Как использовать «песочницу» на компьютере в Windows — Sandboxie

19.11.2020 0

В нашей сегодняшней статье речь вновь пойдет о безопасности. Это будет песочница, при помощи которой мы можем запустить любую игру или программу, обезопасив основную операционную систему. В самом конце этой странички вы сможете бесплатно скачать последнюю крякнутую версию Sandboxie 5.40.1 x32/64 Bit на русском языке для Windows XP, 7, 8 или 10. Однако, прежде чем приступить к загрузке, мы предлагаем ознакомиться с описанием программы, ее возможностями, сильными и слабыми сторонами, а также инструкцией по использованию. Приступаем.

Описание

Все что вам нужно знать о Sandboxie, это тот факт, что данная программа позволяет запускать любое ПО, включая игры, в рамках операционной системы от Microsoft. При этом запускаемый софт никак не может повлиять на основную ОС. В результате все это позволяет нам открывать любые программы, которые потенциально могут нести опасность для компьютера, и убеждаться в том, что мы можем использовать их в основной операционной системе.

В инструкции мы расскажем не только, как бесплатно скачать Sandboxie для вашего ПК или ноутбука, но и опишем, как пользоваться данной утилитой. При этом следует отметить, что программа для вас будет полностью бесплатной, так как в скачиваемый дистрибутив уже вшит кряк, который активирует полный функционал. Все что нужно будет сделать, это установить программу и переходить к использованию.

Настройки Windows Sandbox

После запуска Песочница Windows — это чистая система, без доступа к вашим файлам в основной системе (что может быть нужно), зато с доступом к сети (что представляет потенциальную опасность). При необходимости, вы можете настроить поведение Windows Sandbox с помощью специальных файлов конфигурации, представляющих собой обычный текстовый файл XML с расширением .wsb. Таких файлов может быть несколько: в зависимости от того, с какими параметрами требуется запустить песочницу, запускаете нужный файл. Обновление: появилась утилита для автоматического создания файлов конфигурации, подробно: Настройка Песочницы Windows 10 в Sandbox Configuration Manager (Sandbox Editor).

Содержимое файла должно начинаться с и заканчивать , а среди доступных параметров, которые указываются внутри этих тегов есть следующие.

Отключение доступа к сети:

Disable

Отключение доступа к виртуальному графическому адаптеру (изображение не исчезнет, но исчезнут функции ускорения графики):

Disable

Проброс папок с основной системы в песочницу Windows (параметр ReadOnly задает доступ только для чтения, при указании False возможна будет и запись):

Путь_к_папке_в_системе True

Подключенные папки будут отображаться на рабочем столе (также возможен доступ по пути C:UsersWDAGUtilityAccountDesktopИмя_папки внутри песочницы).

Запуск команды при открытии песочницы:

какая_либо_команда

Все эти параметры можно компоновать в рамках одного файла конфигурации .wsb, который можно создать с помощью любого текстового редактора, даже встроенного «Блокнота» (при его использовании в диалоге сохранения в поле «Тип файла» выберите «Все файлы» и при сохранении укажите расширение .wsb). На скриншоте ниже — пример такого файла конфигурации.

В этом файле отключается доступ к сети и GPU, подключаются две папки с основной машины и при входе запускается Проводник.

Видео по установке и настройке Песочницы

Возможности программы

Перед тем как мы перейдем непосредственно к инструкции по использованию Sandboxie, давайте немножко ближе познакомимся с возможностями приложения. Их список сводится к следующему:

  • Запускать программы и игры в безопасном режиме можно прямо из контекстного меню. Для этого мы делаем правый клик на каком-то файле и выбираем соответствующий пункт в появившемся списке.
  • В безопасном режиме при помощи отдельного пункта меню можно запустить любой браузер. Таким образом мы можем посещать даже потенциально опасные сайты и смотреть за тем, что будет происходить.
  • Точно таким же образом можно запускать клиент электронной почты и любое другое приложение, которое может нанести вред компьютеру.
  • Запуск меню «Пуск» в режиме песочницы.
  • Всего в один клик мы можем очистить все программы и файлы, которые запускались в безопасном режиме.
  • Все окна, которые запущены через песочницу, подсвечиваются желтой рамкой.

