Содержание статьи
Можно бесконечно смотреть на огонь, воду и активность программ, изолированных в песочнице. Благодаря виртуализации ты одним кликом можешь отправить результаты этой деятельности — зачастую небезопасной — в небытие.
Впрочем, виртуализация применяется и в исследовательских целях: например, захотелось тебе проконтролировать воздействие свежескомпилированной программы на систему или запустить две разные версии приложения одновременно. Или создать автономное приложение, которое не будет оставлять следов в системе. Вариантов применения песочницы — множество. Не программа диктует свои условия в системе, а ты ей указываешь дорогу и распределяешь ресурсы.
Sandboxie
- Сайт: http://www.sandboxie.com
- Разработчик: Sandboxie Holdings LLC
- Лицензия: shareware (15 евро)
Хакер #180. 2014: люди, вирусы, баги, релизы
Sandboxie — это, безусловно, классика жанра. С помощью этой программы ты можешь не только изолировать деятельность приложений, но и обезопасить интернет-активность и улучшить приватность.
Вначале создается песочница и определяются настройки окружения, где будут пресмыкаться программы. Песочниц может быть сколько угодно, с различным набором приложений и конфигураций. Тебе доступны распределение прав доступа, настройка исключений, распределение ресурсов, поведение Sandboxie при завершении активности приложения и прочее.
Внутренний мир песочницы легче понять, очутившись внутри ее. Перетащи текстовый редактор в песочницу и попробуй сохранить файл с текстом на рабочем столе — Sandboxie перехватывает запрос и предлагает действие с сохраняемым файлом на выбор. Через настройки ты можешь заранее указать папки и файлы, которые подлежат быстрому или немедленному (то есть автоматическому) восстановлению. Файлы из песочницы могут быть удалены после завершения эмуляции — соответственно, смотри раздел «Удаление».
Управление Sandboxie вполне интуитивно, тебе не нужно вспоминать, добавил ты программу в песочницу или нет. Достаточно взглянуть на окно приложения: если оно помечено индикатором [#] в заголовке, имеет окантовку желтого цвета — значит, все под контролем Sandboxie.
Ты можешь прикрыть доступ к файлам, окнам, реестру, процессам, портам, сети и прочим лакомым ресурсам, а затем указать группы программ, для которых будут применяться соответствующие ограничения. Более того, о тебе уже позаботился разработчик, составив правила доступа для популярных приложений. Зайди в раздел «Приложения» и выставь настройки для знакомой тулзы, благо что здесь есть интернет-софт, утилиты и менее жадные к ресурсам представители. Немаловажно отметить, что Sandboxie располагает списком опций для популярных антивирусов и файрволов, это поможет избежать конфликтов, при их известной взаимной ненависти.
В Sandboxie обнаруживается очень полезный инструмент — монитор доступа к ресурсам. Посредством его ты можешь отследить запросы приложения к ресурсам. Эта информация нужна как для собственно контроля, так и для составления пользовательских правил блокировки.
Для тех, кто в Windows 8.1: придется подождать очередного обновления программы, с этой ОС Sandboxie на момент написания статьи не дружил.
Shadow Defender
- Сайт: www.shadowdefender.com
- Разработчик:
- Лицензия: shareware (35 долларов)
Shadow Defender, одна из ближайших альтернатив Sandboxie, предлагает пользователю запускать программы в «теневом режиме». Естественно, как ни называй, это все та же песочница. Настроив Shadow Defender, ты можешь доверить машину другому пользователю или самостоятельно поглумиться над системой — после перезагрузки она предстанет перед тобой в первозданном виде. Конечно, если Shadow Defender не сдаст свой пост.
Shadow Defender гораздо проще и интуитивнее Sandboxie. Тебе достаточно отметить «теневые» разделы жесткого диска (Mode Setting) и определить список исключений файлов и ключей реестра (Registry / File Exclusion List). Можно включить автоматический переход в теневой режим при загрузке.
Из других опций обрати внимание на кеширование: изменения будут записываться в память, а по исчерпании ее резервов — на диск. Для пущей безопасности предусмотрено шифрование кеша.
Со всеми изменениями в процессе эксплуатации приложения можно ознакомиться в разделе Commit Now. Есть два способа принять изменения — прямо в этом разделе либо контекстное меню.
Как альтернативу этой проге можно посоветовать Deep Freeze или ToolWiz Time Freeze. Последний вариант будет попроще в настройках и наглядней: с уведомлениями на рабочем столе. Иначе бывает сложно вспомнить, в песочнице ты сейчас или вылез из нее.
