Эволюция методов обхода песочниц
Рисунок 4. Методы обнаружения и обхода средств виртуализации и анализа, применяемые в ВПО в 2010–2020 годы
Мы проследили изменения в методах обхода песочниц и средств анализа и видим, что одно и то же ВПО в разные годы использует разные методы. Кроме того, злоумышленники стараются использовать одновременно несколько технологий. В случае если один из методов не сработает и будет перехвачен песочницей, ВПО попытается по другому какому-то признаку определить, что выполняется в среде виртуализации, чтобы вовремя прекратить свою работу.
APT-группировка Ke3chang (также известна как APT15) в 2010 году использовала бэкдор MyWeb, затем в 2014 году — BS2005, а в 2016—2019 годах — Okrum. Злоумышленники меняли методы обхода и обнаружения средств виртуализации и анализаторов кода. Они проверяли взаимодействие с пользователем, ожидая трех нажатий на левую кнопку мыши или определяя положение курсора, а объем физической памяти узнавали то с помощью вызова функции GetGlobalMemoryStatusEx, то с использованием WMI-запросов.
Приведем еще несколько примеров.
ROKRAT
Тип: ВПО для удаленного управления
Группировка: APT37, активна с 2012 года
Цель: организации в Южной Корее
Вектор заражения: фишинг (вредоносные документы HWP, распространяемые по электронной почте и эксплуатирующие уязвимость CVE-2013-0808)
Мотив: шпионаж
| Методы обхода и обнаружения средств виртуализации и анализа | 2016 | 2018 |
|---|---|---|
| Проверка загруженных библиотек SbieDll.dll, Dbghelp.dll, Api_log.dll, Dir_watch.dll |
+ |
+ |
| Получение значения ключа SystemBiosVersion ветки реестра HARDWARE\DESCRIPTION\System |
+ |
— |
| Использование инструкции NOP (No Operation) в качестве наполнителя в самоизменяющемся коде для защиты от отладки |
+ |
— |
| Вызов функции IsDebuggerPresent для выявления отладки |
— |
+ |
| Вызов функции GetTickCount дважды, чтобы проверить пошаговое выполнение |
— |
+ |
| Проверка существования файла C:\Program Files\VMware\VMware Tools\vmtoolsd.exe |
— |
+ |
RogueRobin
Тип: ВПО для удаленного управления
Группировка: DarkHydrus, активна с 2016 года
Цель: государственные и образовательные учреждения на Ближнем Востоке
Вектор заражения: фишинг (вредоносные документы Microsoft Office, распространяемые через Google Drive)
Мотив: шпионаж
| Методы обхода и обнаружения средств виртуализации и анализа | 2018 | 2019 |
|---|---|---|
| Отправка WMI-запросов для проверки версии и производителя BIOS |
+ |
+ |
| Отправка WMI-запросов для проверки количества ядер процессора. Значение должно быть больше 1 |
+ |
+ |
| Отправка WMI-запросов для проверки объема физической памяти. Значение должно быть не менее 2 900 000 000 байт |
+ |
+ |
| Проверка количества запущенных процессов для Wireshark и Sysinternals |
+ |
+ |
| Обфускация PowerShell-скрипта с использованием инструмента Invoke-Obfuscation |
+ |
+ |
| Проверка наличия отладчика при каждом DNS-запросе |
— |
+ |
Remcos
Тип: ВПО для удаленного управления
Группировка: Gorgon Group, активна с 2018 года
Цель: государственные учреждения России, Великобритании, Испании и США
Вектор заражения: фишинг (вредоносные документы Microsoft Word, распространяемые по электронной почте и эксплуатирующие уязвимость CVE-2017-0199)
Мотив: шпионаж
| Методы обхода и обнаружения средств виртуализации и анализа | 2018 | 2019 |
|---|---|---|
| Проверка наличия в системе устаревшего артефакта SbieDll.dll |
+ |
— |
| Шифрование исходного кода с использованием алгоритмов RC4 и Base64 |
+ |
+ |
| Проверка vmtoolsd.exe и vbox.exe в списке запущенных процессов |
— |
+ |
| Вызов функции IsDebuggerPresent для проверки, запущен ли вызывающий ее процесс в контексте отладчика |
— |
+ |
Отметим также, что в 2018–2019 годах увеличилось количество ВПО, которое применяет методы обхода песочниц. Однако на эту статистику повлиял, вероятнее всего, тот факт, что эксперты стали чаще исследовать образцы ВПО.