Теперь, когда мы рассмотрели возможности программы, давайте переходить непосредственно к инструкции по ее бесплатному скачиванию, установке и использованию.

Что умеет и не умеет инструмент

Полученный инструмент умеет:

  • Отслеживать API-вызовы запущенного приложения.
  • Отслеживать новые создаваемые файлы и параметры реестра.
  • Перехватывать сетевой трафик при выполнении приложения.
  • Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
  • Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.

Этот инструмент не может:

  • Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
  • Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

Таким образом, ты получишь sandbox.reg, в котором указаны строки, внесенные зловредом в ходе выполнения. После выполнения анализа выбери в меню Options пункт Cancel analysis, чтобы вернуть всё как было. Учти, что после этой операции все журналы анализа будут удалены, но содержимое «песочницы» останется на месте. Впрочем, при следующем запуске программа сама предложит все удалить.



Работаем с программой

Для того чтобы запустить любое приложение в режиме песочницы при помощи Sandboxie, нам нужно будет, естественно, сначала скачать саму программу, а потом установить ее. Рассмотрим оба этапа подробнее.

Как скачать и установить

Изначально давайте скачаем нужное нам приложение. Для этого следует просто задействовать кнопку, которая находится немного ниже. А именно:

  • Крутим эту страничку ниже, кликаем по кнопке загрузки последней русской версии нужной нам программы.
  • В результате загрузив торрент-раздачу, мы можем сохранить полученный файл в любое удобное место.
  • Запускаем наш установочный дистрибутив и, руководствуясь подсказками пошагового мастера, производим инсталляцию Sandboxie.

    • Готово, теперь можно переходить прямо к работе с нашим приложением. Соответственно, давайте рассмотрим, как это делается.

    Как пользоваться

    Для того чтобы запустить любую программу в безопасном режиме и посмотреть, что она с собой являет, нам необходимо сделать несколько простых шагов:

  • Подразумевается, что Sandboxie уже установлена на ваш ПК или ноутбук. Раз это так, находим любой файл, который хотим протестировать, и делаем по его имени правый клик мышью.
  • В появившемся контекстном меню выбираем пункт запуска в Sandboxie.
  • В результате последует диалог запуска, в котором нам нужно будет утвердительно отвечать на все запросы.

    • В итоге программа запустится, как мы уже говорили, подсветивший желтой рамкой. Это означает, что приложение работает в режиме песочницы и не может нанести вред основной операционной системе.

    Анализ поведения

    Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:Documents and SettingsАдминистраторApplication Datadplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

    Отчет о проведенном анализе

    Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу https://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user — файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

    94.63.240.117 www.google.com 94.63.240.118 www.bing.com

    Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

    REG LOAD HKLMuuusandboxuuu RegHive REG EXPORT HKLMuuusandboxuuu sandbox.reg REG UNLOAD HKLMuuusandboxuuu notepad sandbox.reg

    Плюсы и минусы

    Если вас интересуют сильные и слабые стороны программы Sandboxie, то данный список расставит точки над и.

    Достоинства:

    • великолепное быстродействие в совокупности с минимальными системными требованиями;
    • запуск в безопасном режиме поддерживает практически любая программа;
    • запускать файлы и приложения в режиме песочницы можно через контекстное меню иконки в системном трее, интерфейс Sandboxie либо контекстное меню проводника Windows;
    • программа, с которой вам предстоит работать, полностью переведена на русский язык;
    • это крякнутая версия, поэтому полный функционал без ограничений станет доступным сразу после того, как вы бесплатно скачайте и установите песочницу.

    Недостатки:

    • в некоторых (редких) случаях приложение не получается запустить через Sandboxie.

