Перейти к содержанию
ДмТ

Песочница для win7 x64 (как отдельная утилита)

Recommended Posts

ДмТ

Сразу извиняюсь за оффтоп, если данная тема уже обсуждалась.

Увидел программу Sandboxie и возник вопрос, реально ли они нужны? Помогают борьбе с зловредами?

Нужен совет. Есть ли смысл заморачиваться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В борьбе бесочницы бесполезны. Их задача - не дать зловреду попасть в систему, а не бороться с заражением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Нужны реально. Основная задача песочницы- не лечить заражение (это задача антивируса), но не дать зловредам заразить компьютер, в чём любая хорошо сделанная песочница на голову превосходит любой антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Увидел программу Sandboxie и возник вопрос, реально ли они нужны? Помогают борьбе с зловредами?

Нужен совет. Есть ли смысл заморачиваться?

На моей истории из Sandboxie зловред вырывался наружу и прописывался в реестре.

Defence Wall по-моему уже который год существует в режиме отладки, на каждой стр. форума поддержки описываются глюки и отсылаются дампы.

Но имхо без таких программ в некоторых случаях жизнь невозможна... Сам пользуюсь Shadow Defender ( есть версии х32 и х64), позволяет любой диск по-выбору включить в режиме "зеркала" т.е все изменения записываются в журнал, а реальной ОС ничего не происходит, после перезагрузки журнал стирается.

У меня дочь 4-х лет взялась осваивать инет, каждый вечер играет на сайте "флеш-игры для девочек", читать не умеет, нажать может куда угодно...

проконтролировать возможно, но кто же будет сидеть 2-3 часа рядом :)... Когда садится за игры в режим "зеркало" включаю весь комп...

P.S. Антивирус и фаервол в наличии

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Defence Wall по-моему уже который год существует в режиме отладки, на каждой стр. форума поддержки описываются глюки и отсылаются дампы.

Сюрприз- фактически, весь софт в мире существует в режиме постоянной отладки. Поэтому вопрос не в том, есть ли проблемы с ПО (они есть всегда), а в том, с какой скоростью они исправляются разработчиком.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ
Сам пользуюсь Shadow Defender ( есть версии х32 и х64), позволяет любой диск по-выбору включить в режиме "зеркала" т.е все изменения записываются в журнал, а реальной ОС ничего не происходит, после перезагрузки журнал стирается.

Я так понял, что после перезагрузки все стирается. А если захочешь поставить программу, но есть в ней сомнения, соответственно запускаешь в песочнице. Посмотрел, все нормально. Захотел оставить. Мне ее нужно будет запускать не через песочницу?. Или есть такая функция (в песочницах) сохранения изменений в систему.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Я так понял, что после перезагрузки все стирается. А если захочешь поставить программу, но есть в ней сомнения, соответственно запускаешь в песочнице. Посмотрел, все нормально. Захотел оставить. Мне ее нужно будет запускать не через песочницу?. Или есть такая функция (в песочницах) сохранения изменений в систему. Спасибо.

Функция сохранение в систему есть, но потребуется указать файлы, которые надо сохранить... а куда в реестр новая прога залезла и все файлы понатолкала придётся искать... Проще перезагрузившись установить новую программу ещё раз, тем более что от прежней установки никаких

следов не осталось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ

Shadow Defender работает постоянно или необходимо указывать какие программы ч/з нее запускать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ

прочитал на одном из форумов (ссылку давать не буду) о Shadow Defender

"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""

Итак, второй месяц - полет нормальный.

Я думаю, что уже могу поделиться некоторыми впечатлениями.

1. Сразу точки над "i":

говорю о "домашнем" использовании (один пользователь), об работе в "клубных" условиях пусть пишут, кто пробовал.

За всё это время никаких новых глюков в работе XP или других программ (Офис, Фотошоп, Неро, проигрыватели и подобная куча утилит по мелочам) не наблюдается.

Антивирус (Авира) не ругался.

Плюсы.

Испытал давно забытое со времен ДОС-а чувство спокойствия!

Можно разочек запустить на пробу незнакомую программу, не испытывая подавленных угрызений - не наследит ли она в реестре, не накидает ли каких-нить кривых дллок, несмотря на предосторожности...

Множество раз безглючно подтвержденное восстановление исходного состояния при запуске, дает редкое по приятности чувство безопасности системы. ГУТ! Рекомендую.

Нервную энергию экономит ощутимо.

Минусы.

Их несколько, но, по мне, они незначительны.

