficher le contenu ». Une fenêtre d'explorateur s'ouvrira avec tout le contenu de notre « sandbox » : le dossier drive contient les fichiers créés sur disques physiques"bacs à sable", et dans dossier utilisateur- les fichiers créés dans le profil utilisateur actif (%userprofile%). Ici, j'ai trouvé dplaysvr.exe avec la bibliothèque dplayx.dll, des fichiers tmp temporaires et modifiés fichier d'hôtes. D'ailleurs, il s'est avéré que les lignes suivantes y ont été ajoutées :

94.63.240.117 www.google.com 94.63.240.118 www.bing.com

Veuillez noter qu'il y a des fichiers infectés qui traînent dans le bac à sable. Si vous les lancez accidentellement double-cliquez, rien ne se passera (ils s'exécuteront dans le bac à sable), mais si vous les copiez quelque part puis les exécutez... hmm, eh bien, vous voyez l'idée. Ici, dans le dossier, vous pouvez trouver un dump du registre modifié pendant le travail, sous la forme d'un fichier RegHive. Ce fichier peut être facilement converti en un fichier reg plus lisible à l'aide du script de commande suivant :

REG LOAD HKLM\uuusandboxuuu RegHive REG EXPORT HKLM\uuusandboxuuu sandbox.reg REG UNLOAD HKLM\uuusandboxuuu bloc-notes sandbox.reg

Ce que l'instrument peut et ne peut pas faire

L’outil obtenu peut :

• Surveillez les appels d'API à partir d'une application en cours d'exécution.
• Suivre les nouveaux fichiers générés et les paramètres du registre.
• Intercepter trafic réseau lors de l'exécution de l'application.
• Effectuer une analyse de base des fichiers et de leur comportement (analyseur comportemental intégré, analyse sur VirusTotal par hachages, analyse via PEiD, ExeInfo et ssdeep, etc.).
• prends-en Informations Complémentaires en exécutant des programmes auxiliaires dans le bac à sable (par exemple, Moniteur de processus) avec celui analysé.

Cet outil ne peut pas :

• Analysez les logiciels malveillants exécutés en mode noyau (nécessitant l’installation du pilote). Cependant, il est possible d'identifier le mécanisme d'installation du pilote (avant qu'il ne soit réellement implémenté sur le système).
• Analysez les logiciels malveillants de suivi d’exécution dans Sandboxie. Cependant, Buster Sandbox Analyzer inclut un certain nombre de mécanismes pour empêcher un tel suivi.

Ainsi, vous recevrez sandbox.reg, qui contient les lignes ajoutées par le malware lors de son exécution. Après avoir effectué l'analyse, sélectionnez Annuler l'analyse dans le menu Options pour tout remettre tel qu'il était. Veuillez noter qu'après cette opération, tous les journaux d'analyse seront supprimés, mais le contenu du bac à sable restera en place. Cependant, la prochaine fois que vous démarrerez le programme, il vous proposera de tout supprimer.