    Восстановление файлов в Sandboxie

    Программа Sandboxie не позволяет файлам из программы запущенной в «песочнице» проникать в операционную систему без вашего разрешения. Все файлы созданные программой или загруженные из Интернета, по умолчанию будут удалены после закрытия изолированной среды.

    Работая в программе Sandboxie можно создавать и сохранять файлы в обычных папках на своем компьютере. Эти файлы не будут видны, пока вы не дадите разрешения программе Sandboxie, перенести данные из изолированной среды в обычную среду.

    После того, как вы скачали при помощи браузера, запущенного в изолированной среде, какие-нибудь файлы из интернета, эти файлы будут находиться в том месте, где у вас на компьютере сохраняются загрузки.

    Но, вы не будете видеть эти файлы, пока они находятся в «песочнице». Вам нужно будет перенести эти файлы из изолированной среды в обычную среду.

    В программе Sandboxie это называется «восстановление» файлов. Есть три режима восстановления файлов: «Немедленное восстановление», «Быстрое восстановление» и «Ручное восстановление».

    Ошибки при запуске

    Выше мы разобрались, как активировать и запустить Песочницу на Windows 10. Теперь рассмотрим ошибки, с которыми, возможно, придется столкнуться при запуске компонента.

    Ошибка 0x80070002

    Ошибка с описанием «Не удается найти указанный файл» и кодом 0x80070002 иногда возникает в Windows 10 с локализацией, отличной от англоязычной. Устраняется неполадка двумя способами – установкой обновления KB4512941 или установкой чистой англоязычной версии Windows 10 (после активации Песочницы ее можно русифицировать).

    Ошибка 0xc0370106

    Если Песочница отказалась стартовать, выдав сообщение «Виртуальная машина или контейнер неожиданно завершились» и код 0xc0370106, то, скорее всего, есть проблемы в работе компонентов виртуализации. Для начала попробуйте запустить Windows Sandbox с правами администратора, а потом проверьте работу следующих служб в оснастке управления службами:

    Рекомендуется также установить всё последние обновления.

    Как запустить программу в «песочнице»

    Рассмотрим работу программы на примере запуска в её среде другой программы, которая имеет в своём установочном файле нежелательное ПО:

  • Для начала нужно скачать с официального сайта установочный файл Sandboxie.
  • Установите программу. В процессе установки нет ничего сложного, просто следуйте инструкциям установщика.
  • Когда закончите с установкой, выберите ту программу, которую хотите запустить в изолированной среде. Нажмите по её ярлыку/исполняемому файлу правой кнопкой мыши и выберите вариант «Запустить в песочнице».
  • Откроется интерфейс, где вам будет предложено выбрать «песочницу». Если вы не производили каких-либо настроек в Sandboxie, то выбирайте «DefaultBox». При условии, что вы создавали несколько «песочниц» для разных нужд, выберите ту, которая наиболее подходит в данной ситуации.
  • Запуститься установка выбранной программы либо начнётся запуск самой программы, если она уже установлена. Не стоит боятся производить установку в «песочнице», так как ни одни вредоносный элемент не сможет выйти за её пределы. Определить, запущена ли программа/файл в «песочнице» можно по характерной жёлтой рамке вокруг его окна.
  • По завершению установки программы нужно узнать, что изменилось в «песочнице». Для этого нажмите на иконку Sandboxie, расположенную в «Панели задач».
  • Откроется окно, где вы можете просмотреть, сколько место занимает установленная программа в ограниченном пространстве, а также сколько файлов и папок было ей создано.
  • Если всё в порядке, и вы доверяете установленной программе, то можете перенести её на обычное дисковое пространство, воспользовавшись кнопкой «Восстановить в папку…».
  • Если же доверия к программе нет, то нажмите на кнопку «Удалить песочницу». Все внесённые изменения будут стёрты.

    • Таким образом вы и изучили основные особенности программы Sandboxie, а также поняли, как ей пользоваться. В данной статье были рассмотрены не все варианты использования программы, однако этих данных хватит, чтобы вы смогли проверить ту или иную программу на наличие вредоносного/нежелательного ПО.

    Рубрикановости