Igranje s programi - v peskovnikih
Uporabniki osebnih računalnikov velikokrat naletijo na programe, za katere niso prepričani, da so v resnici to, za kar se izdajajo. Najprevidnejši se takim programom na daleč izognejo. Pogumnejši jih preverijo s protivirusnim programom in jih poženejo, če protivirusnik ne pordeči. Ne tako redki so uporabniki, ki neznane programe poganjajo tudi, če nimajo protivirusnika. Napredni uporabniki pa imajo na voljo še tretjo možnost: program lahko poženejo v posebnem izoliranem uporabniškem okolju, ki ga imenujemo peskovnik (sandbox).
Preprosto povedano, peskovnik je program, ki v računalniku zgradi eno ali več izoliranih okolij. Nič, kar počnemo znotraj tega okolja, nima nobenega vpliva na dogajanje zunaj peskovnika. Torej program, ki teče v peskovniku, ne more pisati na disk, razen na del, ki je dodeljen peskovniku. Seveda pa (lahko) ima bralni dostop do celotnega diska. Enako velja za register - programi, ki tečejo v peskovniku, lahko pišejo samo v posebni del registra, ki ga upravlja peskovnik. Tudi medsebojno sodelovanje procesov je podvrženo podobnim pravilom - proces, ki se izvaja v peskovniku, lahko spočne (ali pa ubije) samo proces, ki je zaprt v peskovnik. Ko posameznega peskovnika iz kakršnegakoli razloga ne potrebujemo več, ga zbrišemo in si omislimo novega.
Peskovniki so zelo primerni za uporabnike, ki ne morejo, ne da bi brskali po spletnih straneh, za katere je sicer zelo priporočljivo, da se jim izogibamo. Posledica takega brskanja je, da se nam na disku znajdejo razni nebodijihtreba - omenimo le vohunske in reklamne programe. Poleg tega ugotovimo, da je na lepem zamenjana začetna stran brskalnika, prikazujejo se nam strani z nezaželeno vsebino, spremenjen je privzeti iskalnik, da ne govorimo o kupu neškodljivih piškotkov. Za povrh se sistem na vse kriplje upira našim poskusom vračanja stvari v začetno, nekaotično stanje. V peskovniku s takimi nadlogami opravimo v nekaj sekundah. Zbrišemo peskovnik in poženemo novega, naše težave pa čudežno izginejo, vsaj začasno.
Peskovniki niso omejeni zgolj na poganjanje programov, ki smo jih normalno namestili v računalnik. Znotraj peskovnika lahko poženemo namestitveni program novega programa in če ne gre za program s posebnimi zahtevami (recimo, nizkonivojski dostop do diska, kot je primer pri protivirusnih programih), je velika možnost, da bo program normalno deloval. Seveda z omejitvami, ki so enake, kot če v peskovniku poganjamo program, nameščen zunaj peskovnika.
Seveda je vse to, kar smo povedali, zaenkrat le teoretično razglabljanje. Kako pa se peskovniki obnesejo v praksi? Odgovor je pričakovan: različno. Nekateri so vrhunski izdelki in dejansko omogočajo vse, kar obljubljajo. Drugi spet "zamočijo" na vsej črti in ne ponujajo omembe vredne obrambne črte, ki bi zlonamernim programom onemogočala njihovo nenadzorovano početje v našem računalniku. Da bi ločili zrnje od plev, smo preizkusili peskovnike, ki so na voljo za domačega uporabnika v okolju Windows.
Zlati Monitor
Pri tokratnem preizkušanju smo brez večjih težav ugotovili, kateri peskovniki so primerni za domačo rabo. Odlikovala sta se predvsem BufferZone Pro in Sandboxie, četudi Virtual Sandbox ni od muh. Prvi je navdušil z množico možnosti, za katere so poskrbeli domiselni programerji, manj pa mu gre v čast pomanjkljiva obramba registra. Sandboxie je prepričljiv v svojem delovanju, njegova največja odlika po našem mnenju pa je velikost namestitvene datoteke. V časih, ko namestitve programov zavzemajo tipično več deset megabajtov, ne tako redko pa več sto megabajtov, je program, ki se namesti iz dobrih 300 kilobajtov "težke" datoteke, pravi dragulj. K temu še pripomore to, da je delo enega samega programerja in da je za večino uporabnikov dovolj dobra brezplačna različica. Ne nazadnje je pri delu zelo zanesljiv. Zato zlati Monitor med peskovniki podeljujemo programu Sandboxie.
