Ejecutar un programa en un entorno aislado. Sandboxie: ejecutar aplicaciones en un entorno protegido

Ejecutar un programa en un entorno aislado. Sandboxie: ejecutar aplicaciones en un entorno protegido

Hola a todos, hoy quiero hablaros de un programa muy útil estos días: Sandboxie. Sandboxie es un entorno de pruebas para computadora que le permite proteger su computadora de infecciones de virus y brindarle una navegación relajante por Internet. El programa tiene varias funciones más útiles que analizaré más adelante.

¿Cómo funciona Sandboxie?

Es muy simple, el programa crea un entorno dedicado dentro de Windows, diseñado para ejecutar aplicaciones de forma segura en una PC y también bloquear el acceso al sistema en busca de malware. Algunos antivirus tienen características similares, como TS 360, Comodo Internet Security y Avast! Pro. El sandbox es actualmente una de las mejores herramientas para combatir virus.

Al ejecutar cualquier programa en modo sandbox, localiza todas las capacidades del programa en el sandbox; el programa o virus no puede tener ningún impacto en su sistema operativo. Por lo tanto, en el sandbox puedes ejecutar y probar cualquier cosa sin dañar el sistema operativo. Si ejecuta su navegador en un entorno limitado, puede navegar por Internet sin riesgo de infectar su navegador o computadora.

Las principales áreas de uso del sandbox Sandboxie son:

  • Busque programas peligrosos y desconocidos
  • Seguimiento de las acciones del programa
  • Navegar seguro por Internet

Para obtener más información sobre las capacidades de Sandbox, vea mi reseña en video:


¿Qué más puede hacer Sandboxie?

El programa también puede iniciar varias ventanas del programa, por ejemplo, puede iniciar 2 o más ventanas de Skype en modo normal, puede iniciar solo una ventana del programa; Algunos inician varias ventanas de juegos en línea a través del sandbox).

El programa también te permite utilizar programas de prueba para siempre. Por ejemplo, puedes utilizar cualquier programa que tenga un período limitado de uso gratuito. Cada vez que ejecuta el programa en la zona de pruebas, puede restablecer la versión de prueba del programa).

Si conoce otros métodos para usar Sandbox, escríbalo en los comentarios y agregaré esta información al artículo principal.

¡El llamado sandbox es una característica relativamente nueva en los paquetes antivirus shareware de Avast! Pro y Avast! Seguridad en Internet. Se trata de un modelo de seguridad especial, gracias al cual el usuario puede visitar sitios web y ejecutar una variedad de aplicaciones mientras se encuentra en un entorno seguro. Esta función ayuda a evitar virus si accidentalmente cambia a potencialmente . Si llega a un recurso malicioso, el navegador se colocará automáticamente en una zona de pruebas y, por lo tanto, se evitará la infección de la computadora.
En versiones gratuitas de Avast! No hay caja de arena.

La nueva función también se puede iniciar de forma independiente cuando habilita programas de terceros que le parezcan sospechosos o poco confiables. Simplemente ejecute el programa en el sandbox y descubrirá si realmente representa una amenaza o si sus temores son infundados. Al verificar el programa, su sistema estará protegido por Avast. La zona de pruebas se utiliza a menudo para comprobar el software descargado de Internet.

Cómo utilizar la caja de arena

Para iniciar una aplicación dudosa o acceder a Internet a través de una zona de pruebas, haga clic en la solicitud "ejecutar un proceso virtualizado". Después de eso, vaya al programa que necesita en su computadora. El navegador o la aplicación se iniciará en una nueva ventana especial, enmarcada por un marco rojo, lo que indica que el programa se inició correctamente desde el entorno de pruebas.
En la pestaña "Configuración avanzada", puede asignar aplicaciones que no necesitan ser virtualizadas, así como aquellas que siempre deben iniciarse desde la zona de pruebas.

Un rasgo característico del sandbox es la capacidad de incrustarlo en el menú contextual. Para habilitar esta opción, en la ventana "Opciones", marque la casilla junto a "incrustar en el menú contextual del botón derecho". La opción puede estar disponible tanto para todos los usuarios como para los usuarios con derechos de administrador. Con su ayuda, puede iniciar cualquier aplicación en la zona de pruebas simplemente haciendo clic derecho en el acceso directo y seleccionando el comando "ejecutar con".

