برنامه هاي غير قابل اعتماد را با خيال راحت اجرا كنيد!
برداشت از سایت :
http://egza.wordpress.com/2010/01/01/how-to-investigate-suspicious-file-using-sandboxie-running-untrusted-programs/به هيچ برنامه اي اعتماد نكنيد!
حتما تا به حال با برنامه هاي زيادي برخورديد كه به ويروسي بودنشان شك داشته ايد يا اينكه آنتيويروس آنها را به عنوان ابزار هك ، ويروس ، تروجان يا… تشخيص داده ولي خودتان آن را مضر نميدانيد در اين شرايط اعتماد و اجراي نرمافزار ممكن است نتيجه جالبي نداشته باشد
آنچه بعد از اجراي يك ويروس يا برنامه مضر اتفاق مي افتد ايجاد تغييراتي در رجيستري ويندوز ، تغيير يا ساخت فايلهايي در پوشه هاي سيستم و.. است اما اگر برنامه يا ويروس در يك محيط مجازي اجرا شود در سيستم پخش نخواهد شد و همه تغييرات قابل پيگيري ميباشد.
برنامه اي كه ميتواند اين فضاي مجازي را ايجاد كند Sandboxie است كاري كه اين برنامه انجام ميدهد رو ميتوان اينطور تشبيه كرد:
آسان ترين راه براي اجراي برنامه هاي مشكوك در محيط Sandboxie راست كليك روي برنامه و انتخاب گزينه Run Sandboxed استكامپيوتر را مثل يك صفحه كاغذ در نظر بگيريد با اجراي هر برنامه نوشته هايي به كاغذ افزوده ميشود ; با اجراي مرورگر سايتهايي كه بازديد كرده ايد نوشته ميشود و برنامه هاي هم مخرب سعي ميكنند خودش را در اين صفحه ثبت كنند…
برنامه هاي امنيتي مثل آنتي ويروسها با توجه به باتك اطلاعاتي شان سعي ميكنند تغييرات ناخواسته را رديابي و حذف كنند
ولي برنامه Sandboxie مانند يك لايه شفاف بر روي اين صفحه كاغذ عمل ميكند و برنامه ها بر اين لايه شفاف كه درست مانند صفحه واقعي به نظر ميرسد تغييراتشان را ايجاد ميكنند و بعد از بستن Sandboxie تغييرات اين لايه شفاف به سادگي قابل حذف شدن ، پيگيري و… است.
بعد از اجراي برنامه مشكوك براي مشاهده تغييرات و فايلهاي ايجاد شده كافيت گزينه Explore Contents را از منوي Function انتخاب كنيد(هيچ گاه امنيت 100% نيست)
از نرم افزارهايي كه كاري مشابه با Sandboxie انجام ميدهند ميتوان به ZoneAlarm ForceField و بخش sandbox آنتي ويروس كاسپراسكاي 7 + اشاره كرد
در نظر بگيريد تروجاني را در محيط مجازي با استفاده از نرم افزار معرفي شده اجرا كرده ايد كامپيوترتان به صورت موقت آلوده شده و تروجان توانايي استفاده از منابع و حتي ارتباط اينترنتي را دارد اما اگر Sandboxie را ببنديد كليه process هايش و ارتباطات اينترنتي و… تروجان بسته خواهد شد و شهر در امن و امان خواهد بود!
سوالي كه به احتمال زياد پيش خواهد آمد اين است كه آيا برنامه اجرا شده واقعا يك ويروس يا برنامه مضر است؟
براي مثال يك تروجان تقريبا قديمي – كه حالا همه آنتي ويروس ها آن را ميشناسند – را با راست كليك و انتخاب گزينه Run Sandboxed اجرا ميكنيم (در اينجا تروجان Optix كه امكاناتي مثل SubSeven دارد)
با نگاهي به پنجره برنامه Sandboxie متوجه اجرا شدن msiexec16.exe ميشويم در صورتي كه نام فايل تروجان virus.exe بود و اين تغيير نام مشكوك است
تغييرات و فايلهاي ايجاد شده را با كليك Function -> Contents of Sandbox -> Explore Contents بررسي ميكنيم
پوشه اي با نام drive و دو فايل RegHive و RegHive.LOG وجود دارد از پوشه درايو و فايل msiexec16.exe متوجه ميشويم ويروس خودش را بعد از تغيير نام دادن در پوشه سيستم ويندوز كپي و اجرا كرده است
فايل RegHive داراي تغييرات ايجاد شده در رجيستري مجازي است براي ديدن محتواي آن بايد بعد از بستن Sandboxie آن را در Registry Editor ويندوز لود كنيد:
- از منوي استارت Run را انتخاب و عبارت regedit را بنويسيد و OK
- HKEY_USERS را انتخاب كنيد و از منوي گزينه Load Hive را كليك و در پنجره باز شده فايل RegHive را انتخاب كنيد
در پنجره اي كه باز خواهد شد نامي دلخواه براي كليد رجيستري بنويسد من sandboxie را نوشتم اكنون كليدي با نام sandboxie در زير شاخه HKEY_USERS ظاهر خواهد شد - با بررسي رجيستري مجازي كه اكنون در Registry Editor ويندوز لود شده متوجه اضافه شدن فايل msiexec16.exe به استارت آپ ويندوز ميشويم به اين معني كه با هر بار وارد شدن به ويندوز به صورت خودكار اجرا خواهد شد.
پ.ن: برنامه sandboxie كاربردهاي زيادي دارد از جمله اجراي مرورگرها به صورت sandbox براي جلوگيري از تغيير هيستوري و افزايش حريم شخصي ، توانايي محافظت از ثبت كننده هاي صفحه كليد (keylogger) ، اضافه كردن يك فولدر براي اجراي همه برنامه ها و فايلهاي آن به صورت مجازي (مفيد براي پوشه دانلودها ، آتوران سي دي و دي وي دي ، نصب همزمان چنديدن نسخه از يك برنامه و…
- امنیت کامل با 32 تا آنتی ویروستوصیه های امنیتی ویندوزی بر اساس تجربهاطلاعات شخصي مخفي در فايلهايي كه به ديگران مي دهيدمنبع:
سلام
پاسخحذفدخترم يلداجان
زينب خانم
واقعا طولاني شد
لا اقل عليكي جواب مختصري كه خاطرمون جمع باشه