Hevristika ali peskovnik
Nekoliko drugačne peskovnike najdemo v nekaterih protivirusnih programih, ki zraven zbirke virusnih podpisov uporabljajo "hevristično" pregledovanje. V osnovi je hevristično pregledovanje drugi izraz za omejeno poganjanje izvršnih datotek v peskovniku in preverjanje posledic njihovega delovanja. Tehnologija hevrističnega pregledovanja ima pri vsakem izdelovalcu protivirusnih programov drugo ime. Norveško podjetje Norman pa je svojo različico te tehnologije poimenovalo kar Sandbox.
Kako smo preizkušali?
Preizkusili smo šest peskovnikov. Na voljo je kar nekaj brezplačnih rešitev, Altiris SVS, GeSWall Free in Virtual Sandbox v.1. Podrobneje smo se spoznali le s prvim, pri drugih dveh pa smo se raje odločili za zmogljivejša (a žal ne brezplačna) sorodnika, GeSWall Professional in Virtual Sandbox v.2. Preostali komercialni peskovniki za rabo doma so BufferZone Pro, Sandboxie in ShadowSurfer. Resnici na ljubo bo lahko Sandboxie večina navdušencev uporabljala tudi brez registracije, torej brezplačno, pri drugih plačljivih programih pa to ni mogoče.
Vse peskovnike smo temeljito preizkusili. Najprej smo preverili, ali delujejo v operacijskem sistemu Windows Vista, ki je med nami že vse leto. Ugotovili smo, da le GeSWall in Sandboxie podpirata Visto. Zato smo preizkus opravili v okolju Windows XP. Vsak peskovnik smo namestili na sveže nameščen operacijski sistem Windows XP z vključenim drugim kompletom popravkov (SP2). S plošče CD-ROM smo na disk prekopirali mapo z nekaj virusi in trojanci, ki so se na našem disku nabrali po daljši rabi programa eMule. Prepoznali smo jih z brezplačnim spletnim pregledovalnikom BitDefender (Monitor, oktober 2007). Na našo željo smo vzorčno zbirko primerkov zlonamerne kode prejeli od podjetja Webroot, ki med drugim izdaja protivohunski program Spy Sweeper. Uporabili smo tudi javno dosegljivo različico korenskega kompleta HackerDefender, ki je eden preprostejših programov svoje vrste. Z omenjeno spletno različico BitDefenderja smo prečesali disk, nato pa smo po vrsti zagnali virusne programe, trojance in korenski komplet. Spet smo uporabili BitDefender in preverili, ali so na novo okužene datoteke znotraj peskovnika. Preverili smo, ali korenski komplet deluje v skladu z našimi nastavitvami, oziroma tako, kot si je zamislil avtor. Nato smo zaustavili peskovnik in izbrisali njegovo vsebino. Še zadnjič smo vpregli BitDefenderja in pri tem iskali morebitne vsiljivce, ki bi pobegnili iz peskovnika.
Povejmo še, da smo zlonamerneže pri delu podrobno opazovali s programom Process Monitor, ki sta ga napisala Mark Russinovich in Bryce Cogswell iz nekdanjega podjetja Systernals, zdaj zaposlena v Microsoftu. Process Monitor za vsak proces, ki teče v računalniku, do potankosti popiše vse njegove dejavnosti v datotečnem sistemu (odpiranje, zapiranje, branje, pisanje datotek), v okenskem registru (branje ključev in pisanje po registru) ter sodelovanje z drugimi procesi (njihovo spočenjanje in zapiranje). Omenimo le, da lahko Process Monitor v nekaj sekundah zapiše po deset tisoč in več dogodkov. Iz navidez nerešljive nepreglednosti nas reši z odličnim filtriranjem dogodkov glede na množico kriterijev. Nas je pri poganjanju zlonamerne kode v peskovniku zanimalo predvsem dogajanje v datotečnem sistemu (morebitni pobegi iz peskovnika).
