Если вы скачали неизвестный установщик, плагин, утилиту или архив из сомнительного источника, не запускайте его сразу на основной системе. Локальная песочница — это отдельное окружение на вашем компьютере, где можно открыть подозрительную программу, посмотреть на её поведение и после теста всё сбросить. Она не делает файл безопасным, но сильно снижает риск: программа работает внутри изолированной системы, а не рядом с вашими документами, браузером, паролями и сетевыми дисками.
Работайте только с файлами, которые вы имеете право проверять. Не запускайте подозрительные программы на рабочем компьютере, в корпоративной сети и рядом с личными данными. Если файл похож на ransomware, банковский троян или другой серьёзный вредоносный образец, лучше не экспериментировать самостоятельно.
Что должна дать нормальная локальная песочница
Хорошая песочница решает простую задачу: дать программе запуститься, но не дать ей повредить основную систему или утащить данные. После проверки вы должны иметь возможность быстро вернуть окружение в исходное состояние.
Минимальные признаки нормального решения:
- подозрительная программа запускается отдельно от основной системы;
- у неё нет доступа к документам, рабочим папкам, облачным синхронизациям и USB-устройствам;
- сеть можно отключить или ограничить;
- после теста окружение сбрасывается или откатывается к чистому снимку;
- вы можете хотя бы частично увидеть, что программа делает: создаёт процессы, пишет в автозагрузку, обращается к сети.
Не стоит воспринимать результат как стопроцентный вердикт. Если за 10 минут программа ничего подозрительного не сделала, это не значит, что она безопасна. Но если она сразу создаёт службы, меняет браузер, отключает защиту или тянется к непонятным адресам — это уже повод её не использовать.
Какой вариант песочницы выбрать
| Вариант | Когда использовать | Плюсы | Ограничения |
|---|---|---|---|
| Windows Sandbox | Нужно быстро проверить один установщик или утилиту на Windows | Быстро запускается, не требует отдельной виртуальной машины, изменения исчезают после закрытия | Есть только в Windows Pro, Enterprise и Education; нет полноценных снимков; для сложных тестов маловато контроля |
| Виртуальная машина | Нужно установить программу, поработать с ней, проверить автозагрузку, сеть и поведение после перезапуска | Можно делать снимки, отключать сеть, настраивать доступ к файлам, ставить инструменты наблюдения | Требует больше времени на подготовку и аккуратных настроек изоляции |
| Отдельный компьютер или ноутбук | Нужно проверять рискованные файлы регулярно или работать с образцами, которые могут быть реально вредоносными | Лучшая изоляция от основной системы; меньше последствий при ошибке | Нужно отдельное устройство, отдельная сеть и дисциплина: никаких личных аккаунтов и документов |
| Изолированный режим антивируса или браузера | Нужно быстро открыть подозрительный документ, архив или веб-ссылку | Удобно для простых случаев | Не подходит для полноценной проверки установщиков, драйверов, служб и программ с сетевой активностью |
На практике я бы выбирал так: для разовой проверки неизвестного установщика — Windows Sandbox; для нормального теста программы — виртуальная машина; для рискованных образцов — отдельное устройство или полностью изолированная виртуальная машина без сети.
Быстрый вариант: проверка через Windows Sandbox
Windows Sandbox подходит, когда нужно не устанавливать программу на основную систему, а просто посмотреть, что произойдёт при запуске. После закрытия окна всё, что случилось внутри, удаляется.
- Проверьте, что у вас Windows 10/11 Pro, Enterprise или Education и включена виртуализация в BIOS/UEFI. Если компьютер старый, эта опция может быть отключена.
- Включите компонент «Песочница Windows». Это можно сделать через «Включение или отключение компонентов Windows» или командой в PowerShell с правами администратора:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -OnlineПосле включения перезагрузите компьютер.
- Создайте на основном компьютере папку, например
C:\SandboxInput. Положите туда только проверяемый файл. Не делайте общей папкой весь «Рабочий стол» или «Загрузки». - Для более безопасного запуска создайте файл
check.wsbс таким содержимым:<Configuration> <Networking>Disable</Networking> <ClipboardRedirection>Disable</ClipboardRedirection> <MappedFolders> <MappedFolder> <HostFolder>C:\SandboxInput</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> </Configuration> - Запустите файл
check.wsb. Внутри песочницы откройте общую папку, скопируйте установщик и запустите его. - Смотрите на поведение: не просит ли программа лишние права, не создаёт ли службы, не пытается ли подключиться к сети, не меняет ли браузер.
