Можна нескінченно дивитися на вогонь, воду та активність програм ізольованих у пісочниці. Завдяки віртуалізації ти одним кліком можеш відправити результати цієї діяльності – найчастіше небезпечною – у небуття.

Втім, віртуалізація застосовується і в дослідних цілях: наприклад, захотілося тобі проконтролювати вплив свіжоскомпільованої програми на систему або запустити дві різні версії програми одночасно. Або створити автономну програму, яка не залишатиме слідів у системі. Варіантів застосування пісочниці – безліч. Не програма диктує свої умови у системі, а ти їй вказуєш дорогу та розподіляєш ресурси.

Якщо тебе не влаштовує повільність процесу, ти можеш поставити віртуалізацію на потік за допомогою тулзи ThinApp Converter. Інсталятори будуть створюватися на основі вказаного конфіга.

Взагалі, розробники рекомендують робити всі зазначені препарації в стерильних умовах, на новій ОС, щоб всі аспекти установки були враховані. Для цього можна використовувати віртуальну машину, але, зрозуміло, це накладе свій відбиток на швидкість роботи. VMware ThinApp і без того неслабо вантажить системні ресурси, причому не тільки в режимі сканування. Однак, як кажуть, повільно, але вірно.

BufferZone

• Сайт: www.trustware.com
• Розробник: Trustware
• Ліцензія: freeware

BufferZone контролює інтернет- та програмну активність програм за допомогою віртуальної зони, впритул наближаючись до файрволів. Інакше кажучи, тут застосовується віртуалізація, регульована з допомогою правил. BufferZone легко спрацьовується у зв'язці з браузерами, месенджерами, поштовими та P2P-клієнтами.

На момент написання статті розробники попереджали про можливі проблеми при роботі з Windows 8. Програма здатна вбити систему, після чого її доведеться видаляти через безпечний режим. Виною тому драйвери BufferZone, які вступають у серйозний конфлікт з ОС.

Те, що під радар BufferZone, можна відстежити у головному розділі Summary. Число обмежених програм ти визначаєш сам: для цього призначено список Programs to run inside BufferZone. У нього вже включені потенційно небезпечні програми на кшталт браузерів та поштових клієнтів. Навколо вікна захопленої програми з'являється червона рамка, що надає впевненості при безпечному серфінгу. Хочеш запустити поза зоною – без проблем, контроль можна обійти через контекстне меню.

Крім віртуальної зони є таке поняття, як зона приватна. До неї можна додати сайти, на яких потрібно дотримуватись найсуворішої конфіденційності. Відразу слід зазначити, що функція працює лише в Internet Explorer ретро-версій. У сучасних браузерах є вбудовані кошти задля забезпечення анонімності.

У розділі Policy налаштовується політика щодо інсталяторів та оновлень, а також програм, запущених з пристроїв та мережевих джерел. У Configurations також дивись додаткові опції безпекової політики (Advanced Policy). Є шість рівнів контролю, залежно від чого змінюється ставлення BufferZone до програм: без захисту (1), автоматичний (2) та напівавтоматичний (3), повідомлення про запуск усіх (4) та непідписаних програм (5), максимальний захист (6) .

Як бачиш, цінність BufferZone полягає у тотальному інтернет-контролі. Якщо тобі потрібні гнучкіші правила, то будь-який файрвол тобі на допомогу. У BufferZone він також є, але більше для галочки: дозволяє блокувати програми, мережні адреси та порти. З практичної точки зору він малозручний для активного звернення до налаштувань.

Evalaze

• Сайт: www.evalaze.de/en/evalaze-oxid/
• Розробник: Dögel GmbH
• Ліцензія: freeware / commercial (2142 євро)

Головна фішка Evalaze полягає в гнучкості віртуалізованих програм: їх можна запускати зі змінних носіїв або з мережевого оточення. Програма дозволяє створювати повністю автономні дистрибутиви, що функціонують в емульованому середовищі файлової системи та реєстру.