Tenga en cuenta que si hace clic con el botón derecho en una aplicación de la zona de pruebas, el menú contextual que se abre le dará la opción de ejecutarla una vez fuera de la zona de pruebas o de eliminar la aplicación de la zona de pruebas.

Internet y la tecnología informática se han apoderado por completo del mundo moderno. Ahora casi todo el mundo dispone de un dispositivo electrónico con el que puede encontrar la información necesaria en Internet o charlar con amigos en cualquier momento y en cualquier lugar. Pero no olvide que a veces hay una amenaza oculta detrás de esto: virus y archivos maliciosos creados y lanzados a la red global para infectar los datos de los usuarios. Además de los antivirus estándar, se han creado programas sandbox para ayudar a evitar su acceso a la computadora.

Objeto y principio del programa.

Los programas Sandbox están diseñados para garantizar la seguridad de su computadora mientras navega por Internet o ejecuta varios programas. En términos más sencillos, podemos decir que este programa es una especie de espacio virtual limitado en el que se llevan a cabo todas las acciones del usuario. Un programa que se inicia mientras se ejecuta el sandbox funciona solo en este entorno y, si es un virus malicioso, se bloquea su acceso a los archivos del sistema.

Ventajas de la caja de arena

Quizás la primera ventaja de esta aplicación se pueda extraer del párrafo anterior: limita el acceso de archivos maliciosos al sistema. Incluso si se detectaron virus, por ejemplo, troyanos o gusanos, mientras navegaba por Internet, pero en ese momento el usuario estaba trabajando con el sandbox activado, los virus no penetrarán en ningún otro lugar y, cuando se limpie el sandbox, lo harán. eliminarse completamente del ordenador sin dejar rastro. Además, estos programas ayudan a acelerar su computadora. Dado que la mayoría de las actividades de la zona de pruebas están relacionadas con el trabajo en los navegadores, cada vez que lo inicie (Google Chrome, Opera, Mozilla Firefox), el usuario verá un navegador absolutamente limpio y como recién instalado, que no tiene la habitual desaceleración de basura. - “caché” "

Desventajas de la caja de arena

También los existen, y lo más importante es eliminar datos personales, ya sean marcadores, páginas guardadas mientras navega por Internet o incluso el historial. El programa no está configurado para reconocer qué es exactamente dañino para el dispositivo, por lo que cuando se limpia, absolutamente todos los datos se eliminan permanentemente. El usuario debe tener esto en cuenta y, si es necesario, sincronizar los marcadores necesarios o utilizar aplicaciones especiales diseñadas para guardar dichos datos.

Por el momento, existen muchos nombres para este tipo de programas, entre los más conocidos se encuentran Sandboxie, Comodo Internet Security, etc. Cada uno elige el que le resulta más conveniente y comprensible. En cualquier caso, no debes olvidarte de las desventajas de estos programas y utilizarlos con cuidado.

Avast es uno de los programas antivirus. La instalación y el registro son lo más sencillos posible. Existen versiones para PC y dispositivos móviles. En este caso, se puede obtener una licencia para el primer año de uso de forma totalmente gratuita. Avast ofrece varias opciones de seguridad adicionales. Aquí también se implementa la posibilidad de agregar excepciones.

necesitarás

  • Computadora, dispositivo móvil, Internet.

Instrucciones

Dentro de la pantalla del sistema de archivos, haga clic en el botón "Configuración", luego seleccione la pestaña "Excepciones". Al hacer clic en "Examinar", verá el contenido del disco duro. Seleccione excepciones haciendo doble clic en las carpetas o archivos deseados y haciendo clic en Aceptar. Confirme su elección en la siguiente ventana haciendo clic en Aceptar nuevamente.

Algunas aplicaciones masivas (como los cortafuegos Outpost Security Suite y Online Armor Premium Firewall, así como archivos ejecutables exe y msi de contenido incomprensible descargados de Internet) pueden alterar la integridad y estabilidad del sistema. Su instalación en un sistema operativo en funcionamiento puede provocar la aparición de pantallas BSOD al cargar el sistema operativo, cambios en la configuración del navegador e incluso la propagación de gusanos y troyanos, lo que probablemente provocará que el atacante robe contraseñas de cuentas de redes sociales y servicios web. que utilizas, casilla de correo electrónico, etc.