VMware ThinApp
- Сайт: www.vmware.com/products/thinapp/
- Разработчик: VMware, Inc
- Лицензия: shareware, рассчитывается индивидуально
ThinApp от небезызвестной тебе VMware представляет собой мощный инструмент для изоляции, обеспечения безопасности, а также создания мобильных (то есть портативных) приложений.
Механизм работы похож на описанные программы: ты делаешь снимок системы, устанавливаешь программу, запускаешь и настраиваешь ее, сверяешь изменения и на их основе создаешь среду для запуска софта. Особенность VMware ThinApp в том, что ты тщательно контролируешь процесс от начала и до конца, начиная с предварительного сканирования. На этом этапе ты указываешь диски и разделы реестра для анализа. После сканирования можно создать группу для запуска приложений (с поддержкой Active Directory) и режим изоляции:
- Merged Isolation Mode — возможность чтения и записи вне виртуального окружения;
- WriteCopy isolation mode — операции записи перенаправляются в песочницу.
Теперь нужно указать пользовательскую директорию, куда прога будет записывать изменения. Все служебные файлы песочницы также будут храниться в этой папке. Удалив их, ты вернешь приложение к ее исходному состоянию. Если разместить песочницу в сетевой папке, можно будет дать к ней общий доступ.
Наконец, завершающая стадия — создание установочного MSI-пакета. Более тонкие настройки можно задавать через внешний конфиг Package.ini и макросы (актуальный мануал ищи здесь.
Если тебя не устраивает медлительность процесса, с помощью тулзы ThinApp Converter ты можешь поставить виртуализацию на поток. Инсталляторы будут создаваться на основе указанного тобой конфига.
Вообще, разработчики советуют производить все указанные препарации в стерильных условиях, на свежей ОС, дабы все нюансы установки были учтены. Для этих целей можно использовать виртуальную машину, но, разумеется, это наложит свой отпечаток на скорость работы. VMware ThinApp и без того неслабо грузит системные ресурсы, причем не только в режиме сканирования. Однако, как говорится, медленно, но верно.
BufferZone
- Сайт: www.trustware.com
- Разработчик: Trustware
- Лицензия: freeware
BufferZone контролирует интернет- и программную активность приложений с помощью виртуальной зоны, вплотную приближаясь к файрволам. Другими словами, здесь применяется виртуализация, регулируемая с помощью правил. BufferZone легко срабатывается в связке с браузерами, мессенджерами, почтовыми и P2P-клиентами.
На момент написания статьи разработчики предупреждали о возможных проблемах при работе с Windows 8. Программа способна убить систему, после чего ее придется удалять через безопасный режим. Виной тому драйверы BufferZone, которые вступают в нешуточный конфликт с ОС.
То, что попадает под радар BufferZone, можно отследить в главном разделе Summary. Число ограниченных приложений ты определяешь сам: для этого предназначен список Programs to run inside BufferZone. В него уже включены потенциально небезопасные приложения вроде браузеров и почтовых клиентов. Вокруг окна захваченного приложения появляется красная рамка, что придает уверенность при безопасном серфинге. Хочешь запустить вне зоны — без проблем, контроль можно обойти через контекстное меню.
Помимо виртуальной зоны, есть такое понятие, как зона приватная. В нее можно добавить сайты, на которых требуется соблюдать строжайшую конфиденциальность. Сразу нужно отметить, что функция работает только в Internet Explorer ретро-версий. В более современных браузерах имеются встроенные средства для обеспечения анонимности.
В разделе Policy настраивается политика по отношению к установщикам и обновлениям, а также программам, запущенным с устройств и сетевых источников. В Configurations также смотри дополнительные опции политики безопасности (Advanced Policy). Имеется шесть уровней контроля, в зависимости от чего меняется отношение BufferZone к программам: без защиты (1), автоматический (2) и полуавтоматический (3), уведомления о запуске всех (4) и неподписанных программ (5), максимальная защита (6).
Как видишь, ценность BufferZone состоит в тотальном интернет-контроле. Если тебе нужны более гибкие правила, то любой файрвол тебе в помощь. В BufferZone он также есть, но больше для галочки: позволяет блокировать приложения, сетевые адреса и порты. С практической точки зрения он малоудобен для активного обращения к настройкам.