Головна особливість Evalaze – це зручний майстер, який зрозумілий без читання мануалу. Спочатку ти робиш образ ОС до встановлення програми, потім інсталюєш її, виконуєш тестовий запуск, налаштовуєш. Далі, слідуючи майстру Evalaze, аналізуєш зміни. Дуже нагадує принцип роботи деінсталяторів (наприклад, Soft Organizer).

Віртуалізовані програми можуть працювати у двох режимах: у першому випадку операції запису перенаправляються в пісочницю, у другому програма зможе записувати та читати файли у реальній системі. Чи буде програма видаляти сліди своєї діяльності чи ні – вирішувати тобі, опція Delete Old Sandbox Automatic до твоїх послуг.

Багато цікавих фіч доступне тільки в комерційній версії Evalaze. Серед них – редагування елементів оточення (таких як файли та ключі реєстру), імпорт проектів, налаштування режиму читання. Однак ліцензія коштує понад дві тисячі євро, що, погодься, дещо перевищує психологічний ціновий бар'єр. За аналогічно непідйомною ціною пропонується використання онлайн-віртуалізації. Як розрада на сайті розробника є заготовлені віртуальні додатки-зразки.

Cameyo

• Сайт: www.cameyo.com
• Розробник: Cameyo
• Ліцензія: freeware

Побіжний огляд Cameyo наводить на думку, що функції аналогічні Evalaze і ти в три кліки можеш зліпити дистрибутив з віртуалізованим додатком. Пакувальник робить знімок системи, порівнює його зі змінами після встановлення софту та створює екосистему для запуску.

Найважливіша відмінність від Evalaze у тому, що програма повністю безкоштовна і блокує жодної опції. Налаштування зручно зосереджені: перемикання способу віртуалізації зі збереженням на диск або пам'ять, вибір режиму ізоляції: збереження документів у зазначені директорії, заборона запис або повний доступ. До того ж можеш налаштувати віртуальне середовище за допомогою редактора файлів та ключів реєстру. Кожна папка також має один із трьох рівнів ізоляції, який легко перевизначити.

Ти можеш вказати режим очищення пісочниці після виходу з автономної програми: видалення слідів, без очищення та запис змін реєстру до файлу. Доступна також інтеграція з провідником та можливість прив'язки до конкретних типів файлів у системі, чого немає навіть у платних аналогах Cameyo.

Однак найцікавіше - це не локальна частина Cameyo, а онлайн-пакувальник і публічні віртуальні програми. Достатньо вказати URL або закинути MSI або EXE-інсталятор на сервер, вказавши розрядність системи - і на виході отримуєш автономний пакет. З цього моменту він доступний під дахом твоєї хмари.

Резюме

Sandboxieбуде оптимальним вибором для експериментів у пісочниці. Програма найінформативніша серед перелічених інструментів, у ній доступна функція моніторингу. Широкий вибір налаштувань та непогані можливості управління групою додатків.

Не має якихось унікальних функцій, але дуже проста і безвідмовна. Цікавий факт: стаття писалася всередині цієї «пісочниці», і через прикру помилку всі зміни пішли в «тінь» (читай: астрал). Якби не Dropbox, на цій сторінці було б опубліковано зовсім інший текст - швидше за все, іншого автора.

Evalazeпропонує не комплексний підхід віртуалізації, а індивідуальний: ти контролюєш запуск конкретної програми, створивши при цьому штучні умови проживання. Тут є свої переваги та недоліки. Втім, з урахуванням урізаності безкоштовної версії Evalaze, і переваги померкнуть у твоїх очах.

Cameyoнесе в собі деякий «хмарний» присмак: програму можна завантажити з сайту, закинути на флешку або в Dropbox – це у багатьох випадках зручно. Щоправда, наводить на асоціації з фастфудом: за якість та відповідність змісту опису ручатися не доводиться.

А ось якщо ти волієш готувати за рецептом, VMware ThinApp- Твій варіант. Це рішення для експертів, яким важливим є кожен нюанс. Набір унікальних функцій доповнюється можливостями консолі. Ви можете конвертувати програми з командного рядка, використовуючи конфіги, сценарії - в індивідуальному та пакетному режимі.