Altiris SVS
Podjetje Altiris je že pred časom pristavilo svoj lonček k vse večji priljubljenosti orodij za virtualizacijo. Predstavilo je program Software Virtualization Solution (SVS), ki je za razliko programov, kot sta VMWare Workstation ali Microsoftov VirtualPC, izvajal virtualizacijo na način, kot delujejo peskovniki. SVS je postal zelo priljubljen, odkar je Altiris omogočil brezplačno rabo programa za domače uporabnike.
Namestitveno datoteko si pretočimo iz spleta, od koder dobimo tudi brezplačen licenčni ključ. Po končani namestitvi moramo računalnik spet zagnati, zatem pa peskovnik uporabljamo prek nadzornega okna (SVS Admin). V Altirisovem jeziku se peskovnik imenuje plast (layer) in pred prvo uporabo nam SVS Admin pomaga ustvariti novo plast. Vsak peskovnik je posebna plast, uporabljamo pa lahko več plasti hkrati. V plasti lahko namestimo nove programe ali pa plast uporabljamo zgolj kot shrambo za datoteke.
Nameščena plast je lahko aktivna ali neaktivna. Šele ko plast aktiviramo, lahko uporabljamo programe, ki so nameščeni znotraj posamezne plasti. Ob namestitvi lahko dodatno izberemo skrbniško orodje za izdelovanje navideznih paketov programske opreme (virtual software packages). Altiris na svoji spletni strani juice.altiris.com brezplačno ponuja okrog 40 že zapakiranih virtualnih programov, ki jih lahko neposredno zaženemo iz nadzornega okna. Gre seveda za programe, ki so tudi v normalni (nevirtualizirani) obliki brezplačni, večinoma tudi odprtokodni. Z omenjenim skrbniškim orodjem lahko sami izdelujemo zapakirane programe in jih dajemo v uporabo drugim.
Slaba stran Altirisove rešitve je, da moramo pred nameščanjem novih plasti deaktivirati vse plasti, ki so že na disku. Posamezne plasti zasedejo precej prostora.
Na našem preizkusu se SVS ni preveč dobro odrezal. Pokleknil je pri napadu s trojanci, ki jim je tako uspelo pretihotapiti v sistemsko mapo Windows lepo število okuženih datotek. Tudi korenskemu kompletu se ni znal popolnoma ubraniti. Greh je manjši, če upoštevamo, da je glavni namen SVS ločeno izvajanje znanih programov.
Altiris SVS
Kaj: Peskovnik.
Izdeluje in prodaja: Trustware, www.trustware.com.
Cena: 30 evrov.
Za: Cena. Brezplačni za rabo pripravljeni paketi. Možnost poganjanja več peskovnikov hkrati.
Proti: Nezanesljiv pri obrambi.
BufferZone Pro
Programska oprema iz Izraela se ne znajde prav pogosto na secirni mizi Monitorjevega laboratorija. Tamkajšnje podjetje TrustWare izdeluje peskovnik BufferZone Pro. Po nakupu si namestitveno datoteko pretočimo na disk, pripravljen pa moramo imeti tudi namestitveni ključ. Namestitev ne ponuja nobenih možnosti, na koncu pa moramo spet zagnati računalnik. Pričaka nas animacija flash s kratkimi navodili za delo s peskovnikom.
Kot lahko sklepamo iz imena programa, se TrustWareov peskovnik imenuje vmesno območje oziroma Buffer Zone. Peskovnik prepozna nekatere programe, pri delu s katerimi utegnemo zaiti v težave (npr. brskalniki, odjemalci P2P in ICQ), in njihove ikone obrobi z rdečo barvo. Takoj po zagonu tak program deluje v zaprtem območju peskovnika. Če nam to ni všeč, ga lahko z izbiro s priročnega menuja premaknemo iz peskovnika. Priročni menu uporabljamo tudi za premikanje programov (izvršnih datotek) v peskovnik in za njihovo enkratno odpiranje v peskovniku. Pri vsaki uporabi programa na zaprtem območju je njegovo okno obrobljeno z rdečo črto za lažje prepoznavanje.