Преступники, продающие ВПО в дарквебе, также уделяют особое внимание функциям обнаружения и обхода песочниц и антивирусов, а также противодействию анализу и отладке. Цены на ВПО, применяющее методы обхода песочниц, начинаются от 30 долл
США. А за 20 долл. США злоумышленники предлагают услуги по дополнительной защите ВПО от обнаружения антивирусами и песочницами.
Рисунок 5. Объявление о продаже загрузчика с функциями обхода средств защиты
Рисунок 6. Предложение услуг по защите ВПО от обнаружения песочницами
Рисунок 7. Объявление о продаже ВПО с функциями обхода средств виртуализации
Как включить и использовать песочницу Windows Sandbox в Windows 10
Необходимые условия
- Установите Windows 10 Pro или Enterprise, KB4512941 (Build 18362.329) или выше.
- Включите виртуализацию:
- Если вы используете физический компьютер, убедитесь, что в BIOS включена функция виртуализации.
- Если вы используете виртуальную машину, включите встроенную виртуализацию с помощью этого командлета PowerShell:
- Set-VMProcessor -VMName -ExposeVirtualizationExtensions $true
Как включить / выключить Песочницу Windows
Как включить / выключить Песочницу Windows в меню Компоненты Windows
Откройте меню Компоненты Windows (Панель управления > Программы > Программы и компоненты > Включение и отключение компонентов Windows) и выберите Песочница Windows. Нажмите OK, чтобы установить песочницу. Может понадобиться перезагрузка компьютера.
Как включить / выключить Песочницу Windows с помощью PowerShell
- Запустите PowerShell от имени администратора (введите powershell в поиске меню Пуск и выберите «Запуск от имени администратора»).
- Выполните следующую команду, чтобы включить Песочницу Windows:
Выполните следующую команду, чтобы отключить Песочницу Windows:
Как включить / выключить Песочницу Windows с помощью Командной строки
- Запустите Командную строку от имени администратора (введите cmd в поиске меню Пуск и выберите «Запуск от имени администратора»)
- Выполните следующую команду, чтобы включить Песочницу Windows:
Выполните следующую команду, чтобы отключить Песочницу Windows:
Запуск и использование Песочницы Windows
- Используя меню «Пуск», найдите Windows Sandbox, запустите ее и разрешите повышение привилегий.
- Скопируйте исполняемый файл с основной хост-системы.
- Вставьте исполняемый файл в окно песочницы Windows Sandbox (на рабочем столе Windows).
- Запустите исполняемый файл в песочнице Windows Sandbox; если это установщик, продолжайте и установите его.
- Запустите приложение и используйте его как обычно.
- Когда вы закончите экспериментировать, вы можете просто закрыть приложение Windows Sandbox. Все содержимое песочницы будет окончательно удалено.
- Убедитесь, что на хост-системе нет изменений, внесенных вами в песочницу Windows Sandbox.
Вы также можете использовать файлы конфигурации (WSB) или утилиту Windows Sandbox Editor для запуска песочницы с заданными параметрами: использование vGPU, поддержка сети, общие папки, скрипты и программы автозагрузки.
Песочница в Windows 10 – как включить и настроить Windows Sandbox
Многие пользователи ПК по своему опыту знают, что запуск малоизвестных программ и переход по сомнительным ссылкам чреваты печальными последствиями. Установив «крайне полезную» программу или открыв вложение электронной почты, можно легко заразить свой компьютер вирусом. А что, если открыть файл или ссылку всё же необходимо, хотя бы в рамках тестирования? Как быть в таком случае? Напрашивается вариант с установкой на компьютер VirtualBox и выполнением потенциально рискованных действий внутри виртуальной системы.
Что ж, способ этот довольно простой и эффективный, но не лишенный недостатков. Виртуальная машина занимает на диске значительное пространство, имеет относительно небольшую производительность и некоторые ограничения, касающиеся использования аппаратной части. Поэтому стоит рассмотреть альтернативные решения, одно из которых заключается в использовании встроенной Песочницы Виндовс 10, представленной разработчиками Microsoft в сборке 1903.