BufferZoneє пісочницею з функцією файрвола. Цей гібрид далекий від досконалості та актуальності налаштувань, але для контролю інтернет-активності та програм, захисту від вірусів та інших загроз BufferZone використовувати можна.

Помилково вважати, що вбудований захист операційної системи, антивірус чи брандмауер повністю захистять від шкідливих програм. Втім, шкода може бути і не настільки явною, як у випадку з вірусами: кілька додатків здатні сповільнити роботу Windows, спричинити аномалії різного роду. Згодом наслідки неконтрольованих процесів із боку «самодіяльного» програмного забезпечення дають себе знати, і деінсталяція, видалення ключів реєстру та інші способи очищення не допомагають.

У таких ситуаціях чудову службу можуть зіграти програми-пісочниці, яким присвячено цей огляд. Принцип роботи пісочниць частково можна порівняти з віртуальними машинами (Oracle VM VirtualBox та ін., VMware Virtualization). Завдяки віртуалізації всі процеси, ініційовані програмою, виконуються в пісочниці - ізольованому середовищі з жорстким контролем системних ресурсів.

Даний спосіб ізоляції коду досить активно застосовується в антивірусному програмному забезпеченні (KIS 2013, avast!), в програмах, таких як Google Chrome (в пісочниці працює Flash). Не слід, однак, робити висновок, що програми-пісочниці є повною гарантією безпеки. Це лише один з ефективних додаткових засобів захисту ОС (файлової системи, реєстру) від зовнішніх впливів.

На сайті вже було опубліковано огляд програми для створення віртуального оточення - . Сьогодні будуть розглянуті інші додатки, у ширшому плані: це не тільки настільні рішення, а й хмарні сервіси, що покращують не тільки безпеку, а й анонімність, що дають змогу запуску зі знімного носія, з іншого комп'ютера.

Sandboxie

Розробник Ronen Tzur порівнює дію програми Sandboxie з невидимим шаром, нанесеним поверх паперу: на нього можна наносити будь-які написи; при знятті захисту лист залишиться недоторканим.

Можна виділити 4 основні способи застосування пісочниць у Sandboxie:

• Захищений інтернет-серфінг
• Поліпшення приватності
• Безпечне email-листування
• Збереження ОС у початковому стані

Останній пункт має на увазі, що в пісочниці можна встановлювати та запускати будь-які клієнтські програми - браузери, IM-месенджери, ігри - без впливу на систему. Sandboxie контролює доступ до файлів, дискових пристроїв, ключів реєстру, процесів, драйверів, портів та інших потенційно незахищених джерел.

Перш за все, SandboxIE корисна тим, що дозволяє користувачеві гнучко налаштовувати пісочниці та привілеї за допомогою оболонки Sandboxie Control. Тут, через контекстне та головне меню, доступні основні операції:

• Запуск та зупинка програм під контролем Sandboxie
• Перегляд файлів усередині пісочниці
• Відновлення потрібних файлів із пісочниці
• Видалення всіх результатів роботи або вибіркових файлів
• Створення, видалення та налаштування пісочниць

Для запуску програми в пісочниці достатньо перетягнути файл у вікно Sandboxie Control, у створену за замовчуванням пісочницю. Є й інші способи - наприклад, меню Провідника Windows або область повідомлень. Вікно програми, запущеної в емульованому середовищі, буде поміщено в жовту рамку, а в заголовку вказано ґрати (#).

Якщо під час роботи з ізольованою програмою потрібно зберегти результати на диск, вказується будь-яке бажане джерело - файли будуть поміщені в папку пісочниці, тоді як за вказаною адресою, за межами пісочниці, його не буде. Для «реального» перенесення файлів з пісочниці слід використовувати опцію відновлення. Є два їх види - швидке або негайне, в обох випадках перед запуском програми в пісочниці потрібно налаштувати папки для відновлення («Налаштування пісочниці - Відновлення»).