Anteriormente hemos escrito sobre métodos populares para probar software nuevo en artículos sobre y. En este artículo hablaremos sobre otra forma simple, rápida y efectiva de ejecutar cualquier aplicación en Windows en un entorno protegido y aislado, y su nombre es Sandboxie Sandbox.

¿Qué es una caja de arena?

En el campo de la seguridad informática, un sandbox es un entorno especialmente dedicado diseñado para ejecutar aplicaciones de forma segura en una PC. Algunos productos de software complejos incluyen un modo de entorno seguro (sandbox). Estas aplicaciones incluyen el firewall Comodo Internet Security y el antivirus Avast. (versión paga), novedades en el campo de la protección de datos de Kaspersky Lab. El tema de nuestro artículo-instrucciones, el programa Sandboxie, es una herramienta completa para pruebas a gran escala de cualquier programa sin realizar cambios en la estructura y los parámetros del sistema operativo en funcionamiento. Cómo trabajar con él: sigue leyendo.

Descargando la distribución e instalando Sandboxie

Antes de comenzar la instalación, como siempre, debe descargar el paquete de instalación en línea. aprovechemos sitio web oficial proyecto.

Aunque los desarrolladores ofrecen versiones pagas del producto para uso doméstico y de oficina, la versión gratuita también es bastante adecuada para nosotros. No tiene restricciones de tiempo. Lo único negativo es la posibilidad de trabajar con un solo sandbox y la inaccesibilidad de algunos parámetros no muy críticos.

Después de descargar la distribución, comencemos el procedimiento de instalación. Se desarrolla en 2 fases. Primero, se instalan las bibliotecas del sistema y los archivos ejecutables de Sandboxie.

En la etapa final, se le pedirá que instale el controlador del sistema, que es el núcleo de la aplicación. El controlador funcionará junto con los archivos de servicio y su instalación tardará un par de minutos. Estamos de acuerdo y seguimos adelante.

Primer lanzamiento del sandbox Sandboxie

Cuando inicie la aplicación por primera vez, la pantalla mostrará una lista de programas para los que puede mejorar la compatibilidad con el entorno de pruebas. A pesar de que no todas las aplicaciones disponibles en el sistema operativo se muestran en esta lista, el programa Sandbox determinó automáticamente que, de forma predeterminada, estos programas no están disponibles para su administración en Sandboxie. Aceptamos mejorar la compatibilidad marcando todos los elementos de la lista y haciendo clic en Aceptar.

A continuación, debemos realizar una breve introducción al trabajo con la aplicación, donde podremos familiarizarnos con el principio general de funcionamiento del producto de software, el mecanismo para iniciar un navegador web en modo protegido, así como la función de eliminación. el contenido del sandbox activo. El manual es muy conciso, todo su contenido se reduce a unas pocas pulsaciones de botones para realizar las acciones más populares y una ilustración gráfica con la metodología básica del servicio.

Así, cuando se agote el manual, podremos empezar a trabajar en un entorno aislado. Puede iniciar la aplicación seleccionando el elemento correspondiente en el menú "Inicio" o haciendo clic en el icono correspondiente en forma de "Aplicaciones" (Win 8/8.1).

Una forma alternativa es hacer doble clic en el ícono Sandboxie Sandbox en la barra de tareas.

Como resultado del lanzamiento del programa, aparecerá en pantalla un formulario con un sandbox activo disponible para el usuario (te recordamos una vez más que en la versión gratuita solo puedes crear un sandbox). Casi todas las operaciones se llaman desde este formulario.

Ejecutar el navegador en modo sandbox

Bueno, iniciemos el navegador en modo protegido. Para hacer esto, puede usar el acceso directo en el escritorio o hacer clic derecho en DefaultBox y seleccionar "Ejecutar en sandbox" -> "Iniciar navegador web" en el menú contextual. Vale la pena señalar que de esta forma se puede trabajar con el navegador instalado en el sistema como el activo por defecto.

La inclusión de un entorno aislado seguro está simbolizada por un borde amarillo que bordea el formulario del navegador.