Z nastavitvami se lahko podrobneje igramo, ko kliknemo ikono v sistemski vrstici. Ena zanimivejših in uporabnejših možnosti je nadzor novih izvršnih datotek in skriptov. Vse take datoteke, ki se na disku znajdejo po vklopu te možnosti, se vselej zaženejo v peskovniku. S tem se izognemo možnosti, da bi zaradi pozabljivosti zagnali sumljivo datoteko zunaj peskovnika.
To, da so izraelski programerji mojstri za podrobnosti, dokazuje možnost samodejne uporabe zunanjih pomnilniških naprav (optični nosilci, pomnilniški ključki) v peskovniku. Pa tudi to še ni vse - na voljo je požarni zid, s katerim lahko za vsak, izolirani ali "svobodni" program določimo, katera vrata sme uporabljati in katerih ne. Poslastica so napredne nastavitve, pri katerih so programerji skoraj že pretiravali. Samo za pokušino: če se sami ukvarjamo s programiranjem, lahko izberemo prevajalnik (enega ali več), katerega izdelkom bo BufferZone zaupal. In tako naprej ...
Seveda nas vsaj toliko kot seznam vseh teh dobrot zanima, kako se je BufferZone izkazal na preizkusu. Lahko rečemo, da ni razočaral - ubranil se je vseh virusov in trojancev. Tudi HackerDefender mu ni mogel do živega. Edina resna pomanjkljivost je bila ta, da je peskovnik očitno mirno dopustil trajne vnose v register. Ko smo računalnik znova zagnali, so se zlonamerni procesi spet zagnali. Četudi zaradi ujetosti v peskovnik niso mogli povzročiti škode v datotečnem sistemu, pa so po nepotrebnem odžirali dragocena sredstva in upočasnili računalnik.
BufferZone Pro
Kaj: Peskovnik.
Izdeluje in prodaja: Trustware, www.trustware.com.
Cena: 30 evrov.
Za: Zelo dognan program. Obširne nastavitve.
Proti: Nezmožnost dela z več peskovniki. Pomanjkljiva obramba registra.
GeSWall Pro
GentleSecurity je še eno podjetje, ki izdeluje programe za računalniško varnost, sedež pa ima v Luksemburgu. Na svoji spletni strani s pogosto zastavljenimi vprašanji trdijo, da njihov program GeSWall ni peskovnik, temveč sistem za preprečevanje vdorov v računalnik. Če se opremo na definicijo peskovnika, kot smo jo podali zgoraj, to nedvoumno drži, saj GeSWall ne ustvari posebnega izoliranega območja na disku, ki bi ga kadarkoli po želji zbrisali. Program po besedah avtorjev izolira programe, ki bi lahko rabili kot vstopna točka za katerega izmed zlonamernih programov. Zato smo GeSWall Pro kljub dvomom uvrstili v naš pregled in ga preizkusili.
Namestitvena datoteka ima slabih 7 MB, prav pa nam bo prišel tudi uporabniški priročnik, ki ga moramo posebej pretočiti na disk. Po končani namestitvi moramo računalnik znova zagnati. Pred nami se prikaže nadzorno okno GeSWall z vmesnikom v obliki Microsoftove konzole za upravljanje (MMC), ki ga domači uporabniki poznajo predvsem iz programa Upravljanje računalnika.
Izvršne datoteke dobijo dve novi vrstici na priročnem menuju: "Run isolated" in "Application Wizard". O prvi pove vse že ime, z drugo pa zaženemo čarovnik, ki ustvari pravila za dostop do deljenih sredstev.
Po trditvah izdelovalca GeSWall omogoča varno deskanje po spletu, klepetanje in izmenjavo datotek v spletnih klepetalnicah, odpiranje priponk in izmenjevanje datotek v omrežjih P2P in še kaj. To doseže z osamitvijo programov, ki opravljajo te potencialno nevarne dejavnosti. Osamitev pa je izpeljana drugače kot pri običajnih peskovnikih. Namesto omejenega območja na disku in v registru GeSWall osami programe z doslednim omejevanjem dostopa (access restriction policy) do deljenih računalniških sredstev, kot so datoteke, register in omrežje.