Особенности песочницы в Windows 10
Мы запустили песочницу, и теперь хотелось бы её как-то настроить. Но перед этим нужно узнать о некоторых особенностях ,которые пригодятся при использовании.
- Если закрыть окно песочницы, то работа её системы завершится, при этом ничего что было в текущей сессии, не сохранится.
- Песочница имеет доступ к сети.
- Но не имеет доступа к файлам основной системы (ниже расскажу, как это исправить).
- Windows Sandbox имеет общий буфер обмена с основной системой компьютера. Это значит, что можно копировать файл или текст на физическом компьютере и вставлять его в песочнице, или наоборот.
А теперь давайте посмотрим, как это можно настроить песочницу в Windows 10.
Sandbox
Эта функция представляет собой настоящую виртуальную машину с имитацией реального компьютера и реальной ОС в замкнутом изолированном пространстве (памяти). Это позволяет, не опасаясь устанавливать и запускать всевозможные приложения, которые мы скачиваем с разных сомнительных и не очень источников. Особенность функции состоит в том, что она не выпускает программу из виртуального пространства, в итоге на основную операционную систему нет никакого воздействия, она абсолютно не задействована (разве только для поддержания этого виртуального пространства).
Функция станет широкодоступной, предположительно, со следующим обновлением системы, осталось ждать пару месяцев. Однако эксперты отмечают, что на домашней версии функция может и не работать, но версия Pro и Enterprise точно будут содержать эту функцию. Конечно, и сейчас можно на своём компьютере создать подобную песочницу из сторонних программ, но это требует знаний и времени. Поддержка же такого на уровне самой ОС упростит задачу до уровня переключения между рабочими столами. Во вкладке Sandbox будет просто чистая ОС, и после завершения работы с программой, эта ОС будет откатываться в своё первоначальное состояние, не оставляя никаких следов зловредов, если вы их тестировали или проверяли незнакомые программы.
Противодействие анализу и отладке
Для того чтобы ВПО как можно дольше не обнаруживали антивирусные программы, злоумышленники стараются избежать его анализа экспертами по безопасности. Для этого они обфусцируют код и выявляют инструменты отладки.
Например, ВПО для удаленного управление Remcos в 2019 году обогатилось методом выявления инструментов отладки. Если загрузчик после вызова функции IsDebuggerPresent обнаруживает отладчик в системе, он отображает сообщение: «This is a third-party compiled AutoIt script» — и завершает исполнение.
Авторы шпионского ПО FinFisher предприняли множество дополнительных шагов для запутывания своего вредоносного кода, чтобы затруднить его анализ. Например, код операции 0x1A должен представлять функцию JB (переход, если меньше), но он реализуется с помощью инструкции установки флага переноса (STC), за которой следует JMP в код диспетчера, который будет проверять установленное состояние флага переноса.
Рисунок 15. Один из способов обфускации (FinFisher)
Для проверки пошагового выполнения, которое применяется в отладчиках, EvilBunny выполняет вызов функций NtQuerySystemTime, GetSystemTimeAsFileTime и GetTickCount. Каждая функция вызывается дважды для вычисления разницы (дельты) при выполнении операции сна между первой и второй итерацией. Если любая из трех дельт меньше 998 миллисекунд, выполнение будет прервано.
Рисунок 16. Двойной вызов функций (EvilBunny)
Поскольку становится все сложнее выполнить статический анализ ВПО, выявить его характерные идентифицирующие свойства — сигнатуры и хеш-суммы, то в дополнение к статистическому анализу рекомендуется запускать подозрительные файлы в виртуальной среде и анализировать их поведение.
Игровой процесс и его приятные детали
На сегодняшний день игра уже является невероятно развитым и перспективным проектом, но куда интереснее будет как раз таки в ближайшем будущем. Разработчик планирует активно развивать свой проект добавляя в него новые и новые интересные возможности.
К примеру, создатели обещают ввести отдельный набор элементов в форме жидкости. Как заявляет разработчик – написание программного кода для создания полностью реалистичного набора физических свойств влаги – задача не из простых, но тем не менее работа продолжается, и вскоре программа обзаведется и таким функционалом, в том числе.
Идея создать программу, в которой можно расслабиться и снять нервное напряжение неплохо сработала. Программа не имеет рекламы и встроенных покупок, приложение планомерно развивается и обзаводится уймой новых интересных элементов, увеличивая сложность их создания и многообразие взаимодействий с этими элементами. Все пункты указывают на огромное количество проделанного труда, и невероятные планы на будущее.