¿Cómo trabajar con él? Al ejecutar su navegador en una zona de pruebas, puede acceder libremente a cualquier recurso, incluso potencialmente peligroso, sin la amenaza de infectar su PC con ningún código malicioso. Este modo sin duda le resultará útil si está buscando claves de programas, cracks o si ha colocado a un niño frente a la computadora bajo su supervisión y teme que pueda dañar el sistema al cambiar a recursos no seguros a través de pancartas o cambiar el configuración del navegador estableciendo la siguiente adición "súper única". Cualquier archivo descargado usando este navegador tampoco tendrá acceso al sistema de trabajo.

Cuando intente descargar un archivo utilizando un navegador de espacio aislado, preste atención al encabezado del formulario para especificar el nombre para guardar. El nombre de este formulario está rodeado por dos símbolos #, lo que indica que al guardar el objeto se colocará en el shell Sandboxie de Windows y no estará disponible en un dispositivo de disco normal.

Lo mismo se aplica a los programas lanzados.

De forma predeterminada, los archivos descargados de la red se ofrecen para colocarlos en la carpeta Escritorio o Descargas. Estos directorios son adecuados para el sandboxing.

¿Cómo asegurarse de que el archivo descargado se guarde en el sandbox?

En el menú superior, seleccione Ver y marque la opción Archivos y carpetas. Verá un árbol de discos disponibles y directorios de usuarios con los que puede trabajar en modo protegido. Abra la carpeta que necesita y asegúrese de que los archivos correspondientes estén allí.

¿Es posible extraer un archivo del entorno limitado colocándolo en una carpeta similar en una unidad de servicio normal?

Por supuesto, para hacer esto, haga clic derecho en el archivo a restaurar y seleccione “Restaurar en la misma carpeta” en el menú contextual. Después de esto, se extraerá el archivo.

También puede agregar nuevas rutas a las carpetas disponibles para guardar especificándolas en el formulario Configuración de Sandbox, categoría Recuperación -> sección Recuperación rápida.

Para abrir el formulario Configuración de Sandbox, vaya a la opción Sandbox en el menú superior, luego seleccione el subelemento DefaultBox y en el menú contextual que aparece, haga clic en el elemento Configuración de Sandbox.

¿Cómo instalar una nueva aplicación en el sandbox?

Haga clic derecho en la distribución apropiada guardada en un entorno aislado o en un sistema operativo estándar y seleccione "Ejecutar en sandbox" en el menú.

A esto le seguirá el procedimiento de instalación estándar, que podrá comprender literalmente en muy poco tiempo. La única advertencia: si desea probar un programa de 64 bits, antes de instalarlo, agregue la ruta a la carpeta "C:\Archivos de programa" en la configuración de Sandboxie, ya que de forma predeterminada solo puede haber una ruta al directorio del sistema. “C:\Archivos de programa (x86)”. Puede hacer esto nuevamente en el menú Recuperación rápida. Para que los cambios surtan efecto, haga clic en el botón "Aplicar" y reinicie la instalación si el proceso ya se está ejecutando.

¿Cómo ejecutar un programa en un sandbox?

El usuario tiene dos formas de iniciar la aplicación en un entorno seguro.

El primero es un menú contextual llamado desde el elemento Sandbox en el menú superior de Sandboxie. Aquí puede ejecutar cualquier cosa: desde un cliente de correo externo hasta un demonio de consola diseñado para comprimir archivos en un formato de audio alternativo.

La segunda forma es utilizar la integración de Sandboxie con el Explorador de Windows. Para hacer esto, debe hacer clic derecho en el programa que necesita en un dispositivo de disco que funcione normalmente y seleccionar la opción "Ejecutar en sandbox".

Resultados

En general, hay que decir que el programa no se siente muy seguro en los sistemas operativos de 64 bits de última generación. Se producen fallos periódicos y aparecen ventanas con una notificación sobre un intento de restaurar inmediatamente los procesos en ejecución. Sin embargo, con un poco de manipulación en la configuración, puede hacer que Sandboxie funcione de manera estable, eficiente y sin reservas, y gracias a la integración con Explorer, el inicio de aplicaciones es fluido y fluido. Junto con otros métodos de virtualización, este mecanismo es una excelente herramienta para depurar y probar aplicaciones, lo que resulta útil para un estudio detallado de la interacción de un producto de software con el entorno operativo de trabajo.

Entonces decidimos tocar brevemente este tema.

Básicamente, un "sandbox" es un entorno de software aislado con recursos estrictamente limitados para ejecutar código de programa dentro de este entorno (en términos simples, ejecutar programas). En cierto modo, un “sandbox” es un entorno limitado diseñado para aislar procesos dudosos por motivos de seguridad.