Osamitev poljubnega programa lahko prepustimo čarovniku. Za veliko programov iz raznih skupin (brskalniki, odjemalci e-pošte in P2P, pisarniški programi) je to opravljeno že vnaprej. Če zaupamo programerjem, lahko uporabimo privzete nastavitve. Napredni uporabnik, ki hoče do popolnosti nadzorovati dogajanje, se bo spopadel z nadzorno konzolo in sam ustvaril vse nastavitve. To je precej zapleteno opravilo in zahteva veliko časa, znanja in klikanja. Delo z običajnim peskovnikom je precej enostavnejše - o tem, kaj počne morebitni zlonamerni program, nam ni treba nič vedeti.
Pri preizkušanju se je GeSWall obnesel solidno, a je dopustil okužbo z dvema trojancema, ki sta se naselila v mapo Windows. Ob poskusu namestitve korenskega kompleta je program sicer opozoril na sumljivo dejavnost, a je ni preprečil. Za "brezskrbno" pogajanje neznanih programov je vsekakor boljša možnost kateri od pravih peskovnikov.
Na koncu omenimo še, da GentleSecurity ponuja tudi brezplačno različico programa, ki za razliko od plačljive različice ne premore privzetih nastavitev in še nekaj malenkosti.
GeSWall 2.7.1
Kaj: Program za preprečevanje izvajanja zlonamernih programov.
Izdeluje in prodaja: Gentle Security, www.gentlesecurity.com.
Cena: 30 evrov.
Za: Zmore do potankosti nadzorovati dostop do sredstev.
Proti: Ne ustvari izoliranega območja na disku. Sorazmerno zapleten za uporabo. Nezanesljiv.
Sandboxie
Peskovnik Sandboxie je delo enega samega programerja, Ronena Tzura. Lahko bi rekli, da je namestitvena datoteka, ki jo prenesemo s spletišča www.sandboxie.com, temu primerno majhna. Na disku zasede borih 330 kB, kar zveni skoraj neverjetno. Seveda je tudi namestitev kratka in peskovnik lahko uporabljamo takoj, ne da morali računalnik znova zagnati. Program lahko uporabljamo brezplačno, neregistrirana različica pa ima nekaj nebistvenih omejitev, na primer omogoča poganjanje le enega peskovnika naenkrat. V registrirani različici lahko za poljuben program nastavimo, da nas opozori vselej, ko se začne ta izvajati zunaj peskovnika. Poleg tega lahko za katerikoli program nastavimo, da se vselej izvaja v peskovniku (če seveda v peskovniku pravilno deluje). Večina uporabnikov bo torej brez težav shajala z brezplačno različico.
Ko program prvič zaženemo, nam ponudi kratek izlet po svojih možnostih. V sistemsko vrstico se naseli ikona, prek katere imamo dostop do nadzornega središča Sandboxie. To je preprosto okno, v katerem je na začetku le ena ikona za vsak peskovnik. V nadzornem oknu vidimo vse procese, ki se izvajajo v peskovniku, drugi pogled pa nam prikaže datotečno in registrsko strukturo peskovnika.
Vsebino peskovnika lahko kadarkoli izbrišemo v dveh potezah. Po želji lahko poljubne datoteke iz peskovnika preselimo v "resnično" okolje računalnika, če jih hočemo ohraniti. Seveda lahko to naredimo tudi ročno, saj Sandboxie vsebine peskovnika ne skrije pred drugimi okenskimi programi. To je morda ena od pomanjkljivosti programa.
Sandboxie se vgradi tudi na priročni menu. Pri izvršnih datotekah (.exe) se v Raziskovalcu prikaže možnost "run sandboxed", torej možnost poganjanja v privzetem peskovniku.
Na menuju nadzornega središča je seveda poglavitna možnost poganjanje programov v peskovniku. Poženemo lahko privzeti brskalnik, privzeti bralnik elektronske pošte in Raziskovalec, seveda pa lahko poženemo tudi (skoraj) katerikoli okenski program. Menu omogoča zelo podrobno nastavljanje možnosti peskovnikov in skoraj neverjetno je, da lahko vse to počnemo s programom, katerega namestitvena datoteka je tako majhna.