Evalaze
- Сайт: www.evalaze.de/en/evalaze-oxid/
- Разработчик: Dögel GmbH
- Лицензия: freeware / commercial (2142 евро)
Главная фишка Evalaze заключается в гибкости виртуализированных приложений: их можно запускать со сменных носителей или из сетевого окружения. Программа позволяет создавать полностью автономные дистрибутивы, функционирующие в эмулированной среде файловой системы и реестра.
Главная особенность Evalaze — это удобный мастер, который понятен без чтения мануала. Вначале ты делаешь образ ОС до установки программы, затем инсталлируешь ее, производишь тестовый запуск, настраиваешь. Далее, следуя мастеру Evalaze, анализируешь изменения. Очень напоминает принцип работы деинсталляторов (например, Soft Organizer).
Виртуализированные приложения могут работать в двух режимах: в первом случае операции записи перенаправляются в песочницу, во втором программа сможет записывать и читать файлы в реальной системе. Будет ли программа удалять следы своей деятельности или нет — решать тебе, опция Delete Old Sandbox Automatic к твоим услугам.
Множество интересных фич доступно только в коммерческой версии Evalaze. Среди них — редактирование элементов окружения (таких как файлы и ключи реестра), импорт проектов, настройка режима чтения. Однако лицензия стоит больше двух тысяч евро, что, согласись, несколько превышает психологический ценовой барьер. По аналогично неподъемной цене предлагается использование сервиса онлайн-виртуализации. В качестве утешения на сайте разработчика есть заготовленные виртуальные приложения-образцы.
Cameyo
- Сайт: www.cameyo.com
- Разработчик: Cameyo
- Лицензия: freeware
Беглый осмотр Cameyo наводит на мысль, что функции аналогичны Evalaze и ты в три клика можешь «слепить» дистрибутив с виртуализированным приложением. Упаковщик делает снимок системы, сравнивает его с изменениями после установки софта и создает экосистему для запуска.
Важнейшее отличие от Evalaze состоит в том, что программа полностью бесплатна и не блокирует ни одной опции. Настройки удобно сосредоточены: переключение способа виртуализации с сохранением на диск или в память, выбор режима изоляции: сохранение документов в указанные директории, запрет на запись или полный доступ. Вдобавок к этому можешь настроить виртуальную среду с помощью редактора файлов и ключей реестра. Каждая папка также имеет один из трех уровней изоляции, который легко переопределить.
Ты можешь указать режим очистки песочницы после выхода из автономного приложения: удаление следов, без очистки и запись изменений реестра в файл. Доступна также интеграция с проводником и возможность привязки к конкретным типам файлов в системе, чего нет даже в платных аналогах Cameyo.
Однако самое интересное — это не локальная часть Cameyo, а онлайн-упаковщик ипубличные виртуальные приложения. Достаточно указать URL или закинуть MSI или EXE-инсталлятор на сервер, указав разрядность системы, — и на выходе получаешь автономный пакет. С этого момента он доступен под крышей твоего облака.
Резюме
Sandboxie будет оптимальным выбором для экспериментов в песочнице. Программа наиболее информативна среди перечисленных инструментов, в ней доступна функция мониторинга. Широкий выбор настроек и неплохие возможности по управлению группой приложений.
Shadow Defender не имеет каких-то уникальных функций, но зато очень проста и безотказна. Любопытный факт: статья писалась внутри этой «песочницы», и по досадной ошибке все изменения ушли в «тень» (читай: астрал). Если бы не Dropbox, на этой странице был бы опубликован совсем другой текст — скорее всего, другого автора.
Evalaze предлагает не комплексный подход виртуализации, а индивидуальный: ты контролируешь запуск конкретного приложения, создав для этого искусственные условия обитания. Здесь есть свои достоинства и недостатки. Впрочем, с учетом урезанности бесплатной версии Evalaze, и достоинства померкнут в твоих глазах.
Cameyo несет в себе некоторый «облачный» привкус: приложение можно скачать с сайта, закинуть на флешку или в Dropbox — это во многих случаях удобно. Правда, наводит на ассоциации с фастфудом: за качество и соответствие содержания описанию ручаться не приходится.
А вот если ты предпочитаешь готовить по рецепту, VMware ThinApp — твой вариант. Это решение для экспертов, которым важен каждый нюанс. Набор уникальных функций дополняется возможностями консоли. Ты можешь конвертировать приложения из командной строки, используя конфиги, сценарии — в индивидуальном и пакетном режиме.
BufferZone представляет собой песочницу с функцией файрвола. Этот гибрид далек от совершенства и актуальности настроек, но для контроля интернет-активности и приложений, защиты от вирусов и прочих угроз BufferZone использовать можно.