14016 Letture

Annullare le modifiche su file e registro di sistema con Sandboxie

Il software Sandboxie viene generalmente utilizzato per "separare" l'esecuzione di certe applicazioni dal resto del sistema ("sandboxing") ma si rivela anche un programma utilissimo per annullare le modifiche su file e registro di Windows.

Le sandbox (in italiano, il recinto di sabbia destinato ai giochi dei bambini) sono impiegate per far sì che un'applicazione non pienamente affidabile possa causare danno alla configurazione del sistema operativo, ai dati memorizzati sulle varie unità ed agli altri programmi.
Utilità come Sandboxie permettono di creare dei recinti sicuri, impenetrabili dalle applicazioni che vi sono eseguite, separati dal resto del sistema. I programmi eseguiti entro la sandbox possono interagire con Windows e con le altre applicazioni ma tutte le eventuali modifiche apportate restano sempre all'interno dell'area protetta.

L'uso delle sandbox consente anche di scongiurare l'esecuzione di codice dannoso, sul sistema vero e proprio, nel caso in cui un aggressore dovesse sfruttare una vulnerabilità presente nel software eseguito entro la sandbox stessa.
Ecco che Sandboxie risulta utile per eseguire in sicurezza software che non ricevono più aggiornamenti dal produttore (non più supportati) ma che, per varie ragioni, l'utente si trova ancora costretto ad adoperare.


Anche i produttori di browser web hanno da tempo iniziato ad investire sul supporto diretto delle tecnologie di sandboxing. Con la crescita della complessità delle applicazioni web, infatti, il browser diventa uno strumento sempre più "delicato" ed inevitalmente più soggetto ad attacchi rispetto a quanto accadeva in passato. Se il browser utilizza tecniche di "sandboxing", anche se un aggressore dovesse riuscire a sfruttare una vulnerabilità insita nel prodotto dovrebbe compiere un passo in più ovvero individuare anche una falla di sicurezza nella tecnologia per la gestione della "sandbox". Solo in questo modo potrebbe effettivamente danneggiare il contenuto del personal computer.

Pure un'applicazione maligna (i.e. "malware"), se eseguita all'ingterno della sandbox, non sarà più in grado di andare a modificare le parti "vitali" del sistema operativo. Ripulendo la "sandbox", infatti, l'utente potrà eliminare ogni eventuale "traccia" dell'"ospite sgradito", certo di non aver causato danni alla configurazione di Windows.
Ogni programma o processo che dovesse venire inizializzato da un programma ritenuto "non fidato" ed eseguito, mediante l'uso di Sandboxie, entro una sandbox sarà anch'esso posto in esecuzione all'interno di un'area protetta in modo tale che il suo funzionamento non abbia effetto sullo stato del sistema operativo.

Questo tipo di approccio ha ovviamente i suoi pregi ed i suoi difetti. Tra i pregi, l'impossibilità per i componenti malware di intervenire sulle aree chiave del sistema operativo; tra i difetti citiamo quello più evidente: qualunque file legittimo scaricato, ad esempio, tramite un browser web eseguito nella sandbox sarà esso stesso conservato nella sandbox. I file scaricati che si vorranno trattenere, dovranno essere quindi gestiti manualmente e spostati fuori dalla sandbox.

La versione gratuita di Sandboxie è perfettamente funzionante e non "scade" mai. L'unica limitazione più importante che caratterizza Sandboxie Free è l'impossibilità, dopo 30 giorni dalla data d'installazione del programma, di utilizzare contemporaneamente più di una sandbox.
In ciascuna sandbox è possibile eseguire, eventualmente, più programmi distinti ma, nella versione Free di Sandboxie, non si potranno mantenere simultaneamente aperte più sandbox (ne è comunque permessa la creazione).
Nella versione gratuita, inoltre, dopo i 30 giorni iniziali di prova, Sandboxie mostra un "nag screen" che forza l'utente ad attendere qualche secondo prima di poter usare ciascuna sandbox.