Pri našem preizkusu se je Sandboxie obnesel zelo dobro. Pri poganjanju trojancev in druge zalege ni pustil za seboj nobenih sledi. Ko smo znotraj peskovnika zagnali korenski komplet HackerDefender (HDef), je korenski komplet navidez "korektno" opravil svoje delo, a se je izkazalo, da to ne drži. HDef ni uspelo zagnati storitve, ki je bistvena za prikrivanje procesov in datotek. Še več, ko smo iz radovednosti pognali HDef kar zunaj peskovnika, je HDef sicer deloval po pričakovanjih, a le zunaj peskovnika. Znotraj peskovnika smo z okenskim Raziskovalcem videli vse datoteke, ki jih je Hdef zunaj peskovnika uspešno prikril.
Ko smo računalnik s številnimi okuženimi datotekami spet zagnali, se ni samodejno zagnal nobeden od zlonamernih procesov - niti v peskovniku, kaj šele zunaj njega. To pomeni, da Sandboxie uspešno ščiti okenski register pred trajnimi vnosi. S tako neprebojnostjo se lahko pohvalijo le redki med preostalimi peskovniki na testu.
Sandboxie 3.22
Kaj: Peskovnik.
Izdeluje in prodaja: Ronen Tzur, www.sandboxie.com.
Cena: 30 dolarjev.
Za: Brezplačna različica, majhna namestitvena datoteka, sprotna pomoč.
Proti: Vsebine peskovnika ne skrije pred normalno delujočimi programi.
ShadowUser
ShadowUser je program, ki ga trži podjetje Storage Craft iz ameriške zvezne države Utah. Namestitev je brez posebnosti in spremlja jo vnovični zagon računalnika. Program namesti ikono v sistemsko vrstico. Prvo srečanje z nadzorno ploščo prinaša tudi že prvo presenečenje. Peskovnik, ki ga tu imenujejo Shadow mode, ni aktiven. Za aktivacijo je potreben še en vnovični zagon, kar se nam zdi nepotrebna nerodnost.
ShadowUser je med vsemi peskovniki posebnež, saj si privzeto za peskovnik prilasti kar ves računalnik (oziroma disk). Način delovanja peskovnika je zelo podoben delovanju računalnikov v samopostrežnih terminalih oziroma kioskih. Karkoli že počnemo z računalnikom (seveda v okviru danih omejitev), po zagonu bo računalnik vselej v enakem začetnem stanju.
Kakorkoli, po aktivaciji in po drugem vnovičnem zagonu smo odkrili, da je program zamenjal ozadje na namizju. Drobno pobalinstvo smo mu bili pripravljeni oprostiti, nato pa smo odkrili, da sta zaščitena oba razdelka na našem računalniku. Sami smo želeli zaščititi le sistemski (C:) razdelek. Da bi uveljavili to nastavitev, je bilo treba deaktivirati program, spet zagnati računalnik, spremeniti nastavitev, aktivirati program in še zadnjič znova zagnati računalnik. Le profesionalna etika ocenjevalca programske opreme (in kanček radovednosti) je zaslužna, da smo še vztrajali in preizkušali naprej. Verjetno se na tej točki precejšen del potencialnih uporabnikov odloči, da program odstrani. Nas pa je zanimalo, ali je to edini razlog za odsvetovanje nakupa.
Pobliže smo si torej ogledali možnosti nastavitev in obžalovali, da niso bolje pojasnjene. Zaradi svojega načina delovanja je ShadowUser zelo uspešen pri zaščiti računalnika, vendar za svoje delo porabi precej prostora na disku. Omenimo le, da je vse do vnovičnega zagona in s tem povezane povrnitve v začetno stanje računalnik popolnoma izpostavljen zlonamernim programom. To utegne biti nerodno pri trojancih, ki omogočajo vstop v računalnik na daljavo, saj je mogoča preusmeritev naših podatkov na nezaželene lokacije.
ShadowUser Pro 2.5
Kaj: Peskovnik.
Izdeluje in prodaja: StorageCraft, www.storagecraft.com.
Cena: 70 dolarjev.
Za: Učinkovitost. Primeren za kioske.
Proti: Večkratno vnovično zaganjanje za uveljavitev sprememb. Peskovnik ni omejen na eno mapo. Visoka cena.
Virtual Sandbox
Virtual Sandbox je izdelek programerskega podjetja FortresGrand iz ameriške zvezne države Indiana. Na žalost nam niti v več poskusih ni uspelo, da bi se z njimi dogovorili za preizkus polne različice programa. Zato smo z njihovega spletišča sneli demonstracijsko različico, ki naj bi omogočala polno zaščito za obdobje 30 dni.