1. В контекстное меню эксплорера добавляется чертовски уместный пункт "Сохранить с помощью Shadow Defender" (сохраняет изменения вручную указанного файла, а не всех за сеанс). Но, почему-то не сохраняет этим образом ярлыки (*.lnk). Ошибок никаких не пишет и не создает, просто - после перезапуска обнаруживается, что "сохраненного" ярлыка таки нет на новом месте smile

Я думаю, недоработка в механизме интерфейса. По "исключениям" сохраняются нормально.

2. Требует много свободного пространства на диске.

Это конечно не глюк, но определенное неудобство.

Дело вот в чем. Когда файл пишется в "разрешенный" (по исключению) каталог, он пишется в двух экземплярах: один в каталог, а один - в невидимую для ОС временно зарезервированную область диска, которая при этом растет. (Эта область освобождается при рестарте).

Таким образом, при копировании файла, например с DVD или из защищенного каталога, нужно иметь не менее, чем ДВОЙНОЙ запас свободного места. И, имея ввиду, что это как раз системный диск - плюс еще примерно 200 Мб для работы самой Виндовс.

В чем проблема: в том, что Виндовс не видит зарезервированной области, она думает, что места еще много, и тут - хлоп! - место кончилось - ошибка отложенной записи - и все файлы, открытые в это время на запись в каталогах исключений (например кукисы эксплорера, различные конфиги, логи) оказываются испорченными или уничтоженными.

Вот вероятно откуда отзывы о многочисленных сбоях из-за Shadow Defender-а (встречал в комментах).

Окно самого Shadow Defender-а правильно показывает свободное и занятое место, но следить лично все же напрягает.

Файлы в защищенных каталогах - не повреждаются, даже в таких сбоях (FAT32).

Итак, первый вывод: Shadow Defender - для больших дисков, где много свободного места.

3. Чтобы временно снять защиту, обязателен рестарт. Логично, но лееееень....

Думаю, что могу дать теперь и некоторые рекомендации по использованию.

Самый первый совет: ставить на хорошо отлаженную, исправно работающую и полностью настроенную "под себя" машину. Смысл проги в том, чтобы все время восстанавливать именно это состояние машины.

И конечно предварительно прочистить диск всеми антивирусами, какими можете! Вирус, окажись он под защитой, сделается точно так же "неубиваемым", будет восстанавливаться и доставит кучу хлопот.

2. Перед установкой рекомендую задать файлу подкачки Виндовс ("виртуальная память") большой исходный размер (у меня 756Мб, хватает) чтобы он не менял свою длину по каждому пустяку - не будет занимать зарезервированную область. Также и фрагментация уменьшится.

3. Конфигурация дисков.

Абсолютно предпочтительно поделить винчестер на минимум два логических диска, из которых защитить только системный- C:, на котором Виндовс и все рабочие программы.

А D: и далее - оставить для документов, картинок, музыки и видюх, этот диск(и) можно будет забивать под завязку, не имея выше описанных траблов со свободным местом.

На диске С: оставить пустого места в двойном размере дивидюшника плюс 200 Мб (итого около 10 Гиг).

Полезно для копирования, чтоб смочь покидать всё на дивидюшники, когда остальные диски полностью забиты smile

Разумеется для тех, у кого пишущий привод в наличии (имхо, большинство).

Если не поделите и будете жить на одном защищенном C:, боюсь со свободным местом получатся проблемы, сколько бы гиг винчестер ни был...

4. Какие каталоги выводить из-под защиты как исключения?

Оооо, это вопрос творческий! Исключите слишком много - не восстановится всё хорошее, что было первоначально; исключите слишком мало - замучаетесь отключать (с рестартом) защиту по каждому пустячному изменению настроек любимых прог.

Без вопросов исключаем только "Рабочий стол" "Мои Документы" и "Избранное" Интернет-Эксплорера.

Разумеется, исключаем базу писем Аутлука (или других почтовых программ). Но эти я вообще держу на другом логическом диске, что и вам советую.

А вот про остальное нужно хорошенько подумать.

Обычно исключаем каталоги, где проги хранят свои настройки - это позволит те настройки по ходу менять без затруднений. Если же их не исключить, первоначальные настройки ваших прог будут каждый раз восстанавливаться. Что вам больше нравится?

Под XP настройки часто хранятся в C:\Documents and Settings\*****\Application Data, но исключать его полностью не надо - туда часто пишутся экзешники и могут оказаться вирусы. Исключать только нужные покаталоги с настройками кокретных программ, которые знаете.