Докладніші параметри доступу наведено в розділах «Обмеження» та «Доступ до ресурсів». Вони можуть знадобитися в тому випадку, якщо програма не може працювати без певних привілеїв (потрібна певна системна бібліотека, драйвер або т.п.). В «Обмеженнях», стосовно програм або груп, налаштовується доступ до Інтернету, апаратних засобів, IPC-об'єктів, а також доступ низького рівня. У «Доступі до ресурсів» - відповідні налаштування для файлів, директорій, до реєстру та інших системних ресурсів.

Також у настройках Sandboxie знаходиться важливий розділ «Програми», де зібрані групи програм, для яких надано доступ до зазначених ресурсів. Спочатку всі елементи списку деактивовані, для застосування змін для конкретної програми потрібно відзначити його у списку та натиснути кнопку «Додати».

Таким чином, можна створювати пісочниці з різними параметрами. Дозволяється клонувати конфігурацію вже наявної пісочниці, для цього, при створенні нової, зі списку, що випадає, потрібно вибрати те середовище, з якого потрібно перенести налаштування.

Резюме

За допомогою Sandboxie можна створювати віртуальні середовища будь-яких конфігурацій, без обмежень для користувача. Sandboxie надає велику кількість налаштувань як для окремих програм, так і для пісочниць.

[+] Гнучке налаштування кожної пісочниці
[+] Створення правил для групи програм
[−] Не можна створювати дистрибутиви
[−] Відсутність майстра налаштування

Evalaze

Символічно, що Evalaze бере свій початок від програми Thinstall 2007, на даний момент компанії VMware.

Evalaze не така відома, як Sandboxie, серед програм для роботи з пісочницями, проте має низку цікавих особливостей, що виділяє її з ряду подібних рішень. Завдяки віртуалізації, програми можна запускати в автономному середовищі з будь-якого комп'ютера, незалежно від наявності драйверів, бібліотек, новіших версій програми, що запускається. При цьому не потрібне ні попереднє налаштування, ні додаткові файли конфігурації або бібліотеки або ключі реєстру.

Evalaze не вимагає встановлення, один нюанс: для роботи знадобиться Microsoft .NET Framework версії 2.0 або вище. У безкоштовній версії, так само як і в професійній редакції, доступний майстер налаштування віртуалізації та необмежену кількість віртуальних програм. Завантажити trial-версію з сайту розробників можна тільки на запит (email розробників див. на сайті).

Отримана конфігурація може бути збережена до проекту. Від початку і до кінця процес налаштування віртуального додатку займає більше часу, ніж, скажімо, у Sandboxie, проте він послідовніший і зрозуміліший.

Слід зазначити дві додаткові можливості Evalaze, які, ймовірно, зацікавлять розробників програмного забезпечення, тестувальників: це робота з віртуальною файловою системою та віртуальним реєстром. Дані автономні середовища Evalaze можна редагувати на власний розсуд, додаючи файли, директорії, ключі, необхідні для функціонування тієї чи іншої віртуальної програми.

Також в Evalaze можна налаштовувати асоціації з коробки: віртуальний додаток при запуску відразу створить необхідні асоціації з файлами в ОС.

Резюме

Програма, за допомогою якої можна створювати автономні програми, які зручно використовувати у різноманітних ситуаціях, що загалом полегшує міграцію, сумісність, безпеку. На жаль, безкоштовна версія практично марна, вона цікава тільки для дуже поверхового вивчення функцій Evalaze.

[−] Малофункціональна ознайомча версія
[−] Висока ціна Pro-версії
[+] Присутній майстер налаштування
[+] Віртуальна файлова система та реєстр

Enigma Virtual Box

Програма Enigma Virtual Box призначена для запуску програм в ізольованому віртуальному середовищі. Список підтримуваних форматів включає dll, ocx (бібліотеки), avi, mp3 (мультимедіа), txt, doc (документи) та ін.

Enigma Virtual Box моделює віртуальне середовище навколо програми в такий спосіб. Перед запуском програми спрацьовує завантажувач Virtual Box, який зчитує інформацію, яка необхідна для роботи програми: бібліотеки та інші компоненти - і надає програмі замість системних. В результаті програма працює автономно до ОС.