Po namestitvi program preišče namizje, menu Start, register in seznam omogočenih storitev. Iz najdenega ustvari zbirko podatkov o dovoljenih programih, vse druge programe pa obravnava kot neznane. Vnovični zagon računalnika ni potreben in računalnik je zaščiten. Zagon vsakega programa, ki ga ni na seznamu, lahko preprečimo ali preusmerimo v peskovnik. V začetnem obdobju uporabe Virtual Sandbox je najbolj smiselno, da nas program ob vsakem zagonu neznanega programa vpraša, kaj naj naredi.
Za spreminjanje nastavitev je na voljo ikona v sistemski vrstici. Odpre se nadzorno okno, ki poleg tega omogoča še pregledovanje vsebine peskovnika. Prikazane so ustrezne datoteke, ključi registra in vsi procesi, ki se izvajajo v peskovniku. Precej neroden je priročni menu, ki ob desnem kliku miške po posameznem procesu nasilno konča vse procese v peskovniku.
Za katerikoli program s seznama lahko znova določimo, ali naj teče v peskovniku ali zunaj njega in katera sredstva so mu na voljo. Omenimo, da smo imeli težave s programom Internet Explorer, ki smo ga nekajkrat hoteli poganjati zunaj peskovnika, VirtualSandbox pa ga je vztrajno vračal v peskovnik. Nazadnje smo ugotovili, da je krivo to, da ga nismo pognali prek bližnjice na namizju. Še posebej zanimiv je zavihek Publishers, ki omogoča programom tistih založnikov, ki svoje izdelke digitalno podpisujejo, nemoteno delovanje. Dodatno lahko nastavljamo lastnosti in dovoljenja peskovnika, kot so dostop do omrežja v peskovnik zaprtim procesom.
Nekoliko nas je motilo, da program ne uporablja priročnega menuja v okenskem Raziskovalcu, saj je poganjanje programov v peskovniku prek priročnega menuja precej elegantnejše.
V različici, ki smo jo preizkušali, lahko uporabljamo samo en, privzeti peskovnik. Iz priložene dokumentacije nismo mogli razbrati niti tega, ali polna različica omogoča izdelavo več peskovnikov, niti tega, ali lahko hkrati delamo z dvema ali več peskovniki.
Pri preizkusu je spočetka kazalo, da se je VirtualSandbox nepričakovano slabo odrezal. V mapi Windows je spletna različica programa BitDefender našla lepo število zlonamernih programov, a smo ugotovili, da gre za lažni alarm. Zaradi zgoraj opisanih težav s programom Internet Explorer smo namreč pregled z BitDefenderjem sprva izvajali iz peskovnika. Ko nam je vendarle uspelo korektno pregledati disk, smo dobili pričakovani rezultat. Virtual Sandbox se je pri preizkusu obnesel podobno kakor Sandboxie, torej odlično. Omenjene težave pa kažejo na to, da moramo biti pri delu s peskovniki še kako zbrani, kljub zaščiti, ki jo ponujajo.
Fortres Grand ponuja tistim, ki neradi plačujejo za programsko opremo, starejšo, prvo različico programa.
Virtual Sandbox 2
Kaj: Peskovnik.
Izdeluje in prodaja: Fortres Grand, www.fortresgrand.com.
Cena: 50 dolarjev.
Za: Učinkovitost. Možnost uporabe digitalnega podpisa.
Proti: Težave s programom Internet Explorer.
Peskovniki so zelo primerni za uporabnike, ki ne morejo, ne da bi brskali po spletnih straneh, za katere je sicer zelo priporočljivo, da se jim izogibamo.
V peskovniku z nadlogami opravimo v nekaj sekundah. Zbrišemo peskovnik in poženemo novega, naše težave pa čudežno izginejo, vsaj začasno.
Najprej smo preverili, ali peskovniki delujejo v operacijskem sistemu Windows Vista, ki je med nami že vse leto. Ugotovili smo, da le GeSWall in Sandboxie podpirata Visto. Zato smo preizkus opravili v okolju Windows XP.