Le sandbox di Sandboxie, comunque, possono essere utilizzate non soltanto per motivi di sicurezza (separando l'esecuzione delle varie applicazioni dal resto del sistema) ma anche per annullare le modifiche su file e registro apportate dai vari programmi.

Sandboxie è compatibile con tutte le versioni di Windows, da Windows XP SP3 fino a Windows 8.1 (a 32 o 64 bit).
La procedura d'installazione del programma è avviabile semplicemente facendo doppio clic sul file scaricabile da questa scheda.

Il programma richiederà di installare sul sistema in uso un driver che costituisce il cuore dell'applicazione (finestra Installazione dei driver). Come ricordato in fase d'installazione, è caldamente consigliato disabilitare temporaneamente eventuali software, presenti sul sistema, che abbiano come obiettivo quello di monitorare il comportamento delle applicazioni.

Annullare le modifiche su file e registro di sistema con Sandboxie

Una finestra "ad hoc" (Compatibilità con i programmi) permetterà di predisporre il programma affinché sia compatibile con alcuni programmi che lavorano a più basso livello e che, diversamente, potrebbero causare problemi.

Una procedura guidata mostrerà quindi le funzionalità di base di Sandboxie iniziando con un semplice esempio: l'apertura del browser all'interno della sandbox.

La finestra Sandboxie control, richiamabile in qualunque momento anche dal menù Start, Programmi di Windows, elenca tutti i processi in esecuzione all'interno della “sandbox”.
Come ricorda la finestra di presentazione del programma, visualizzata al primo avvio dell'applicazione, la particolare area isolata – dall'interno della quale si può eseguire qualuque software – è detta "area virtuale".

Annullare le modifiche su file e registro di sistema con Sandboxie

All'interno della barra del titolo di ciascun programma eseguito nel contesto della “sandbox”, Sandboxie aggiunge il simbolo [#].


Per impostazione predefinita, Sandboxie crea automaticamente una “sandbox” di default: il suo nome è DefaultBox (è possibile verificarlo nel menù Area virtuale). Il software lascia comunque piena libertà, all'utente, di aggiungere successivamente, qualora lo si ritenesse opportuno, nuove sandbox. Il contenuto delle varie sandbox viene conservato, di default, in una cartella denominata c:\sandbox\nome_utente\nome_sandbox (menù Area virtuale, Modifica percorso delle aree virtuali).

Qualunque software è avviabile nell'"area virtuale" di Sandboxie facendo clic con il tasto destro sul suo eseguibile o sul suo collegamento quindi scegliendo la voce Avvia nell'area virtuale.

Annullare le modifiche su file e registro di sistema con Sandboxie

È possibile giungere al medesimo risultato cliccando con il tasto destro del mouse sull'icona di Sandboxie, visualizzata nell'area della traybar (generalmente in basso a destra, accanto all'orologio di sistema), quindi facendo clic su DefaultBox ed infine su Avvia un programma. Nel caso in cui si siano create più “sandbox” differenti, in luogo di DefaultBox, è sufficiente selezionare quella desiderata.

Annullare le modifiche su file e registro di sistema con Sandboxie

Com'è possibile notare, Sandboxie mette a disposizione delle voci che permettono di eseguire, nel contesto della sandbox, il browser web, il client di posta elettronica, Esplora risorse od un qualunque programma presente nel menù Start di Windows.

L'icona di Sandboxie visualizzata nella traybar può assumere due diversi aspetti. Nel primo caso, quando è completamente di colore giallo, significa che non ci sono applicazioni al momento in esecuzione all'interno delle “sandbox”; viceversa, se l'icona si arricchisce di alcuni punti di colore rosso, significa che Sandboxie sta gestendo l'esecuzione di uno o più programmi.


Avviando un qualunque programma nell'area virtuale di Sandboxie, si noteranno, nella finestra principale – oltre ad un riferimento al file eseguibile del software stesso – anche tre ulteriori elementi SandboxieRpcSs.exe, SandboxieDcomLaunch.exe e SandboxieCrypto.exe. I file sono correlati al funzionamento di Sandboxie e non richiedono alcun intervento da parte dell'utente.