На конфігурацію пісочниць Sandboxie або Evalaze, як правило, йде хвилин 5. На перший погляд, у Virtual Box також не передбачається тривале налаштування. У документації використання програми вміщується практично одну пропозицію.

Всього 4 вкладки - "Файли", "Реєстр", "Контейнери" і, власне, "Опції". Потрібно вибрати файл, вказати розташування кінцевого результату і запустити обробку. Але згодом виявляється, що віртуальне середовище необхідно створювати самостійно. Для цього і призначені три розділи «Файли», «Реєстр» і «Контейнери», що йдуть поряд, де вручну додаються потрібні дані. Після чого можна натиснути обробку, запустити вихідний файл та перевірити працездатність програми.

Резюме

Таким чином, в Enigma Virtual Box немає аналізу ОС до встановлення програми та після, як у випадку з Evalaze. Акцент зміщений у бік розробки – тому, скоріше, Virtual Box корисний для тестування, перевірки сумісності, створення штучних умов для запуску програми. Віртуалізація невідомих програм викликає труднощі, оскільки користувач буде змушений самостійно вказувати всі зв'язки програми самостійно.

[−] Відсутність зручного налаштування
[+] Використовувані програмою ресурси можна визначити самостійно

Cameyo

Cameyo пропонує віртуалізацію додатків у трьох напрямках: бізнес, розробка персонального використання. В останньому випадку, пісочницю можна використовувати для збереження ОС у «чистому» стані, зберігання та запуску додатків на знімних носіях та в хмарних сервісах. Крім того, на порталі cameyo.com опубліковано кілька сотень вже налаштованих віртуальних програм, а це ще й економія часу користувача.

Етапи створення віртуального додатка схожі з Enigma Virtual Box: спочатку створюється знімок системи перед установкою, потім після неї. Зміни між цими станами враховуються під час створення пісочниці. Однак, на відміну від Virtual Box, Cameyo синхронізується з віддаленим сервером і публікує додаток у хмарному сховищі. Завдяки цьому, програми можна запускати на будь-якому комп'ютері з наданим доступом до облікового запису.

Через бібліотеку (Library) можна завантажити для наступного запуску найпопулярніші системні програми (Public Virtual Apps): архіватори, браузери, програвачі і навіть антивіруси. При запуску пропонується вибрати файл і вказати, стабільно він працює чи ні (що, мабуть, якось враховується модераторами галереї Cameyo).

Ще одна цікава можливість – створення віртуального додатку через . Інсталятор можна завантажити з комп'ютера або вказати URL файлу.

Процес конвертації, за заявами, займає від 10 до 20 хвилин, але часто час очікування менший у кілька разів. Після закінчення, на email надходить повідомлення із посиланням на опублікований пакет.

Email-повідомлення про створення дистрибутива

При всіх хмарних зручностях потрібно відзначити два важливі моменти. Перший: кожна програма час від часу оновлюється, а в бібліотеці є досить застарілі екземпляри. Другий аспект: додатки, додані користувачами, можуть суперечити ліцензії окремо взятої програми. Необхідно це розуміти і враховувати при створенні дистрибутивів користувача. І третє - ніхто не дасть гарантії, що віртуальний додаток, викладений у галерею, не модифікований зловмисником.

Втім, говорячи про безпеку, у Cameyo є 4 режими роботи програми:

• Data mode: програма може зберігати файли в папці Документи та на Робочому столі
• Isolated: можливість запису у файловій системі та реєстрі відсутня
• Full access: вільний доступ до файлової системи та реєстру
• Customize this app: модифікація меню для запуску, вибір місця зберігання програми та ін.

Резюме

Зручний хмарний сервіс, до якого можна підключитися на будь-якому комп'ютері, що дозволяє швидко створювати портативні програми. Налаштування пісочниць зведено до мінімуму, не все прозоро з перевіркою на віруси та безпекою в цілому – проте в даній ситуації переваги здатні компенсувати недоліки.