- После проверки закройте окно Windows Sandbox. Все изменения внутри будут удалены.
Если программа для проверки лицензии или установки обновлений требует интернет, можно включить сеть в конфигурации, но для таких тестов лучше использовать виртуальную машину. Windows Sandbox удобна для быстрых проверок, а не для глубокого анализа.
Более надёжный вариант: виртуальная машина для подозрительных программ
Виртуальная машина даёт больше контроля. Вы можете создать чистую систему, поставить туда инструменты наблюдения, сделать снимок и после каждого теста возвращаться к исходному состоянию.
Подойдут VirtualBox, VMware Workstation, Hyper-V или другой привычный гипервизор. Главное — не сам продукт, а правильные настройки.
- Создайте отдельную виртуальную машину, например
Sandbox-Windows. Для обычной проверки Windows-программы хватит ориентира: 2 ядра CPU, 4 ГБ RAM и динамический диск на 40–80 ГБ. - Установите чистую Windows или Linux. Не входите в личные аккаунты, не подключайте облачные хранилища, не открывайте основную почту и банковские сайты внутри этой машины.
- Установите базовые инструменты наблюдения до создания чистого снимка: Process Explorer, Process Monitor, TCPView, Autoruns из Sysinternals. Для сетевого анализа можно добавить Wireshark, если умеете им пользоваться.
- Создайте снимок с названием вроде
clean-with-tools. К этому снимку вы будете возвращаться перед каждой новой проверкой. - Отключите общие папки, общий буфер обмена, drag-and-drop и автоматическое подключение USB. Если нужно передать файл в виртуальную машину, используйте ISO-образ или временно подключите одну папку только с проверяемым файлом, а потом сразу отключите её.
- Настройте сеть. Самый безопасный вариант —
Not attached, то есть без сети. Если интернет нужен, используйте NAT, но помните: программа сможет выходить наружу. Bridged-режим для подозрительных файлов лучше не использовать, потому что машина окажется в вашей локальной сети. - Перед запуском образца вернитесь к снимку
clean-with-tools. Не тестируйте новый файл поверх старого. - Запускайте программу из отдельной папки внутри виртуальной машины. Если возможно, используйте обычную учётную запись, а не администратора. Если программа требует права администратора, разрешайте их только внутри виртуальной машины, не на основном компьютере.
- Наблюдайте 5–15 минут, затем перезагрузите виртуальную машину и проверьте автозагрузку. Некоторые программы ничего не делают сразу, но прописываются в запуск.
- После теста снова откатитесь к чистому снимку.
Не оставляйте заражённую виртуальную машину «на потом» без изоляции. Снимки тоже могут хранить вредоносные файлы. Если нужно сохранить образец для специалиста, выносите его отдельно, без общих папок и без рабочих данных.
Когда нужен отдельный компьютер
Отдельный ноутбук или ПК имеет смысл, если вы регулярно проверяете сомнительные программы или работаете с файлами, которые могут быть опаснее обычного рекламного установщика. Например, это может быть архив от неизвестного подрядчика, старый дистрибутив, файл из сомнительной рассылки или программа, которая просит установить драйвер.
Для такого варианта:
- используйте устройство без личных аккаунтов, почты, облаков и рабочих VPN;
- подключайте его к гостевой Wi-Fi-сети или отдельному роутеру;
- не подключайте рабочие сетевые диски;
- не вставляйте флешки, которые потом используете на основном компьютере;
- после рискованного теста проще всего переустановить систему или восстановить образ диска.
Это самый спокойный вариант для действительно опасных файлов. Даже если виртуальная машина хорошо изолирована, ошибка в настройках может стоить данных. Отдельное устройство уменьшает цену такой ошибки.
Что смотреть во время проверки
Не нужно быть экспертом по malware analysis, чтобы заметить явные красные флаги. Достаточно смотреть на несколько мест.