Вы можете играть на смартфоне, а можете скачать на компьютер игру Песочница – успокаиваем нервы. Это даст вам возможность запуска на большом экране. Ведь чем больше область, на которой можно что-то строить – тем более сложные конструкции впоследствии могут получиться. Так что вперед, за дело!
Похожие проекты
Для эффективного успокоения души и тела можно использовать самые различные приложения. Некоторые просто неплохо отвлекают и занимают ваш разум чем-то приятным и монотонным. Другие же – прекрасно справляются с функцией раскрытия творческого потенциала и помогают отвлечься.
- Love Poly – игра, в которой вы сможете создать трехмерное изображение из стекла. Лисица, яблоко или любые другие фигуры могут стать неплохим произведением искусства и точно отвлекут вас от быта повседневности.
- Dot it – Connect the Dots – соедините точки на звездном небе между собой, чтобы получить потрясные фигуры. Рисуйте картины прямо на небе!
Послесловие
Ах да, чуть не забыли, само собой, что песочница потребляет повышенное количество ресурсов машины, т.к откусывает (виртуализирует) часть мощностей, что, естественно, создаёт нагрузку, отличную от запуска напрямую. Но, логично, что безопасность и/или конфиденциальность может того стоит.
Кстати говоря, использование песочниц, chroot или виртуализации, частично относится к методологиии безантивирусной безопасности, которой мы обучаем в рамках наших пакетов обучения.
На сим, пожалуй, всё. Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.
Настройка песочницы в Windows 10
Ранее для настройки было необходимо вручную создавать файлы конфигурации, что было неудобно для большинства пользователей. Но не так давно появилась программа, представляющая собой компилятор этих конфигурационных файлов, которые можно создать в удобном графическом интерфейсе. Правда, на английском языке.
Программа называется Windows Sandbox Editor, и скачать её можно по прямой ссылке ниже, либо на официальном сайте разработчика.
Программа не требует установки и представляет собой Portable версию. Скачайте архив и распакуйте на компьютере. На момент написания этой статьи в архиве есть две версии программы, которые можно запустить из папки EXE. Далее я буду показывать всё на версии 2, то есть запустив файл EXE / Windows Sandbox Editor v2.exe.
Итак, откройте файл программы. Вы увидите, что её интерфейс состоит из четырёх вкладок. Настройка песочницы в Windows 10 начинается с «Basic infos», в которой находятся основные опции конфигурации песочницы:
- Sandbox name — имя файла конфигурации.
- Sandbox path — место сохранения файла на компьютере.
- Networking status — статус сети.
- VGPU status — статус виртуального графического адаптера. Отвечает за скорость графики.
- Run sandbox after change — запустит песочницу после завершения создания конфигурации.
Вторая вкладка называется «Mapped folder» и используется она для того, чтобы создать в песочнице общие с основной системой папки.
Нажмите кнопку «Browse folder», и выберите папку на компьютере, которая будет доступна через песочницу. А с помощью переключателя «Read only» выберите права доступа — только для чтения или нет.
Третья вкладка называется «Startup Commands» и в ней можно задавать действия, которые будут выполняться при загрузке системы в песочнице. В качестве команды можно задать файл Power Shell, Visual Basic или приложения .exe и .msi. Выполняться будут только те команды, к которым песочница будет иметь доступ. Например, к программам на основном компьютере она доступа по-умолчанию не имеет.
Четвёртая вкладка называется «Overvirew». На ней можно увидеть код файла конфигурации.
Нажмите на кнопку «Create Sandbox», чтобы создать из кода файл для запуска песочницы с заданными параметрами.
Если всё в порядке, вы увидите сообщение об успехе, и в папке, которую указали в «Basic infos» появится файл. Откройте его, и запуститcя песочница Windows с параметрами, которые вы задали.
Если в будущем вам нужно будет изменить параметры созданного файла конфигурации, то для этого загрузите его в Sandbox Editor с помощью кнопки «Load existing sandbox». После внесения необходимых изменений, создайте файл заново кнопкой «Create Sandbox».
С Sandbox Editor настройка песочницы в Windows 10 становится простой задачей. Можно создать любое количество конфигураций и запускать их в зависимости от поставленных задач.