[+] Мережева синхронізація
[+] Доступ до програм користувача
[+] Створення віртуальних програм онлайн
[−] Відсутність налаштування пісочниць

Spoon.net

Spoon Tools – це комплекс інструментів для створення віртуальних програм. Крім професійного середовища, spoon.net заслуговує на увагу як хмарний сервіс, який інтегрується з Робочим столом, дозволяючи швидко створювати пісочниці.

Для інтеграції з Робочим столом необхідно зареєструватися на сервері spoon.net та встановити спеціальний віджет. Після реєстрації користувач отримує можливість завантажувати з сервера віртуальні програми через зручну оболонку.

Чотири можливості, що надаються віджетом:

• Створення пісочниць для файлів та програм
• Наведення порядку на Робочому столі за допомогою ярликів, меню швидкого запуску
• Безпечне тестування нових додатків, запуск застарілих версій поверх нових
• Скасування змін, зроблених пісочницею

Швидкий доступ до віджету spoon.net можливий за допомогою клавіш Alt + Win. Оболонка включає рядок пошуку, за сумісництвом - консоль. В ній проводиться пошук програм на комп'ютері та на веб-сервісі.

Дуже зручна організація робочого столу: на віртуальний Робочий стіл можна перетягнути потрібні файли, які синхронізуватимуться зі spool.net. Нові пісочниці можна створювати буквально двома кліками.

Безумовно, щодо налаштування пісочниць Spoon не може скласти конкуренцію Sandboxie або Evalaze з тієї причини, що в Spoon вони просто відсутні. Не можна встановлювати обмеження, конвертувати «звичайний» додаток у віртуальний. Для цього призначений комплекс Spoon Studio.

Резюме

Spoon - «найхмарніша» оболонка для роботи з віртуальними додатками і, водночас, найменш піддається налаштуванню. Цей продукт припаде до смаку користувачам, яким важлива не так безпека роботи за допомогою віртуалізації, як зручність роботи з необхідними програмами повсюдно.

[+] Інтеграція віджету з Робочим столом
[+] Швидке створення пісочниць
[−] Відсутність налаштувань щодо обмеження віртуальних програм

Зведена таблиця

Lifetime licenses є пов'язана з home users! Одна комментарія ліворуч для reference.

Як of October 9th 2013, the developer has changed Sandboxieз purchase to a subscription model. Ви повинні заплатити за певний fee of currently €15 yearly. Регулярна registration (perpetual/lifetime license) не є тривалимзабезпеченим для продажу.

Я підтримую reasoning behind it – continued work on the project needs to be supported somehow – but I personally think a subscription model is the worst way to go about this, and significantly lowers the value of the product for paying customers. Чи не зміниться, якщо люди збираються вдосконалюватися на нові нові версії? Будь-який спосіб, показує "update subscription", що йде на € 15 року, тому люди мають вибір. Але remotely disabling a software що customer має на одному пункті плати для is just wrong and disrespectful. Customer"s continued use of old version that"s no longer updated costs the developer nothing.

Вона має дуже спокійний рух до мене, потенційно inspired по Adobe, який має gotten well-deserved і масивний потік criticism для того, щоб зробити себе на свій власний продукт range (якщо я можу хотіти, щоб запобігти їхній downfall af some an industry leader).

Я повинен вважати, що, що безкоштовна версія Sandboxie є дуже поширеною в його функціональності. Якщо платити license expires, він не буде break completely, але revert to unlicensed версії, витримуючи деякі величезні особливості і розгортання шрифтів, але remaining функціональний. Це загальний розробник, і на рівні цінності підпису є надійним. Залишається, що новий підпис моделі макетів він є hard for me для unconditionally recommend the application to friends.

reply

I noticed that too, on my last visit to the site. Це seems like they can't decide what they want, changing licensing models як fashion trends.

On one hand I'm glad that I got my lifetime license while I could, but on thetherhand, using a software that is now only sold as subscription service leaves a very bad aftertaste. I generally don't want to support, in будь-який спосіб, розробники, які використовують такі underhanded tactics.

Maybe їх next change of mind is not far away. I would assume that the time time they decided to offer real licenses again, it was also based on customer complaints.