Если проги сохраняют свои настройки в cfg и ini - исключайте эти отдельные файлы.

Если платный траффик, то исключить кэш IE и других браузеров, файлы логов и статистики, где счетчик денег и мегабайтов.

Каталоги temp и прочие временные лучше предварительно почистить и не исключать - надобность в дальнейшей чистке отпадает smile Можете точно так же поступить и с "Корзиной" (Recycled), но я ее все-таки исключил, чтобы файлы в ней сохранялись: полезно бывает...

НИКОГДА и ни при каких обстоятельствах не исключать каталог Windows и Program Files - весь смысл защиты пропал бы.

"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""

Соответственно вопрос, они что все такие? Работаешь с документами, а потом перезагружаешь и все. Ничего нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ
Нужны реально. Основная задача песочницы- не лечить заражение (это задача антивируса), но не дать зловредам заразить компьютер, в чём любая хорошо сделанная песочница на голову превосходит любой антивирус.

судя по сайту http://www.softsphere.com/rus/downloads/

DefenseWall HIPS есть только для 32-х битных систем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
DefenseWall HIPS есть только для 32-х битных систем?

Ну да. SBIE есть и для 64-х разрядных, но уровень защиты ниже, чем для 32-х разрядных. Посмотрим, что там будет с последними сборками, где Ронен действует в обход PatchGuard.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ
Ну да. SBIE есть и для 64-х разрядных, но уровень защиты ниже, чем для 32-х разрядных. Посмотрим, что там будет с последними сборками, где Ронен действует в обход PatchGuard.

а почему нет сылок на скачивание? Или они пока в бета - версиях? И насколько они слабее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ссылки на скачивание вы найдёте сами. Почитайте форум SBIE, там всё написано.

Насколько слабее- понятия не имею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
а почему нет сылок на скачивание? Или они пока в бета - версиях?

Бетки версии 3.55, на сегодня новее нету:

http://www.sandboxie.com/SandboxieInstall32-355-08.exe (32-bit)

http://www.sandboxie.com/SandboxieInstall64-355-08.exe (64-bit)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Увидел программу Sandboxie и возник вопрос, реально ли они нужны? Помогают борьбе с зловредами?

Нужен совет. Есть ли смысл заморачиваться?

У меня в системе установлены как Sandboxie, так и Shadow Defender.

Sandboxie - в инет гуляю только через нее, и видео в инете смотрю, и в игры браузерные играю. Уже забыл, когда в инете был напрямую. Вопрос заморочки стоял лишь несколько дней - привыкание, настройка (браузер должен сохранять новые закладки, с моего разрешения разумеется, и т.п.). После этого песочница практически незаметна и в плане заморочек, и по скорости - браузер с Sanboxie одинаков как без данной песочницы. С песочницей совершенно не боишься гулять даже по тем сайтам, о которых знаешь, что они заражены. Пользуюсь Sandboxie около двух лет, за это время примерно раза три (немного за такое время, но было) браузер (в песочнице) начинал странно себя вести. В обычной ситуации могла не спасти и переустановка браузера. А здесь - нажал кнопку очистки песочницы, секунда - и браузер как новый. Ну, и плюс всякую мелочь запустить, кейген например, - это тоже Sandboxie.

Shadow Defender - песочница другого рода. В "песок" берет не отдельную указанную программу, а практически всю систему. Пользуюсь ею не постоянно и даже не ежедневно, т.к. работать за компом для того, чтобы после перезагрузки все ваши труды пропали, или постоянно сохранять из нее - это не по мне. Зато Shadow Defender незаменимая вещь если не знаешь программу (даже легитимную), а посмотреть хочется. Запускаешь режим "тени" и вуаля - устанавливаем программу (например, домашнюю бухгалтерию) посмотреть, что собой представляет, играемся ею. После, как наиграемся - перезагружаем компьютер и комп возвращается в состояние, как до установки. Теперь знаем, программа (домашняя бухгалтерия) понравилась или нет, если понравилась - устанавливаем на реальную систему, если нет - ищем другую, и тоже, перед установкой на реал - сначала ставим в "тенях".

Всех полезностей применения данных песочниц не описать. Короче говоря, обе программы на компе нужны. Заморочек практически нет, а пользы много. Эти программы не из тех, которые будут просто лежать. Пользоваться будете постоянно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ДмТ

Добрый день, Razboynik. Если ли возможность указать, какие Вы внесли изменения в настройках Sandboxie для браузера? И на что в первую очередь необходимо обратить внимание (настройки программы)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×