Instalowanie aplikacji SANDBOX/Usuwanie Danych

Witam, czy istnieje możliwość odseparowania aplikacji (podczas instalacji oraz podczas faktycznego odpalenia aplikacji (po instalacji)) w taki sposób żeby dane aplikacji, nie modyfikowały danych w rejestrze (sandbox czy coś takiego) oraz nie tworzyła jakiś plików i innych danych, które później usunąć. Chodzi mi o coś co działało by mniej więcej jak virtual box, tak bym miał możliwość pełnego cofnięcia/przywrócenie do wcześniej zdefiniowanego punktu.

Oraz Czy istnieje program który może sprawdzić co instalka instaluje/modyfikuje/napisuje/zmienia itp. coś w systemie, np. odpalamy instalke w czymś jak sanbox, i sprawdzamy/analizujemy co aplikacja wysyła do systemu.

Najbezpieczniej coś takiego analizować pod VMką, ale i są konwencjonalne rozwiązania typu Sandboxie, z tego co pamiętam jakiś API monitor ma wbudowany.

W virtualboxie sobie zainstaluj jakiś system Mini XP, albo legalny jak masz hehe i tam testuj.
Albo pobierz sandboxie http://www.sandboxie.com/ i uruchom instalator w piaskownicy, zainstaluje się program w specjalnym katalogu sanboxie, na dysku C, z ikonką sandboxie raczej i tam masz odseparowane to od systemu, możesz odpalać w sandboxie taki program.
A tak to nie wiem, czy są jakieś programy, które monitorują dokładnie co dana aplikacja robi, czy tworzy jakieś pliki gdzieś. Comodo Internet Security jakbyś ustawił w trybie paranoika, to pewnie by pytał przy instalacji i przy odpaleniu o wszystko, czy zezwolić na dodanie wpisu w rejestrze i inne rzeczy, tyle, że jak program wpisów dodaje dużo to będzie komunikatów masakrycznie dużo. Comodo też ma tryb sandbox z różnymi ustawieniami, ale nie wiem, czy ta piaskownica comodo ma jakieś funkcje pokazujące użytkownikowi co zrobiła aplikacja.
No i jeszcze Wireshark masz, sniffer, włączasz go przy wyłączonych innych aplikacjach korzystających z netu i analizujesz co program wysyła i gdzie.
Może ktoś inny pomoże ci bardziej.

Używanie takich tooli jak Comodo, czy Wireshark to bezsens. Są gotowe monitory API, szczególnie dla VMek które pokażą nawet najmniejsze pierdnięcie.

@Demonical Monk
zarzuć tu konkretami, masz na myśli pobranie VMWare i zainstalowanie tam windy i to wszystko? czy może trzeba dodatkowo coś pobrać do tego, wtyczkę do VMWare jakąś lub program?

Najbardziej kompetentny byłby w tej kwestii chyba @0x200x20. Mógłbyś wypowiedzieć się coś na temat profesjonalnych analiz?
Ja bym wewnątrz VMki postawił jakiegoś Process Monitora i trochę innego badziewia, ale pewnie są jakieś specjalizowane toole obejmujące teren całej VMki, które cięzej oszukać...

Oraz Czy istnieje program który może sprawdzić co instalka instaluje/modyfikuje/napisuje/zmienia itp. coś w systemie, np. odpalamy instalke w czymś jak sanbox, i sprawdzamy/analizujemy co aplikacja wysyła do systemu.

Na VMwarze można tak: zrobic snapshoty przed i po uruchomieniu. Nastepnie z hosta podmontowac sobie dyski z dwoch snapshotow i zrobic diffa.
Mozesz tez poszukac toola do porownywania snapshotow (np. http://www.woodmann.com/collaborative/tools/index.php/Compare_VMware_Snapshots).
Mozna też użyć VMware Thinstall. Działa na takej zasadzie: sprawdza jak wygląda system przed instalacją aplikacji; potem sprawdza jak wygląda system po instalacji. Po tym jest w stanie wygenerować przenośnego exeka a przy okazji pokazuje uzytkownikowi co zmienilo sie w systemie.
Jeżeli chcesz tylko monitorować co robi aplikacja na bieżąco to możesz użyć process monitora na którejś VM.

@up
o widzę żeś obeznany, swoją drogą może też mi się to przyda kiedyś. A ten process monitor, łatwo w nim ustawić jakieś filtry, by tylko monitorowało jedną konkretną aplikację? bo domyślnie to on spam pokazuje explorer.exe i tak dalej i nie idzie się połapać, czy program o nazwie Program.exe utworzył na dysku jakieś pliki, czy nie, bo spam tam jest okropny, a chciałbym zobaczyć tylko listę dla tej konkretnej aplikacji Program.exe i zobaczyć ładnie napisany spis typu:
utworzono plik - c:/wirus.exe
uruchomiono plik - c:/wirus.exe
(wirus.exe) utworzono wpis w rejestr -

i tak dalej. Rozumiesz na pewno. Po prostu chcę, by wyniki były przestawione w prostej formie dla NEWBIE, czyli żeby ładnie ofiltrowało rzeczy, które mnie nie powinny interesować. Da radę tak zrobić?

Tak - można filtrować po różnych kryteriach jak nazwa aplikacji, operacje itd. Na google jest troche tutoriali jak używać tego toola. np. http://blogs.technet.com/b/appv/archive/2008/01/24/process-monitor-hands-on-labs-and-examples.aspx