Насколько публикация полезна?
Нажмите на звезду, чтобы оценить!
Средняя оценка / 5. Количество оценок:
Оценок пока нет. Поставьте оценку первым.
Разработчики постоянно борятся за то, чтобы ускорить работу Windows. В этой статье я расскажу о…
Windows 10 в последних обновлениях обрела функцию игрового режима, при котором игры можно запускать в…
Что такое песочница в Windows 10
Если вы хотите попробовать какую-то программу или игру, но боитесь, что после этого на компьютере что-то пойдет не так: вместе с программой на компьютер проникнут вирусы или вам она не понравится и потом придется её удалять. И неизвестно, как еще пройдет это удаление, тогда лучше всего воспользоваться песочницей и протестировать приложение в ней.
Песочница работает очень просто. Как только вы её включаете, она запускает новую чистую установку Windows 10, т.е. запускает виртуальную машину с новой операционной системой без доступа к вашим файлам в основной системе.
Можно протестировать любую программу, игру или файл. Как и в виртуальной машине в песочнице имеется буфер обмена, при помощи которого вы можете «передавать» файлы из основной системы в песочницу и наоборот.
Если что-то необходимо сохранить, созданное во время работы в песочнице, то можно перенести файлы в общие папки по сети. Но лучше этого не делать, т.к. если программа или игра заражена вирусами, то при передаче файлов они проникнут в основную систему.
После отключения песочницы всё автоматически удаляется. После чего вы можете работать на компьютере точно так-же, как работали до этого.
Системные требования Windows Sandbox
Прежде чем пытаться включить функцию «Песочница», необходимо убедиться, что ваше устройство подходит для её использования.
Минимальные системные требования для включения песочницы:
- Windows 10 Профессиональная или Корпоративная, версии 1903 (при желании, включить песочницу можно и в Windows 10 Домашняя);
- Аппаратная виртуализация;
- Разрядность ОС х64;
- Процессор — минимум 2 ядра;
- Память – минимум 4 ГБ;
- Жесткий диск – минимум 1 ГБ (лучше SSD).
Как проверить, поддерживает ли Ваш компьютер виртуализацию Hyper-V
Кликните по кнопке «Пуск» правой кнопкой мыши.
Выберите в открывшемся контекстном меню консоль PowerShell или командную строку от имени администратора,
введите в ней команду systeminfo и нажмите на клавиатуре кнопку Enter.
После этого обратите внимание на пункт «Требования Hyper-V».
Если все четыре требования имеют значение «да», можете смело включать гипервизор и создавать виртуальные машины. Если один из этих пунктов имеет значение «нет», то необходимо проверить настройки BIOS или UEFI и включить эту функцию, при условии, что процессор её поддерживает. Включается в БИОС/UEFI. Выглядит как пункт для включения Intel Virtualization Technology (VT-x), или AMD-v на процессорах AMD. Если ничего не помогло, то посетить сайт производителя вашего устройства.
Включаем песочницу Windows 10
Чтобы включить песочницу в виндовс 10 необходимо:
- Установите флажок напротив записи «Песочница Windows» и нажмите кнопку «ОК».
- Вас попросят перезагрузить компьютер. Нажмите кнопку «Перезагрузить сейчас».
Как запустить песочницу Windows Sandbox на Windows 10
- Откройте меню «Пуск».
- Найдите пункт «Windows Sandbox», кликните по нему правой кнопкой мыши и выберите параметр «Запуск от имени администратора».
Выберите приложение, которое хотите запустить в песочнице. Кликните правой кнопкой мыши по его файлу установщика и выберите в выпадающем контекстном меню пункт «Копировать».
Кликните правой кнопкой мыши по рабочему столу песочницы и выберите пункт «Вставить».
- Теперь можете запустить установщик программы так же, как в вы это делаете в основной операционной системе.
- Для использования песочницы в полноэкранном режиме (или выхода из него) можно использовать клавиши Ctrl + Alt + Break (или Пауза), или нажать вверху окна песочницы кнопку «Свернуть/Развернуть».
- После завершения тестирования приложения нажмите вверху справа окна песочницы кнопку Х и нажмите кнопку «ОК», чтобы закрыть песочницу.