Eseguendo il browser web all'interno della “sandbox”, ogniqualvolta si completa il download di un file, Sandboxie mostra una finestra di dialogo simile alla seguente:

Annullare le modifiche su file e registro di sistema con Sandboxie

Cosa significa “recupero”? Come precedentemente anticipato, Sandboxie memorizza tutti i file scaricati mediante un'istanza “sandboxed” del browser all'interno della sua area protetta.
Qualunque nuovo elemento prelevato, quindi, non sarà immediatamente spostato sul sistema "reale" ma continuerà a risiedere nella “sandbox”. Attraverso la finestra Recupero immediato, si può indicare a Sandboxie se si desidera che il file prelevato venga subito salvato sul sistema, nella cartella specificata oppure in una posizione diversa. Cliccando su Chiudi, il file indicato continuerà invece a restare nella “sandbox”.

Per maggiore sicurezza, in modo da scongiurare la copia di file potenzialmente nocivi sul sistema, è possibile disattivare la funzionalità di ripristino immediato: è sufficiente accedere al menù Area virtuale, cliccare sul nome della "sandbox" in uso (ad esempio DefaultBox), scegliere Impostazioni dell'area virtuale, fare doppio clic sulla voce Recupero dei file (menù di sinistra) quindi su Recupero immediato. Disattivando la casella Abilita recupero immediato tutti gli oggetti scaricati utilizzando il browser resteranno nella "sandbox".


Per recuperare un file dall'area virtuale (“sandbox”) e copiarlo sul sistema in uso è possibile accedere alla finestra principale di Sandboxie e cliccare sul menù Visualizza, File e cartelle.
Cliccando con il tasto destro del mouse sui file d'interesse, quindi ricorrendo ai comandi Salva nella stessa cartella o Salva in un'altra cartella, sarà possibile "estrarre" gli elementi indicati dall'"area virtuale" di Sandboxie e memorizzarli, rispettivamente, nella medesima directory oppure in una cartella differente.

Annullare le modifiche su file e registro di sistema con Sandboxie

In alternativa, cliccando con il tasto destro del mouse sull'icona di Sandboxie nella traybar, sulla “sandbox” in uso, quindi su Recupero veloce, il programma mostrerà una schermata che riassume tutti i file e le cartelle create nell'area virtuale protetta e che possono essere ripristinati sul sistema “reale”.

Il comando Elimina contenuto, anch'esso presente nel menù che compare cliccando con il tasto destro del mouse sull'icona di Sandboxie, quindi sulla "sandbox" in uso, consente di rimuovere rapidamente tutto il contenuto dell'area virtuale protetta.

Va rammentato che, con l'impostazione di default, le modifiche applicate – ad esempio – all'elenco dei siti web preferiti saranno perdute allorquando si esca dalla sandbox.
Nella configurazione predefinita, inoltre, qualunque aggiornamento applicato a Firefox od ai plugin in uso durante l'esecuzione in un'area virtuale, avrà efficacia solo all'interno della sandbox. Quando l'area virtuale viene cancellata, tutti gli aggiornamenti saranno persi. Per risolvere il problema è necessario accertarsi di eseguire Firefox all'infuori della sandbox, nella maniera tradizionale, allorquando si dovesse rilevare la disponibilità di un qualunque aggiornamento. Una volta applicati gli "update", si potrà nuovamente riavviare Firefox utilizzando Sandboxie.


Le altre opzioni presenti nella finestra Impostazioni dell'area virtuale consentono di personalizzare in profondità il comportamento di Sandboxie.

Annullare le modifiche su file e registro di sistema con Sandboxie

Una volta che si saranno compresi gli aspetti basilari legati al funzionamento di Sandboxie, si potrà usare il programma non soltanto per avviare certe applicazioni in modalità protetta ma anche per azzerare tutte le modifiche su file e registro di sistema compiute dai software in esecuzione.