Algunos buenos antivirus y firewalls (aunque, por regla general, en su versión paga) utilizan este método sin su conocimiento, algunos le permiten administrar esta funcionalidad (ya que aún genera un consumo innecesario de recursos), pero también hay programas que permiten implementar similares funcionalidad.

Hablaremos de uno de estos hoy.

Sandboxie: revisión, configuración y descarga

Como comprenderá por el título y el subtítulo, hablaremos sobre el programa. caja de arena.

Desgraciadamente es shareware, pero el mismo periodo gratuito te ayudará a conocer mejor este tipo de herramientas, lo que puede que en el futuro te impulse a estudiar con más detalle, que, en su mayor parte, existe de forma gratuita. y ofrece más oportunidades.

A continuación, se te ofrecerá realizar un breve curso sobre cómo trabajar con el programa, o mejor dicho, te contarán un poco sobre cómo funciona. Siga los seis pasos, preferiblemente leyendo atentamente lo que está escrito en las instrucciones que se le proporcionan.

¿Quieres saber y poder hacer más tú mismo?

Te ofrecemos capacitación en las siguientes áreas: informática, programas, administración, servidores, redes, construcción de sitios web, SEO y más. ¡Descubre los detalles ahora!

En resumen, en esencia, puedes ejecutar cualquier programa dentro de un entorno aislado. Las instrucciones, si las ha leído, contienen una metáfora bastante buena sobre el tema de que, en esencia, una caja de arena es un trozo de papel transparente colocado entre el programa y la computadora, y eliminar el contenido de la caja de arena es algo similar a descartar una hoja de papel usada y su contenido, con, lógicamente, su posterior sustitución por una nueva.

Cómo configurar y utilizar un programa sandbox

Ahora intentemos entender cómo trabajar con esto. Para empezar, puede intentar ejecutar, digamos, un navegador en un entorno limitado. Para hacer esto, de hecho, use el acceso directo que aparece en su escritorio o use los elementos del menú en la ventana principal del programa: " DefaultBox - Ejecutar en sandbox - Iniciar navegador web", o, si desea iniciar un navegador que no está instalado en el sistema como navegador predeterminado, utilice el elemento " Ejecute cualquier programa" y especifique la ruta al navegador (o programa).

Después de esto, el navegador se iniciará en la zona de pruebas y verá sus procesos en la ventana. caja de arena. A partir de este momento todo lo que sucede sucede en, como ya se ha dicho muchas veces, un entorno aislado y, por ejemplo, un virus que utilice la caché del navegador como elemento para penetrar en el sistema, de hecho, no podrá Realmente no hacer nada, porque después de terminar de trabajar con el entorno aislado... puedes limpiarlo tirando, como dice la metáfora, la hoja de papel garabateada y pasando a una nueva (sin afectar de ninguna manera la integridad del ordenador como tal).

Para borrar el contenido de la zona de pruebas (si no lo necesita), en la ventana principal del programa o en la bandeja (aquí es donde están el reloj y otros íconos) use el elemento " DefaultBox - Eliminar contenido".

Atención! será eliminado solo esa parte, que fue escrito y trabajado en un entorno aislado, es decir, digamos, el navegador en sí, no será eliminado de la computadora, sino transferido a él... mmm... relativamente hablando, una copia del proceso, un caché creado, los datos guardados (como archivos descargados/creados), etc., se eliminarán si no los guarda.

Para comprender mejor el principio de funcionamiento, intente iniciar el navegador y otro software en el entorno sandbox varias veces, descargar varios archivos y eliminar/guardar el contenido después de terminar de trabajar con este entorno sandbox y luego, por ejemplo, iniciar el mismo navegador o programa directamente. en la computadora. Créame, comprenderá la esencia en la práctica mejor de lo que se puede explicar con palabras.

Por cierto, al hacer clic derecho en un proceso en la lista de procesos en la ventana caja de arena Puede controlar el acceso a varios recursos de la computadora sin pasar por la zona de pruebas seleccionando " Acceso a recursos".

En términos generales, si desea arriesgarse y otorgar, por ejemplo, Google Chrome, acceso directo a cualquier carpeta de su computadora, puede hacerlo en la pestaña correspondiente ( Acceso a archivos: acceso directo/completo) usando el botón " Agregar".