После этого программа и все её файлы будут удалены. Все эти действия не повлияют ни на вашу систему, ни на ваши файлы. Все останется в целости и сохранности. Удалена будет только программа, которую вы запускали в песочнице. В этом вся прелесть этой функции.
Работа в «песочнице» sandboxie
Бороздя просторы Интернета, больше всего нам хотелось бы чувствовать себя в безопасности. Кстати, по статистике около половины посещаемых пользователями сайтов являются зараженными. Неужели, вам не надоели уже эти вирусы, шпионы и прочее вредоносное программное обеспечение.
А ведь, чтобы избавиться от них, приходиться тратить на них свое время, нервы, а иногда и деньги. Пришло время, раз и навсегда покончить с этим.
Хотите узнать как? Тогда пора познакомить вас с возможностями «песочницы»…
Почему именно “песочница”?
Сегодня можно услышать множество советов относительно того, как защитить себя в Интернете: от использования современного программного обеспечения, в котором закрыты все известные уязвимости (например, на базе Linux), и до установки на ПК надежного комплекта ПО для обеспечения безопасности (Антивирусник + Брандмауэр).
Однако, бывают такие случаи, когда антивирусник не уверен на 100% в запускаемом приложении или открываемой странице в Интернете, и тогда антивирусное ПО спрашивает “разрешение” у пользователя. А пользователь, как правило, надеясь на лучшее, разрешает запуск подозрительной программы, запускает вместе с тем и вредоносный код.
“И что же делать?” – спросите вы. Неужели из-за страха подхватить вирус, нам придется отказаться от запуска новых приложений и от свободного плавания по просторам Интернета? Конечно же нет! Существует отличное дополнение к рекомендованным сайтом www.pc4me.ru средствам защиты компьютера от проникновения вирусов. Речь идет о работе с приложениями в “песочнице”.
что такое “песочница”?
“Песочница” – это виртуально созданная изолированная среда, для которой отводится специальное пространство на жестком диске (небольшое по размерам) и которая не имеет доступа к вашей операционной системе (в том числе и реестру).
Запустив какую-либо программу в “песочнице”, она будет работать так же, как обычно. Однако не сможет оказать влияние на любые компоненты и файлы, расположенные за пределами этой изолированной среды. То есть другими словами, запущенная в “песочнице” программа не сможет внести изменения в системный реестр или файлы ОС, или любым другим способом повлиять на стабильность работы системы.
Именно поэтому “песочницу” рекомендуют использовать для безопасной работы в Интернете и для запуска неизвестных приложений.
что такое sandboxie?
Одной из программ, реализующих такую виртуальную защитную среду, является утилита Sandboxie, которая бесплатна, проста и интуитивно понятна.
Sandboxie непрерывно следит за запущенными в “песочнице” программами и переадресует всю их работу с файлами в специально созданную виртуальную среду. Все изменения файлов этими программами действуют только в пределах “песочницы”, а вне нее файлы остаются без изменений. Ниже представлен алгоритм работы “песочницы” Sandboxie.
- • Пустое пространство
- • Widows,программные файлы и документы
- • Новое содержание
- • Песочница
Движущаяся красная стрелка эмитирует изменения, производимые запущенной программой на вашем компьютере. Верхняя часть рисунка показывает ситуацию работы жесткого диска при отсутствии песочницы. Рисунок в нижней части отображает ситуацию, когда исполняемая программа запущена в виртуальной среде Sandboxie.
Как видно из картинки, “песочница” Sandboxie перехватывает все изменения, вносимые программой, и изолирует их в специально созданной зоне (“песочнице” – желтый прямоугольник).
Точно также Sandboxie осуществляет работу и с системным реестром. Вредоносный код представляет собой опасность, только когда “проникает в систему”. Если этот код останется в пределах песочницы, то его вредоносное действие будет сведено к нулю.
Как запустить программу в “песочнице”?
После установки программы Sandboxie кликните правой кнопкой мыши по ярлыку программы, которую желаете запустить (например, браузер Google Chrome), в выпадающем меню выберете “Запустить в песочнице”.
Как вы уже поняли, “песочница” является мощнейшим инструментом для поддержания безопасности вашего компьютера. Скачать Sandboxie можно с официального сайта.
Кроме Sandboxie существует много других альтернатив, платных и бесплатных. Я пользуюсь “песочницей”, встроенной в “Kaspersky Internet Security 2012”.
