分类
沙盘是一种
安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和
注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统
关键部位进行改动破坏系统。另外沙盘一般都有部分或完整的类似
HIPS的
程序控制功能,程序的一些高危活动会被禁止,如安装驱动,底层磁盘操作等。沙盘主要有两大类,一是采用
虚拟技术的传统沙盘,另一个就是采用策略限制的沙盘(策略限制沙盘更类似于HIPS,不创建
虚拟环境,可对
高危行为限制,并且可回滚。)
沙盘类型:
2、geswall(策略限制型)
3、bufferzone(虚拟型)
4、sandboxie(虚拟型)
Sandboxie(直译“沙盘”)允许你在“沙盘环境”中运行浏览器或其他程序,这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。因此,在沙盘中运行的程序所产生的变化可以随时删除。可用来保护浏览网页时
真实系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来
测试软件,测试病毒等用途。即使在沙盘进程中下载的文件,也可以随着沙盘的清空而删除。
如果大家对“影子”/“沙盘”这2个概念还不清楚的话,这里引用官方的一段话:电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
如果还需要再解释一下的话,Sandboxie就是相当于在你要运行的程序与系统之间建立一个隔离层,当我们运行程序的时候,就会将程序直接调入该隔层中,此后,程序对系统所做的修改,都会被映射到这个隔离层中,而不会真正地去触及系统。这样的话,就算电脑感染了病毒和木马,也不会对系统造成真正的伤害。
是不是跟影子系统很像?呵呵,
王军恒老师认为其实它们之间还有一个很大的区别,就是影子系统是对整个系统进行保护,而 Sandboxie是对电脑的局部进行保护。Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”,而其他一切则正常运行。因此,对普通用户来说,Sandboxie的局部保护功能可能会更加方便。而且,用户还可以设置让Sandboxie像影子系统一样对整个系统进行保护的哦。
功能
上网无忧,在沙盘中运行浏览器
我们打开SandBoxie后,在右下角的图标中右键选择“运行沙盘→
IE浏览器”,这时候会自动弹出
标题栏中有两个“[#]”符号的IE浏览器,这就说明IE已经处于保护状态。去掉保护之后,
历史记录连同IE之间安装过的
流氓插件、下载的文件都会随之消失。
提醒:Sandboxie本身只能对第一个IE浏览器进程进行保护,不过用桌面上 Sandboxie的保护IE的
快捷方式来上网,无论打开多少个IE浏览器,都在保护状态下。
测试安装危险程序
木马和
病毒总是比
杀毒软件抢先一步。所以我们在
安装程序的时候,即使杀毒软件没有报毒,也存在一定的风险。但使用Sandboxie后,就会将风险降低为零了。
选要安装或解压的不明程序,按鼠标右键,选择“用沙盘运行”(图3),就会以保护的形式来安装或解压该程序。同样,在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。笔者在安装一个捆绑木马的程序时做了保护措施。恢复系统之后,发现在这期间安装的程序包括木马都消失了,相当的安全。
Sandboxie还提供整个电脑的保护,在 Sandboxie中选择“功能”菜单,然后“选择运行沙盘→Windows
资源管理器”,就会自动弹出有两个“[#]”符号的“我的电脑”窗口。之后对整个电脑进行任意操作,包括格式化分区、
删除文件、拷贝文件等都很安全。恢复的方法很简单。在Sandboxie主界面选择“配置 →沙盘设置→设置自动清理选项”,将
隔离层中的内容清除即可。
另外,在最新的Sandboxie3.40版本中,它提供了
多用户管理功能和多种独立保护方案。
评价
安全的Web浏览:在Sandboxie的保护下运行您的
Web浏览器,意味着浏览器下载的所有的
恶意软件被困在沙箱中,并可以轻松丢弃。
增强隐私:Web浏览时产生的浏览历史记录、
cookies和
临时文件缓存,可以留在沙盒中,而不泄漏进入Windows。
安全
电子邮件:隐藏在电子邮件中的病毒和其他恶意软件不能打破沙箱,无法感染你真实的系统。
保持系统干净:可以把软件安装在沙盘中,避免对系统的磨损。