Es lógico que el sandbox esté destinado no solo y no tanto a trabajar con un navegador y visitar varios sitios dudosos, sino también a ejecutar aplicaciones que le parezcan sospechosas (especialmente, por ejemplo, en el trabajo (donde a menudo lanzan archivos dudosos). desde correo o memorias USB) y/o no debe tener acceso a los recursos principales del ordenador y/o dejar rastros innecesarios allí.

Por cierto, este último puede ser un buen elemento de protección, es decir, para ejecutar cualquier aplicación, cuyos datos deben aislarse por completo y eliminarse al finalizar el trabajo.

Por supuesto, no es necesario eliminar datos del sandbox al finalizar y trabajar con algunos programas solo en un entorno aislado (el progreso se recuerda y existe la posibilidad de una recuperación rápida), pero usted decide si hacerlo o no. .

Cuando intenta iniciar algunos programas, puede encontrar el problema anterior. No tengas miedo, para empezar basta con pulsar " DE ACUERDO", y, luego, abra la configuración de la zona de pruebas usando el botón " DefaultBox: configuración de la zona de pruebas" y en la pestaña " Transferir archivos" establezca un tamaño ligeramente mayor para la opción de transferencia de archivos.

No hablaremos de otras configuraciones ahora, pero si te interesan, puedes descubrirlas fácilmente por tu cuenta, afortunadamente todo está en ruso, es extremadamente claro y accesible. Bueno, si tienes preguntas, puedes Puedes preguntarles en los comentarios de esta entrada.

Ahora quizás podamos pasar al epílogo.

Epílogo

Ah, sí, casi nos olvidamos, por supuesto, que el sandbox consume una mayor cantidad de recursos de la máquina, porque muerde (virtualiza) parte de la capacidad, lo que, naturalmente, crea una carga diferente a la de ejecutarlo directamente. Pero, lógicamente, la seguridad y/o la privacidad pueden merecer la pena.

Por cierto, el uso de sandboxes, chroot o virtualización, se relaciona en parte con la metodología de seguridad sin antivirus que utilizamos.

Probablemente eso sea todo por ahora. Como siempre, si tiene alguna pregunta, idea, adición, etc., no dude en comentar esta publicación.

En el proceso de publicación de la última parte de la serie de artículos "Mentiras, grandes mentiras y antivirus", quedó claro que la audiencia de Habra carece catastróficamente de educación en el campo de los entornos limitados de antivirus, qué son y cómo funcionan. Lo curioso de esta situación es que casi no existen fuentes confiables de información sobre este tema en Internet. Solo un montón de cáscaras de mercado y mensajes de texto de no entiendo quién al estilo de "una abuela dijo, escucha aquí". Tendré que llenar los huecos.

Definiciones.

Entonces, caja de arena. El término en sí no proviene del arenero infantil, como algunos podrían pensar, sino del que utilizan los bomberos. Este es un tanque de arena donde puedes trabajar de manera segura con objetos inflamables o arrojar algo que ya está ardiendo sin temor a prender fuego a otra cosa. Reflejando la analogía de esta estructura técnica con el componente de software, podemos definir un entorno limitado de software como "un entorno de ejecución aislado con derechos controlados". Así es exactamente como funciona, por ejemplo, el sandbox de una máquina Java. Y también cualquier otro sandbox, independientemente de su finalidad.

Pasando a los entornos de pruebas antivirus, cuya esencia es proteger el sistema de trabajo principal de contenidos potencialmente peligrosos, podemos distinguir tres modelos básicos para aislar el espacio de los entornos de pruebas del resto del sistema.

1. Aislamiento basado en virtualización total. El uso de cualquier máquina virtual como capa protectora sobre el sistema operativo invitado, donde está instalado un navegador y otros programas potencialmente peligrosos a través de los cuales el usuario puede infectarse, proporciona un nivel bastante alto de protección para el sistema de trabajo principal.

Las desventajas de este enfoque, además del monstruoso tamaño de la distribución y el alto consumo de recursos, radican en los inconvenientes del intercambio de datos entre el sistema principal y el sandbox. Además, es necesario devolver constantemente el estado del sistema de archivos y del registro a su estado original para eliminar la infección del entorno limitado. Si no se hace esto, entonces, por ejemplo, los agentes spambot continuarán su trabajo dentro del sandbox como si nada hubiera pasado. La caja de arena no tiene nada que los bloquee. Además, no está claro qué hacer con los medios de almacenamiento portátiles (unidades flash, por ejemplo) o los juegos descargados de Internet, que pueden contener marcadores maliciosos.