Eseguendo un qualunque programma con Sandboxie si potrà fare in modo, successivamente, che tutte le modifiche apportate al sistema vengano completamente annullate. È importante sottolineare che qualunque programma avviato con Sandboxie potrà essere poi eliminato, insieme con tutte le tracce eventualmente lasciate sul sistema. In altre parole, sarà come se l'applicazione sottoposta a sandboxing non fosse stata mai avviata!

Per avviare un qualsiasi programma con Sandboxie, basterà fare clic sul menù Area virtuale, selezionare la sandbox prescelta (ad esempio DefaultBox), la voce Avvia nell'area virtuale quindi Avvia un programma.

Annullare le modifiche su file e registro di sistema con Sandboxie

Cliccando su Sfoglia, nella finestra successiva, si potrà scegliere l'applicazione da avviare all'interno della sandbox di Sandboxie.

Si può scegliere una qualunque procedura d'installazione certi che, dopo l'utilizzo del programma installato, si potranno immediatamente eliminarne tutte le tracce.
In alternativa, si può eseguire l'installazione di qualunque programma fuori da Sandboxie ed eseguire dalla sandbox il software installato. In questo modo, l'applicazione resterà installata sul sistema in uso ma tutte le tracce legate alla sua esecuzione saranno completamente rimosse (sarà come se l'applicazione non fosse stata mai eseguita, nemmeno una volta).



Dopo aver avviato un'applicazione nella sandbox di Sandboxie, all'interno della sezione File e cartelle della finestra principale (Sandboxie Control) verranno via a via elencate le modifiche apportate al file system ed al registro di sistema.

Annullare le modifiche su file e registro di sistema con Sandboxie

Per annullare tutte le modifiche su file e registro di Windows basterà uscire dall'applicazione avviata all'interno della sandbox quindi selezionare Area virtuale, la sandbox d'interesse e la voce Elimina contenuto.

Annullare le modifiche su file e registro di sistema con Sandboxie

Alla comparsa della successiva schermata, sarà sufficiente cliccare sul pulsante Elimina contenuto.

Annullare le modifiche su file e registro di sistema con Sandboxie

Qualora si volessero conservare dei file scaricati o prodotti dalle applicazioni eseguite all'interno della sandbox, basterà selezionarli e fare clic su Recupera nella stessa cartella (per memorizzarli nella stessa directory specificata nella sandbox) o Recupera in un'altra cartella (per specificare una cartella di destinazione alternativa).

Sandboxie
Download: ilsoftware.it
Compatibile con: tutte le versioni di Windows (a partire da Windows XP SP3)
Licenza: Freeware/shareware


  1. Avatar
    JustSwitched84
    20/03/2014 22:51:24
    Ho letto che l'uso di Sandboxie sarebbe sconsigliabile nelle versioni a 64bit, perchè ritenuto non più sicuro, ma non ho capito bene il motivo. Vi risulta una notizia fondata? :confuso:
  2. Avatar
    Sampei Nihira
    19/03/2014 15:54:56
    Buon pomeriggio. :wink: Vorrei intervenire per fare una considerazione. Ritengo la funzione di recupero immediato una ulteriore forma di protezione da eventuali Drive-By-Download. Se voi navigate con il vostro browser in modalità sandboxata e "senza aver fatto nulla" cioè acconsentito ad un download legittimo vi appare tale finestra vuol dire che il software vi ha allertato di un Drive-By-Download in atto. Siccome le modalità di tali DBD sono spesso silenti l'utilità di questa funzione di SBIE è indubbia. Ed anche se probabilmente l'impostazione che citerò adesso forse ha valenza più come protezione psicologica che altro vorrei anche consigliare di impostare l'area virtuale in una partizione non di sistema. Non si sà mai. Magari un eventuale bypass........ :wink:
Annullare le modifiche su file e registro di sistema con Sandboxie - IlSoftware.it