Un ejemplo de enfoque es Invincea.

2. Aislamiento basado en virtualización parcial del sistema de archivos y registro. No es en absoluto necesario llevar consigo el motor de la máquina virtual; puede enviar objetos duplicados del sistema de archivos y del registro a procesos en la zona de pruebas, colocando aplicaciones en la máquina de trabajo del usuario en la zona de pruebas. Un intento de modificar estos objetos solo cambiará sus copias dentro del sandbox; los datos reales no se verán afectados. El control de derechos no permite atacar el sistema principal desde dentro del sandbox a través de las interfaces del sistema operativo.

Las desventajas de este enfoque también son obvias: el intercambio de datos entre el entorno virtual y real es difícil, es necesaria una limpieza constante de los contenedores de virtualización para devolver la zona de pruebas a su estado original y no infectado. Además, es posible que se produzcan averías o elusiones de este tipo de entornos sandbox y la liberación de códigos de programas maliciosos en el sistema principal desprotegido.

Un enfoque de ejemplo es SandboxIE, BufferZone, ZoneAlarm ForceField, Sandbox de Kaspersky Internet Security, Sandbox de Comodo Internet Security y Avast Internet Security.

3. Aislamiento basado en reglas. Todos los intentos de modificar el sistema de archivos y los objetos de registro no se virtualizan, sino que se consideran desde el punto de vista de un conjunto de reglas internas de la herramienta de protección. Cuanto más completo y preciso sea dicho conjunto, más protección proporcionará el programa contra infecciones del sistema principal. Es decir, este enfoque representa un compromiso entre la conveniencia del intercambio de datos entre procesos dentro del sandbox y el sistema real y el nivel de protección contra modificaciones maliciosas. El control de derechos no permite atacar el sistema principal desde dentro del sandbox a través de las interfaces del sistema operativo.

Las ventajas de este enfoque también incluyen la ausencia de la necesidad de revertir constantemente el sistema de archivos y el registro a su estado original.

Las desventajas de este enfoque son la complejidad del software para implementar el conjunto de reglas más preciso y completo, y la posibilidad de revertir solo parcialmente los cambios dentro del sandbox. Al igual que cualquier sandbox que funcione sobre la base de un sistema en funcionamiento, es posible una falla o elusión del entorno protegido y la liberación de código malicioso en el entorno de ejecución principal desprotegido.

Un ejemplo de enfoque es DefenseWall, Política de restricción de software de Windows, Cuenta de usuario limitada + ACL.

También existen enfoques mixtos para aislar los procesos sandbox del resto del sistema, basados ​​tanto en reglas como en virtualización. Heredan tanto las ventajas como las desventajas de ambos métodos. Además, las desventajas prevalecen debido a las peculiaridades de la percepción psicológica de los usuarios.

Ejemplos de este enfoque son GeSWall, Control de cuentas de usuario de Windows (UAC).

Métodos para la toma de decisiones sobre la colocación bajo protección.

Pasemos a los métodos para decidir si colocar los procesos bajo protección de espacio aislado. Hay tres básicos:

1. Basado en reglas. Es decir, el módulo de toma de decisiones analiza la base interna de reglas para ejecutar determinadas aplicaciones o archivos potencialmente peligrosos y, en función de ello, inicia procesos en el sandbox o fuera de él, en el sistema principal.

Las ventajas de este enfoque son el más alto nivel de protección. Se cierran tanto los archivos de programas maliciosos que provienen de lugares potencialmente peligrosos a través del entorno sandbox como los archivos no ejecutables que contienen scripts maliciosos.

Desventajas: puede haber problemas al instalar programas que llegaron a través de la zona de pruebas (aunque las listas blancas facilitan enormemente esta tarea), la necesidad de iniciar procesos manualmente en la zona principal y confiable para actualizar programas que se actualizan solo dentro de ellos mismos (por ejemplo, Mozilla Firefox , Utorrent u Opera).

Ejemplos de programas con este enfoque son DefenseWall, SandboxIE, BufferZone, GeSWall.

2. Basado en los derechos de los usuarios. Así es como funcionan la cuenta de usuario limitada de Windows y la protección basada en SRP y ACL. Cuando se crea un nuevo usuario, se le otorgan derechos de acceso a ciertos recursos, así como restricciones de acceso a otros. Si necesita que un programa funcione con recursos que están prohibidos para un usuario determinado, debe volver a iniciar sesión en el sistema con un usuario con un conjunto adecuado de derechos y ejecutar el programa, o ejecutarlo solo con dicho usuario. sin volver a iniciar sesión en el usuario principal que trabaja (cambio rápido de usuario).

Las ventajas de este enfoque son un nivel relativamente bueno de seguridad general del sistema.

Desventajas: gestión de seguridad no trivial, posibilidad de infección a través de recursos que se pueden modificar, ya que el módulo de toma de decisiones no rastrea dichos cambios.

3. Basado en enfoques heurísticos. En este caso, el módulo de decisión “mira” el archivo ejecutable e intenta, basándose en datos indirectos, adivinar si ejecutarlo en el sistema principal o en el sandbox. Ejemplos: Kaspersky Internet Security HIPS, entorno limitado de Comodo Internet Security.

Las ventajas de este enfoque son que es más transparente para el usuario que un enfoque basado en reglas. Más fácil de mantener e implementar para la empresa fabricante.

Desventajas: la inferioridad de dicha protección. Además del hecho de que la heurística del módulo de toma de decisiones puede "fallar" en el módulo ejecutable, estas soluciones demuestran una resistencia casi nula a los archivos no ejecutables que contienen scripts maliciosos. Bueno, además de un par de problemas más (por ejemplo, con la instalación de extensiones maliciosas desde el propio navegador, desde el cuerpo del exploit).

Por otra parte, me gustaría llamar la atención sobre el método de utilizar el sandbox como medio heurístico, es decir iniciar un programa en él durante un cierto período de tiempo, seguido de un análisis de las acciones y una decisión general sobre la malicia; este enfoque no se puede llamar un entorno limitado de pruebas antivirus completo. Bueno, ¿qué tipo de sandbox antivirus es este, que se instala solo por un corto período de tiempo con la posibilidad de eliminarlo por completo?

Modos de uso de zonas de pruebas antivirus.

Sólo hay dos principales.

1. Modo de protección siempre activo. Cuando se inicia un proceso que podría ser una amenaza para el sistema principal, se coloca automáticamente en una zona de pruebas.

2. Modo de protección manual. El usuario decide de forma independiente ejecutar esta o aquella aplicación dentro del sandbox.

Los entornos sandbox que tienen el modo operativo principal como “protección siempre activa” también pueden tener un modo de inicio manual. Así como viceversa.

Los entornos sandbox con aislamiento basado en reglas suelen utilizar el modo de protección persistente porque la comunicación entre el sistema host y los procesos dentro del entorno sandbox es completamente transparente.

Los sandboxes heurísticos también se caracterizan por el uso de un modo de protección constante, ya que el intercambio de datos entre el sistema principal y los procesos dentro del sandbox es absolutamente insignificante o se reduce a él.

Los sandboxes no heurísticos con aislamiento basado en virtualización parcial se caracterizan por un modo de protección manual. Esto se debe al difícil intercambio de datos entre los procesos dentro del sandbox y el sistema de trabajo principal.

Ejemplos:

1. DefenseWall (un entorno limitado con aislamiento basado en reglas) tiene un modo de operación principal "basado en reglas". Sin embargo, está presente el inicio manual de aplicaciones dentro y fuera de la zona de pruebas.

2. SandboxIE (sandbox y aislamiento basado en virtualización parcial) tiene un modo de operación principal "manual". Pero al comprar una licencia, puede activar el modo "constante según las reglas".

3. La zona de pruebas de Comodo Internet Security (zona de pruebas con aislamiento basado en virtualización parcial) tiene el modo de funcionamiento principal "heurística constante". Sin embargo, es posible iniciar aplicaciones manualmente dentro y fuera de la zona de pruebas.

Estas son básicamente las cosas básicas que cualquier profesional que se precie debería saber sobre los entornos limitados de antivirus. Cada programa individual tiene sus propias características de implementación, que usted mismo deberá encontrar, comprender y evaluar los pros y los contras que aporta.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba