Druckversion des Themas

Geschrieben von: subset 17.05.2008, 23:23

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.



Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.



Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“



In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.



Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.




Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).



Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.



Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.



Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini




Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.



Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.



Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.



C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

Geschrieben von: diddsen 18.05.2008, 00:11

kann nur sagen --- mega beitrag wieder

nur ein klitzekleines problem:
At this time, Sandboxie does not support Windows Vista 64-bit
für mich also unbrauchbar

Geschrieben von: subset 18.05.2008, 02:37

Danke, danke

Ja, die Systemvoraussetzungen, die vergesse ich manchmal...
Also Sandboxie läuft mit Windows 2000, XP, 2003 und Vista, jeweils 32-bit.
Zusätzlich noch mit XP 64-bit wenn man das Update KB932596 deinstalliert.

Mit Vista 64-bit läuft es wegen des PatchGuard nicht, der auch schon die AV Hersteller gesammelt auf die Barrikaden brachte.
Ausführlich hier nachzulesen:
http://www.sandboxie.com/index.php?WindowsVista64

MfG

Geschrieben von: Caimbeul 05.06.2008, 11:09

Ich hätte noch ein paar allgemeine Fragen zu Sandboxie.

Wie sicher ist das System? Sprich, was passiert wenn jemand einen Malwaredatei mit Sandboxie ausführt? Findet sich alles in der Sandbox oder im RegHive oder doch auf dem System? Kann man so Malware "untersuchen", kann Malware eine Sandboxie-Ausführung erkennen und "schlummern"?

Wie lese ich am besten das Reghive aus? Bisher hab ich das in einen seperaten Schlüssel in die Registry importiert angeschaut und dann gelöscht, aber irgendwie erscheint mir das nicht so sinnvoll.

Geschrieben von: rolarocka 05.06.2008, 11:28

Du kannst Malware ausführen und es bleibt in Sandboxie "gefangen". Die Malware hat dabei nur eingeschränkte rechte also wirst auch kein rootkit installieren können. Sandboxie selber erkennt nichts. Es lässt halt alles in einer isolierten Umgebung stattfinden die du dann manuell oder automatisch problemlos löschen kannst. Dabei wird alles gelöscht, dateien und reghive egal was. Ich benutze Sandboxie fürs browsen und um neue Software auszuprobieren. Dadurch wird das eigentliche System nicht "verschmutzt" und alles bleibt flott wie beim ersten Tag.

Geschrieben von: Caimbeul 05.06.2008, 11:34

Klingt gut, ich hab nämlich öfters meine Eltern die mir ihre "tolle neue kostenlose Sharewaresoftware" zeigen wollen die sie runtergeladen haben und da bin ich meist skeptisch

Geschrieben von: rolarocka 05.06.2008, 11:42

Mit Sandboxie wirst du viel risikofreudiger werden hehe.

Geschrieben von: Caimbeul 05.06.2008, 11:50

Ich nicht meine Eltern und das ist das wichtige Bischen spielen muss erlaubt sein, ich hab ja zur not nen Image. Wobei die Frage ist ob VM-Ware nicht ggf. die Sichere alternative wäre.

Geschrieben von: Heike 05.06.2008, 12:00

Es gibt einige Malware die eine Detection für solche Sachen haben. Wird so etwas entdeckt, verhält sie sich anders.
Sandboxie ist sicherlich ok, um "saubere" Sachen zu testen um sich sein System nicht zu zumüllen, zu mehr würde ich es in keinem Fall benutzen. (das gilt ähnlich für alle anderen Sachen, die ein virtuelles System erstellen)

Ein saubere Image ist wichtig.

Geschrieben von: Caimbeul 05.06.2008, 16:15

Ok, ich werd das dann wie gewohnt nur auf meine Testsystem machen und für Nummer sicher weitherhin auf vt vertrauen.

Danke für Eure Einschätzungen.

Geschrieben von: subset 05.06.2008, 16:59

Hi,

Sandboxie ist wie ein Zoo, natürlich kann auch aus einem Zoo mal etwas ausbrechen, aber dann sind bei mir immer noch Avira und Online Armor da.
Die Wahrscheinlichkeit ist aber sehr gering, dass etwas rauskommt, bei mir war das noch nicht der Fall.
Vor allem auch weil die Sandbox beim Schließen des Browsers automatisch gelöscht wird.

Diese ganzen Web AV Bremsen können mir somit gestohlen bleiben, Browser mit Sandboxie laufen lassen und vom AV nur der Datei Scanner in Echtzeit und gut is.

Den Gedanken Malware damit zu testen, halte ich für abwegig.
Wieder der Zoo Vergleich: wie soll das funktionieren, das Tierchen ist ja eingesperrt, kann sich nicht frei entfalten.
Da nehme ich lieber Returnil oder FD-ISR, da kann sich Malware frei entfalten und man bekommt brauchbarere Ergebnisse als in einer VM.

MfG

Geschrieben von: Caimbeul 05.06.2008, 17:32

Hast Du für eins der beiden Produkte zufällig ein how-to, auch auf Englisch als Link parat?

Geschrieben von: subset 05.06.2008, 20:58

Hi,

solche Programme sind meist sehr simple in der Handhabung, trotzdem verwendet sie niemand...

Sehr wichtig bei Returnil:
- es schützt nur die Systempartition.
Sind also mehrere Partitionen vorhanden, kann ein Schadprogramm möglicherweise überspringen.
Auf dem Testrechner habe ich deswegen nur eine Partition.
- beim Neustart geht jede Veränderung der Systempartition verloren.
Programme und Malware, die einen Neustart brauchen, sind also mit Returnil nicht zu testen.

Für ein komplettes Rollback beim Neustart habe ich Returnil mit der "Use memory caching for the Virtual System Engine" Option installiert.
Damit kann man dann auch die Erstellung eines virtuellen Laufwerks bei der Installation ignorieren.
D. h. aber: ich kann auf der Systempartition keine Ordner mit dem Filemanager ausnehmen.
Die kostenlose Version (Returnil Virtual System Personal Edition) bietet nur die memory caching Option.
Die Premium Version bietet auch die "Use disk caching for the Virtual System Engine" Option, da kann man dann mit dem Filemanager Ordner ausnehmen.
Anmerkung... die aktuelle Premium Version 2.0.0.5007 funktioniert mit dem giveawayoftheday.com Schlüssel (vorhanden)

Zur Handhabung selbst gibt es nur zu sagen: für den Schutz "Session Lock" aktivieren, mehr is da nicht.

Das offizielle Forum ist hier: http://www.castlecops.com/f288-Returnil_Virtual_System_Release.html
Coldmoon ist aber auch oft bei Wilders.

Mit FD-ISR (FirstDefense-Immediate System Recovery) ist das eine andere Sache...
Die Version, die ich benutze, gibt es nicht mehr.
Die ist von Raxco (Version 3.20.202), XP und Vista kompatibel und man kann damit bis zu zehn Snapshots machen, auch mit verschiedenen OS, also z. B. fünf mit Vista und fünf mit XP.

FD-ISR wird inzwischen von Horizon DataSys vertrieben und heißt FirstDefense-ISR Rescue.
http://www.horizondatasys.com/253715.ihtml

Das Problem damit ist, man kann nur einen Snapshot machen, für die Wiederherstellung des Systems.
Das ist natürlich witzlos im Vergleich zu meiner Version, ich habe derzeit fünf verschiedene Snapshots mit Comodo v3, EQSecure, KIS2009, Online Armor und Twister AV.
Beim Booten kann ich wie mit einem Bootmanager zwischen den Snapshots wählen und jeden Snapshot ähnlich wie mit Returnil auch einfrieren.
Das Praktische ist aber natürlich, dass man über mehrere Neustarts hinweg die Veränderungen verfolgen kann.
Und im Notfall (Bluescreen, Absturz) kann man einfach einen anderen Snapshot booten und den Verseuchten löschen.

Aktuelle Alternativen für das alte FD-ISR wären z. B. EAZ-FIX Professional (EAZ Solution), GoBack (Symantec) , Rollback Rx (Horizon DataSys).

MfG

Geschrieben von: Caimbeul 05.06.2008, 21:15

Sehr lieb von Dir da les ich mich morgen mal in Ruhe ein wenn ich aus der Uni zurück bin.

Geschrieben von: drei-finger-joe 19.06.2008, 00:26

Mein erster Beitrag in diesem Form: Hallo allerseits!

Hat jemand die oben stehende Sandboxie-Einstellung mit Firefox 3.0 ausprobiert? Bei mir funktioniert es nicht und ich konnte die zuständige(n) Datei(en) bisher nicht ermitteln - vielleicht muß man auch zwei oder mehr Dateien in Sandboxie eintragen. Wenn man den Profile-Ordner einträgt funktioniert es.

Gruß

Geschrieben von: subset 19.06.2008, 02:38

Hi und willkommen hier.

Hab zwar schon den 3er in Verwendung, aber das mit den Bookmarks ist mir noch gar nicht aufgefallen.
Aber jetzt... die neuen Dateien.

Bookmarks:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\places.sqlite
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\places.sqlite-journal

Chronik:
Die history.dat wird nicht mehr verwendet, die Chronik befindet sich bei Firefox 3 mit den Bookmarks in der places.sqlite (siehe oben).

Cookies:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\cookies.sqlite
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\permissions.sqlite

Download-Chronik
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\downloads.sqlite

Passwörter:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\key3.db
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\signons3.txt

Seiteneinstellungen: (z.B. Schriftgröße)
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\content-prefs.sqlite

Weitere auf Bestellung

MfG

Geschrieben von: drei-finger-joe 19.06.2008, 10:59

Hi subset,

danke für deine Hilfe! Wie hast du das so schnell herausgefunden? Durch hartnäckiges Ausprobieren (bin ich zu ungeduldig?) oder gibt es eine Dokumentation zu den Dateien?

Gruß

Geschrieben von: subset 19.06.2008, 14:21

Schnell
Schnell nicht, aber durch herumschnüffeln in den richten Seiten, wie z.B.
http://www.firefox-browser.de/wiki/Hauptseite
http://wiki.mozilla.org
http://kb.mozillazine.org/
http://developer.mozilla.org/
http://www.mozdev.org/

MfG

Geschrieben von: drei-finger-joe 19.06.2008, 15:05

Jau: http://kb.mozillazine.org/Bookmarks.html ist z.B. genau die richtige Adresse für das Bookmark-"Problem". Man muß es nur wissen!

Gruß

Geschrieben von: blubber 13.07.2008, 19:11

Was muss ich anstellen, damit die kleine Sandbox nach einem Download nachfragt, ob ich die Datei Wiederherstellen möchte oder nicht?!? (also aus der Sandbox rauslasse)

Geschrieben von: subset 13.07.2008, 20:06

Äh

Den ersten Post vom Thread lesen, ab Die Konfiguration

MfG

Geschrieben von: blubber 15.07.2008, 18:09

Das hab ich.

Jedoch möchte ich das die Downloads auf dem Desktop landen, und automatisches "rauslassen" möchte ich auch nicht. Und da die Nachfrage, ob ich Datei xy aus der Sandbox rauslassen möchte nicht kommt, dachte ich, ich frag mal hier. 

Geschrieben von: subset 15.07.2008, 18:39

Naja,

dann muss etwas anderes Schuld sein

Hast du in dem Fenster etwas aktiviert?



Wenn ja, dann könnte das deine anderen Einstellungen überlagern.

MfG

Geschrieben von: rolarocka 15.07.2008, 22:52

@blubber Du hast was bei "Ressource Access" - "File Access" was verstellt. Die standard Konfiguration von Sandboxie fragt immer nach ob du das heruntergeladene "recovern" willst.
Oder du hast es hier abgeklickt:

dann komm die abfrage auch nicht mehr.

Geschrieben von: rolarocka 15.07.2008, 22:59

Wofür ist eigentlich "read-only Access" in den Einstellungen? Ich dachte Sandboxie ist aus prinzip nur read only und schreibt die veränderungen dann alle innerhalb der Sandbox.

Geschrieben von: subset 15.07.2008, 23:56

Das funktioniert etwas anders.
Sandboxie kopiert alle Dateien die ein Programm X anfordert in die Sandbox hinein.
Diese Dateien können dann normal durch das Programm X in der Sandbox verändert werden.
Mit "read-only Access" wird die Veränderung verboten, nur der Lesezugriff auf die Dateien ist somit für Programm X erlaubt.

MfG

Geschrieben von: Peter 123 19.07.2008, 06:08

Zunächst ein Hallo an alle und ein großes Dankeschön an subset für seine ausführliche und informative Beschreibung von Sandboxie. Ich verwende sie zwar schon seit mehreren Monaten, bisher aber eher intuitiv. Jetzt werde ich das Ganze einmal anhand der Konfigurationshinweise von subset nachvollziehen. Einiges an dem (an sich von mir sehr geschätzten) Programm gibt mir nämlich noch Rätsel auf.

Gleich einmal eine Frage zum Beitrag von "rolarocka":

Ich stelle das entsprechende Fenster von Sandboxie zunächst hier nochmals in der deutschen Fassung herein. Damit wird das Ganze ja doch verständlicher:



rolarocka, ich nehme an, mit "abklicken" meinst du das Entfernen des Hakens bei "Sofortige Wiederherstellung aktivieren". Das stimmt mit meinen eigenen Erfahrungen überein: Bei mir ist der Haken nicht entfernt, und es kommt jedes Mal die Abfrage (was ich auch wünsche).

Mir ist aber die Funktionsweise dieser Einstellung sprachlich-logisch nicht klar:
Der Haken ist gesetzt, die "Sofortige Wiederherstellung" also aktiviert, aber dennoch wird zuvor nachgefragt. Umgekehrt: Wird der Haken entfernt (= "Sofortige Wiederherstellung" nicht aktiviert), dann landet der Download anscheinend (dennoch) sofort und ohne Nachfrage am Desktop?? (Ich habe es jetzt nicht ausprobiert).

Habe ich da einen Denkfehler, oder ist das bei Sandboxie so verwirrend formuliert??

Geschrieben von: rolarocka 19.07.2008, 10:04

Mit Sandboxie landet erst einmal alles in der Sandbox. Hast du diese Option (Standardeinstellung) fragt Sandboxie ob du das heruntergeladene in das eigentliche System "wiederherstellen" willst. Wiederherstellen ist in der Tat etwas irreführend denn Sandboxie verschiebt das ganze nur und stellt nichts wieder her. Wenn du "sofortige Wiederherstellung" deaktiviert hast dann müsste alles wie gesagt in der Sandbox landen und auch dort bleiben. Ausser du hast für das jeweilige Programm unter "ressource access - file access" was anderes eingestellt, dann stellt er es auch wieder her auch wenn du "sofortige Wiederherstellung" deaktiviert hast.

Geschrieben von: Peter 123 19.07.2008, 11:57

Danke, rolarocka. Ein bisschen besser blicke ich durch.

Das halte ich ja für einen Hauptmangel von Sandboxie: Die teilweise merkwürdigen Formulierungen, schon im englischen Original, zu denen dann leider in der deutschen Übersetzung noch ein paar weitere dazukommen. Das wurde mir jetzt bewusst mit dem, was du zum Begriff "Recovery" geschrieben hast.

Es geht in der Tat nicht wirklich darum, etwas "wiederherzustellen", sondern vielmehr darum, Inhalte aus der Sandbox (genauer: aus in der Sandbox angelegten Ordnerkopien) in die Originalordner auf der Festplatte zu verschieben (wie du es formuliert hast), oder - noch plastischer ausgedrückt - diese Inhalte (Dateien) zu "retten", sodass sie mit dem Leeren/Schließen der Sandbox nicht verloren gehen. (Laut Wörterbuch heißt "recovery" ja unter anderem sogar "Rettung"!)

Und für dieses Wiederherstellen/Verschieben/Retten bietet Sandboxie unter "Sandboxeinstellungen" zwei Möglichkeiten an:

1. Etwas, das (völlig irreführenderweise) als "Quick Recovery" ("Schnelle Wiederherstellung") bezeichnet wird:



Ich schreibe "irreführenderweise", denn im obigen Fenster geht es eigentlich nicht um irgendeine "schnelle" Wiederherstellung:
Zunächst einmal ist im Text unter der Überschrift - entgegen deren Wortlaut - nicht nur von der (manuell zu startenden) "Schnellen Wiederherstellung" die Rede, sondern auch von der (sozusagen "späten") Wiederherstellungsmöglichkeit erst beim Leeren der Sandbox. In diesem Fenster werden also zwei Fälle behandelt, von denen nur einer die "Schnelle Wiederherstellung" ist. Aber auch bei der manuell gestarteten Wiederherstellung (die ich ja jederzeit vornehmen kann), hätte man das "quick" aus Gründen der Verständlichkeit besser weggelassen.

Was im Fenster "Quick Recovery" behandelt wird, ist nichts anderes als sozusagen die "regular recovery" ("reguläre Wiederherstellung/Verschiebung/Rettung") - vorgenommen entweder beim Leeren der Sandbox oder manuell.

Und der Text dazu sollte eigentlich (schon im Englischen und dann auch in der Übersetzung) ungefähr so lauten (wenn ich das von subset beschriebene Prinzip von Sandboxie richtig verstanden habe):

"Bevor eine Sandbox geleert wird oder die Wiederherstellung ([besser:] das Verschieben/die Rettung) manuell gestartet wird, werden die Sandbox-Kopien folgender Ordner auf wiederherzustellende ([besser:] zu verschiebende / zu rettende) Inhalte geprüft und diese Inhalte gegebenenfalls zur Auswahl angezeigt:

... (dann käme wieder die Liste mit den Ordnern)"

2. Die andere Wiederherstellung ("Immediate Recovery" / "Sofortige Wiederherstellung") wäre damit schon terminologisch viel klarer von der ersten Variante unterscheidbar, weil es das Wort "quick"/"schnell" in Variante 1 gar nicht gäbe.

Das betreffende Fenster sieht derzeit so aus:



Und hier sollte der Begleittext besser wohl ungefähr wie folgt lauten:

"Die sofortige Wiederherstellung ([besser:] sofortige Verschiebung / sofortige Rettung) ermöglicht das Wiederherstellen (Verschieben/Retten) von Sandbox-Inhalten, sobald diese Inhalte in der Sandbox anfallen."

Das Wort "ermöglicht" erscheint mir deshalb wichtig, weil ja auch bei dieser Sofort-Option die Verschiebung nicht automatisch erfolgt, sondern prinzipiell erst dann, wenn man die entsprechende Nachfrage bestätigt hat (Ausnahme: andere Einstellungen unter "Ressource Access" = "Ressourcenzugriff") (siehe oben die Diskussion blubber und rolarocka).

So, ich habe das einmal zusammengeschrieben, weil es vielleicht auch für andere hilfreich ist, die sich - so wie ich - mit dem Verständnis der Sandboxie schwertun. Außerdem waren die bisherigen Beiträge in diesem Thread doch noch stark an der englischen Version von Sandboxie orientiert. Die deutsche gibt es ja noch nicht lange.

Subset (und alle anderen Expert/innen für Sandboxie) mögen mich bitte korrigieren, wenn ich irgendwo Unsinn geschrieben haben sollte.

Geschrieben von: rolarocka 19.07.2008, 12:59

Wenn man sich überlegt warum der entwickler das Recovery nennt und nicht anders ist es eigentlich ganz logisch. Sandboxie wird dazu benutzt um alles vom eigentlichen system abzuschotten. Also alles was in eine Sandbox kommt ist eigentlich auch restlos verloren und muss auf wunsch "wiederhergestellt" werden.

Geschrieben von: subset 19.07.2008, 16:19

Die englische Version mit ihren Ausdrücken ist allein die Angelegenheit von Ronen Tzur.
Die ursprüngliche deutsche Übersetzung war von Brummel und meiner Meinung nach verständlicher als die finale Version jetzt.
Bloß die hat Ronen Tzur nicht gefallen und er hat Teile der Ursprünglichen mit Übersetzungstools "überarbeitet".
Die ganzen Fehler galt es dann wieder zu korrigieren und wegen einiger eigenwilliger Übersetzungen zu feilschen.
Nachzulesen hier: http://www.sandboxie.com/phpbb/viewtopic.php?t=3386

Du kannst aber natürlich eine neue Übersetzung machen und Ronen Tzur davon überzeugen, dass deine besser ist als die Jetzige.

MfG

Geschrieben von: Peter 123 19.07.2008, 20:15

Für eine solche Überzeugungsarbeit reichen meine Englisch-Kenntnisse nicht, und ich bin auch mit den Details von Sandboxie zu wenig vertraut, um eine ausgereifte Übersetzungsalternative bieten zu können. Aber vielleicht lassen sich hier ein paar (für mich) unklare Punkte etwas verdeutlichen.

Zum Beispiel die Sache mit dem Menüpunkt "Internetzugriff" ("Internet Access") unter "Ressourcenzugriff" ("Resource Access"):



subset, du schreibst dazu in deinem ersten Beitrag:



- Ich habe unter "Internetzugriff" gar nichts eingetragen, also nicht einmal meinen Browser (Firefox). Dennoch kann ich ihn problemlos in der Sandbox benützen, ebenso wie andere Anwendungen; zum Beispiel "Adobe", wenn ich (in der Sandbox) eine pdf-Datei-öffnen will. Worin liegt dann eigentlich der Unterschied zwischen Eintragung und Nicht-Eintragung eines Programms unter "Internetzugriff"? Geht es da nur um das Nach-Hause-Telefonieren zum Beispiel zwecks Vornahme einer Produktaktualisierung?

- Und auch hier ist mir wieder einmal der Begleittext nicht klar (weder der englische noch der deutsche). Da heißt es:

"Wird dieses Feature aktiviert, haben in diese Sandbox installierte oder heruntergeladene Programme niemals Zugriff auf das Internet, selbst dann nicht, wenn ihr Name auf der Liste steht."

Erstens: Was ist mit der Formulierung gemeint "wird dieses Feature aktiviert ..." ("when this feature is enabled ...")? Immerhin gibt es darüber vier Schaltflächen mit ganz unterschiedlichen Funktionen. Wo muss ich da klicken, um etwas zu aktivieren? Und welches Feature ist überhaupt gemeint?

Zweitens: Es heißt dann, bei Aktivierung des Features hätten die Programme niemals Zugriff auf das Internet, "selbst dann nicht, wenn ihr Name auf der Liste steht" ("even if they match the program name specified above"). Umgekehrt schließe ich aber aus deiner Erläuterung im ersten Beitrag, dass Programme, die in der Liste eingetragen sind, sehr wohl nach Hause telefonieren (dürfen), also jedenfalls Internetzugriff haben. Und das wäre ja auch plausibel; und so steht es ja auch im Fenster, gleich unter der Überschrift. Aber das, was unter den Schaltflächen steht, drückt dann genau das Gegenteil aus.

Geschrieben von: subset 19.07.2008, 22:40

Eigentlich geht es um Sicherheit:
- Ist das Feld frei, dann haben alle Anwendungen, die in dieser Sandbox laufen, Zugriff auf das Internet.
Das ist sehr unsicher, es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken.
- Steht da nur firefox.exe, dann darf auch nur der Firefox Browser Daten ins Internet schicken.
Das ist viel sicherer, da sonst keine Anwendung aus der Sandbox heraus ins Internet senden darf.

Aus Sicherheitsgründen sollte man also hier nur die tatsächlich notwendigen Programme für diese Sandbox eintragen, die unbedingt einen Interzugriff benötigen.
Bei mir steht da nur firefox.exe.


Gemeint ist das Feature, das den Zugriff von Anwendungen auf das Internet festlegt.

Name hinzufügen > den Namen einer Anwendung selbst eingeben, z.B. iexplore.exe
Datei hinzufügen > den Pfad zur Anwendung wählen
Alle verweigern > ein Platzhalter zum Verweigern für alle Anwendungen wird gesetzt
Entfernen > alle Einträge löschen (= allen Anwendungen Internetzugriff erlauben)


Es geht hier aber nur um "in diese Sandbox installierte oder heruntergeladene Programme", also nicht um die Programme, die auf deinem echten System installiert sind.

Ein Beispiel: browser.exe und pdf.exe sind beim Internetzugriff eingetragen.
- Sind beide auf deinem echten System installiert, dann haben auch beide aus der Sandbox heraus Zugriff auf das Internet.
- Ist die browser.exe auf deinem echten System installiert und du lädst die pdf.exe in die Sandbox herunter, installierst und startest sie, dann hat diese pdf.exe keinen Zugriff auf das Internet.

MfG

Geschrieben von: Peter 123 20.07.2008, 00:32

Ich fürchte, ich habe es noch immer nicht wirklich verstanden. Aber ich lasse es mal auf sich beruhen bzw. werde es später noch einmal in Ruhe durchgehen.

Ein Punkt hat mich zunächst völlig verwirrt:

Daraus schließe ich:
Wenn keine Anwendung im Feld eingetragen ist, dann haben alle Anwendungen Zugriff auf das Internet.

Und ich hatte bisher immer gedacht, es wäre umgekehrt: Wenn nichts eingetragen ist, dann hat auch nichts Zugriff!!! So habe ich bisher den Satz verstanden, der über dem Feld steht:

"Wenn angegeben, die nachfolgend aufgelisteten Programme haben als einziges Zugriff auf das Internet."
"If specified, the following programs will be the only programs in the sandbox that can access the internet."

Jetzt - nach längerem Überlegen und "Über-5-Ecken-Denken" - ist mir klar, wie dieses Sandboxie-Fenster offenbar gemeint ist. Eigentlich müsste dort in etwa stehen:

"In der Standardeinstellung haben alle Anwendungen, die in Sandboxie laufen, Zugriff auf das Internet. Wenn Sie aber wollen, dass bestimmte Programme als einzige Zugriff auf das Internet haben, tragen Sie diese in das folgende Feld ein."

Oder noch simpler und verständlicher wäre es, wenn Ronen Tzur im Fenster "Internetzugriff" zwei gleichwertige Optionen vorgesehen hätte, ungefähr so:

"Welche Anwendungen sollen Zugriff auf das Internet haben?
a) alle [daneben ein Kästchen zum Anklicken]
b) nur die folgenden: .... [und dann das Feld, in das diese Anwendungen einzutragen sind]"

Manche Menschen haben das Talent, auch relativ simple Sachverhalte derartig zu komplizieren, dass sie damit Verwirrung hervorrufen. Spätestens jetzt zähle ich Ronen Tzur dazu.

subset, danke für deine geduldigen Auskünfte. Die haben mir jetzt zwar zur endgültigen Erkenntnis verholfen, dass Sandboxie - was die Verständlichkeit betrifft - kein gutes Programm ist. Andererseits aber weiß ich jetzt dank deiner Erklärungen, dass ich aus Sicherheitsgründen schleunigst firefox.exe (+ opera.exe) in dieses ominöse Feld eintragen sollte. Das werde ich dann jetzt gleich einmal machen.

Geschrieben von: subset 20.07.2008, 11:31

Sandboxie ist eher so ein Ein-Mann-Unternehmen und Ronen Tzur ist wohl in erster Linie Programmierer/Entwickler.
Da erwartest du doch kein leicht verständliches Programm, oder?


Das betrifft aber nur Programme, die auf das Internet Zugriff haben.

Zusätzlich kannst du noch über einen Befehl in der Sandboxie.ini im Verzeichnis C:\WINDOWS\ verhindern, dass Programme überhaupt in der Sandbox ausgeführt werden.
Der Beginn deiner Sandboxie.ini könnte dann so aussehen:
----------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,firefox.exe
----------------------------------------------------------------

• Die erste Zeile ist für den Internetzugriff - das darf hier nur Firefox
• Die zweite Zeile beschränkt die Prozesse, die überhaupt in der Sandbox ausgeführt werden dürfen. In diesem Fall sind das nur Sandboxie Prozesse (Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe) und Firefox. Jedes andere (Schad-) Programm wird in der Sandbox 'abgewürgt'. Naturlich kannst du diese Angaben erweitern, damit andere Programme auch starten dürfen.

Die meisten erfahrenen Benutzer editieren ohnehin die Sandboxie.ini direkt, auch (wie bei diesem Beispiel) mit Befehlen, die über das Einstellungsfenster gar nicht zugänglich sind.

MfG

Geschrieben von: Peter 123 20.07.2008, 16:48

Ich hätte in dem Zusammenhang zunächst eine prinzipielle Verständnisfrage:

Ich bin ja bisher immer der Meinung gewesen: Eine Anwendung, die in der Sandbox läuft, kann (auf meinem Computer) keinen Schaden anrichten (wenn man von dem Fall absieht, dass einmal ein Schädling aus der Sandbox ausbrechen könnte).

Dann hast du aber geschrieben (bezogen auf das Feld im Menüpunkt "Internetzugriff"):

Heißt das also: Die Sicherheit des eigenen Computers wird nicht beeinträchtigt, wenn Programme aus der Sandbox heraus Zugriff auf das Internet haben; die Beschränkungen des Internetzugriffs dienen aber dem Schutz anderer Computer vor Schädlingen? Ich schließe das aus deinem Satz: "es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken".

Meine Frage hat folgenden Grund:
Ich habe mir jetzt bei "Internetzugriff" folgende 6 Dateien eingetragen (also mehr als du):

1. drei Browser (Firefox, Opera, Internet Explorer): firefox.exe, opera.exe, iexplore.exe
(Internet Explorer verwende ich zwar so gut wie nie - aber ich denke mir: wenn ich es tue, dann besser mit Sandbox als ohne)

2. drei Messengerprogramme (Skype, Windows Live Messenger, Yahoo Messenger):
skype.exe, msnmsgr.exe, yahoomessenger.exe
Auch hier ist meine Überlegung: Messengerverwendung aus Sicherheitsgründen lieber mit Sandbox als ohne.

Heißt das jetzt z.B: Die Verwendung des Windows Live Messengers ist für mich zwar sicher (weil ich ihn ja in der Sandbox verwende); wohl könnte aber ein Gesprächspartner einen Schädling bekommen, der sich in meinem Messenger eingenistet haben könnte und aus der Sandbox heraus ins Internet verschickt wird? (Während bei mir dieser Schädling mit dem Leeren der Sandbox ja wieder verschwinden würde.)

__________________________________

Und ähnlich meine Frage zu den weiteren Einträgen, die du in der Sandboxie.ini empfiehlst:



Inwiefern ist es denn ein Sicherheitsrisiko, wenn Prozesse bzw. Programme in der Sandbox ausgeführt werden?
Umgekehrt gefragt: Worin besteht das Sicherheitsrisiko, wenn ich unter Sandboxie.ini keine solchen Beschränkungen festlege, wie du sie in deinem Beitrag empfiehlst?

Der Hintergrund meiner Frage ist natürlich folgender: Je mehr Restriktionen man vornimmt, desto schwieriger (bzw. überhaupt unmöglich) wird die Benutzung von Computer bzw. Internet (via Sandboxie).

Geschrieben von: subset 20.07.2008, 19:41

Nehmen wir an, über den Browser wird ein Trojaner in die Sandbox heruntergeladen und gestartet.
Sandboxie selbst erkennt keine Trojaner, also ob der Browser Daten ins Internet schickt oder ein Trojaner ist Sandboxie "egal".
Ein Antivirenprogramm würde aber wahrscheinlich den Trojaner erkennen und eine Firewall das Senden der Daten melden.
Wie auch immer, da der Trojaner in der Sandbox gestartet wurde, landen auch alle weiteren Dateien, die der Trojaner eventuell nachläd, in der Sandbox und gehen somit mit dem Leeren dieser verloren.
Aber es besteht natürlich die Gefahr, dass der Trojaner bis dahin deine private Informationen ins Internet schickt, wenn du die Sandbox nicht richtig konfiguriert hast.
Die Sicherheit des eigenen Computers kann also sehr wohl beeinträchtigt werden, vor allem wenn du deine ClosedFilePath, OpenFilePath und ReadFilePath nicht richtig konfiguriert hast, deswegen habe ich die Anleitung "zur Browser Selbstreinigung" ja geschrieben.


Zur ersten Frage: je weniger Programme, desto weniger Risiko und warum soll man etwas erlauben, wenn man es mit einer Zeile in der Sandboxie.ini verbieten kann...

Zur zweiten Frage: Normal solltest du für jeden Browser und Messenger eine eigene Sandbox anlegen.

Am Beispiel Opera:

- Eine neue Sandbox erstellen



- Und dieser den Namen Opera geben



- Dann eine Verknüpfung erstellen

C:\Programme\Sandboxie\Start.exe /box:Opera C:\Programme\Opera\opera.exe

Fertig ist die Opera Sandbox und nun kann man diese auch nur für Opera entsprechend konfigurieren.

MfG

Geschrieben von: Peter 123 20.07.2008, 20:26

Danke, subset.

Das überzeugt mich jetzt :

---> Die Gefahr besteht also für mich, solange die Sandbox nicht geleert ist (und Verbindung mit dem Internet besteht)! Stimmt - ist eigentlich völlig plausibel!

Allerdings noch eine Zusatzfrage: Welche privaten Informationen von mir könnten das sein, solange der Trojaner nur in der Sandbox sitzt? Auf Informationen von der Festplatte dürfte er ja eigentlich keinen Zugriff haben. Was käme also in Frage? Z.B. Passwörter, die ich auf der Tastatur eintippe, während die Sandbox läuft?


Das muss ich mir anhand deiner Anleitung im ersten Beitrag noch genau ansehen. Wenn mir etwas unklar ist, werde ich hier wieder nachfragen.


Werde ich mir auch noch näher ansehen bzw. überlegen. Es wird halt alles so kompliziert und aufwendig, wenn man das System so umfangreich ausgestaltet.

Geschrieben von: subset 21.07.2008, 00:37

Theoretisch kann ein Trojaner auf die meisten privaten Informationen zugreifen, Sandboxie kopiert die benötigten Dateien ja in die Sandbox hinein.
Tut mir leid, aber ohne Zugriffsbeschränkungen auf das Internet und das Limitieren von Prozessen in der Sandbox wird enorm viel Sicherheit verschenkt.


Das war doch das Motto von unserem Altbundeskanzler Fred Sinowatz:
"Es ist alles sehr kompliziert,.."

MfG

Geschrieben von: Peter 123 21.07.2008, 03:30

Womit er Recht hatte ... Wenn der erst Sandboxie kennen würde ...


Hmm, dann werde ich doch das mit dem Limitieren der Prozesse auch noch in Angriff nehmen müssen.

Danke vorerst einmal für deine ausgiebige Hilfe. Ich melde mich höchstwahrscheinlich mit neuen Fragen wieder.

Geschrieben von: subset 21.07.2008, 13:30

Hi,

hier ein Grafik, wie man am Beispiel Opera eine neue Sandbox und den Desktoplink dazu aus dem Programm heraus erstellen kann.



MfG

Geschrieben von: Peter 123 21.07.2008, 21:18

Das ist total anschaulich dargestellt. Danke. Ich habe mir das für Opera soeben genau nach dieser Anleitung eingerichtet.

Ich werde diese neue Opera-Sandbox jetzt einmal probeweise ganz "streng" konfigurieren. Die Default-Sandbox (für Firefox usw.) würde ich zunächst einmal unverändert lassen.

Du hast für die Sandboxie.ini im Verzeichnis C:\WINDOWS\ aus Sicherheitsgründen folgende Einträge empfohlen (das war bezogen auf eine "strenge" Konfiguration einer Sandbox für Firefox):

Hieße das jetzt umgelegt auf meinen Fall:

"[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_SandboxOpera>,opera.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,opera.exe "

Die Einträge in schwarzer Schrift sind in meiner sandboxie.ini derzeit vorhanden, jenen in roter Schrift habe ich noch nicht vorgenommen. Wäre der dort richtig platziert (also in der dritten Zeile)? Und wie käme zum Ausdruck, dass sich diese "restricted"-Einträge nur auf die Opera-Sandbox und nicht auf die Default-Box beziehen sollen? Muss ich dafür noch etwas hinzufügen? Oder lassen sich diese Restriktionen nur für alle Sandboxen gemeinsam vornehmen?

Und gleich noch eine Frage:
Laut Hijackthis-Logfile laufen bei mir im Rahmen des Sandboxie-Programms auch noch die zwei folgenden Prozesse:
- SbieSvc.exe
- SbieCtrl.exe

Müssten die nicht auch in diese restricted-Liste aufgenommen werden?

Geschrieben von: subset 21.07.2008, 22:56

Der Versuch einer Erklärung anhand einer Sandboxie.ini (nur die relevanten Teile) mit zwei Sandboxen mit Namen FirefoxBox und OperaBox.

----------------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_FirefoxBox>,firefox.exe
ProcessGroup=<InternetAccess_OperaBox>,opera.exe
ProcessGroup=<restricted1>,firefox.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe
ProcessGroup=<restricted2>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[FirefoxBox]

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

[OperaBox]

ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

----------------------------------------------------------------------
Für die [GlobalSettings]
InternetAccess_ - und der exakte Name der Sandbox, also hier FirefoxBox und OperaBox für den Internetzugriff.
Rot - die Gruppe von Anwendungen, die in der FirefoxBox starten dürfen.
Blau - die Gruppe von Anwendungen, die in der OperaBox starten dürfen.

Für die Sandboxen [FirefoxBox] und [OperaBox]
Die restricted1 Gruppe der GlobalSettings gilt für die FirefoxBox.
Die restricted2 Gruppe der GlobalSettings gilt für die OperaBox.
Ist doch einfach und logisch, jede Anwendungsgruppe gehört zu einer Sandbox.

Was bedeuten nun diese ClosedFilePath/ClosedIpcPath/ClosedKeyPath=!<restricted1>,*
und ClosedFilePath/ClosedIpcPath/ClosedKeyPath=!<restricted2>,* Befehle?

ClosedFilePath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, haben auf Dateien außerhalb der Sandbox keinen Zugriff.

ClosedIpcPath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, dürfen keine Daten im Speicher austauschen.

ClosedKeyPath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, erhalten keine Daten aus der Registrierung.

Auf die FirefoxBox bezogen heißt das: nur die firefox.exe, Start.exe, SandboxieDcomLaunch.exe und SandboxieRpcSs.exe dürfen in der Sandbox laufen, Dateien anfordern usw.

Analog gilt das natürlich für die OperaBox und die restricted2 Gruppe.

Die Einstellungen entsprechen einem sehr hohen Sicherheitslevel, aber zumindest ClosedFilePath sollte man davon verwenden.


Du brauchst nur die Beschränkungen ProcessGroup=<restricted... aus der Sandbox rausnehmen und dann öfter mal das Sandboxie Fenster aufmachen



Wenn du SbieSvc.exe oder SbieCtrl.exe findest, dann kannst du sie mit in die Liste nehmen.
Normal laufen aber beide nur außerhalb der Sandbox.

MfG

Geschrieben von: X1-1970 21.07.2008, 23:01

Besten Dank, für dieses aufschlussreiche Thema!

Hab ich doch die letzten 3 Jahre mit einer völlig unsicheren Sandboxi meine Malware geöffnet....

ok, konnte sie dann zwar jedesmal löschen, aber sie hatte halt Internetzugriff
und scheinbar auch zu meinen restl. 750GB (Texte, Fotos un was man eben so alles auf FPs liegen hat)
was mir nicht bewusst war

Geschrieben von: rolarocka 21.07.2008, 23:27

Echt super erklärt, vielen Dank .
Hab ne etwas andere Frage. Wie stelle ich den die DefaultBox so ein das überhaupt kein Programm ins Internet darf. Es soll so eine art Testbox werden. Bei "Internet Access" kann ich ja ne dummy programm eingeben, ist aber nicht sehr elegant. Danke schon mal.

edit: Ok habs gefunden. bei "Internet Access" gibts ein dickes Button namens "Block All" das bringts

Geschrieben von: subset 22.07.2008, 00:25

Beim Malewaretesten ist das immer Einstellungssache.
- Will man sehen, was ein Trojaner aus dem Internet nachläd, dann muss man logischerweise den Internetzugriff offen lassen.
- Wenn nicht, dann eben den Internetzugriff verweigern.

Daneben ist bei der Ausführung von Malware wichtig, dass keine Open... Anweisungen für diese Sandbox vorhanden sind, wie OpenFilePath, OpenPipePath, OpenKeyPath, OpenIpcPath oder OpenWinClass.
Sonst bestünde die Gefahr, dass die Malware aus der Sandbox heraus das echte System verändern kann.

MfG

Geschrieben von: Peter 123 22.07.2008, 02:22

Ja, wirklich toll von dir erläutert, subset. Auch wenn ich noch weit davon entfernt bin, tatsächlich zu durchschauen was dabei abläuft. (Du wirst es auch an meiner Frage unten sehen.) Aber ich habe mich jetzt einmal ganz an dein "Kochrezept" gehalten, eine zweite Sandbox namens "Operabox" angelegt und "streng" konfiguriert.

Bei der Default-Box habe ich vorerst einmal diese Restriktionen nicht vorgenommen, sondern bei ihr nur den Internetzugriff auf Firefox, Internet Explorer und die drei Messenger beschränkt. Insofern ist die Default-Box derzeit nicht ganz nach deinen hohen Sicherheitsstandards konfiguriert.

Zunächst meine Bitte:
Könntest du dir ansehen, ob (mit diesen eben genannten Prämissen) meine Einstellungen - vor allem unter Sicherheitsgesichtspunkten - in Ordnung sind? Ich kopiere zu diesem Zweck den Inhalt meiner Sandbox.ini-Datei herein. Damit haben ja vielleicht auch andere so eine Art Muster, was in dieser drinnenstehen sollte/könnte. Das, was du uns als sicherheitsrelevant erläutert hast, habe ich in roter Farbe hervorgehoben:

Und jetzt hätte ich noch ein praktische Frage dazu:

Deinen Erläuterungen zufolge geht es doch bei all diesen Maßnahmen vor allem auch darum, dass möglichst wenig Prozesse bzw. Programme in der Sandbox laufen bzw. auf das Internet Zugriff haben.

Folgende Merkwürdigkeit ist mir aber bei Benützung der Sandboxen mit obigen Einstellungen aufgefallen:
a) WindowsMediaPlayer 11 (zum Öffnen und Abspielen eines Videoclips aus dem Browser heraus):
funktioniert sowohl in der DefaultBox als auch in der (streng konfigurierten ) Operabox (!)
D.h.: Der Player öffnete sich (zum Glück in der Sandbox) und konnte die Datei abspielen.

b) Adobe Reader 9 (zum Öffnen einer pdf-Datei aus dem Browser heraus):
funktioniert zwar in der Default Box, nicht aber in der Operabox *

c) RealPlayer (zB. zum Abspielen einer kleinen Musikdatei auf amazon.de):
funktioniert weder in der DefaultBox noch in der Operabox *

*) [Es kommt die Fehlermeldung: "Anwendung konnte nicht richtig initialisiert werden."]

Drei Programme - drei Varianten.
Ist es also mehr oder weniger "Glückssache", welches Programm bei einer bestimmten Sandbox-Konfiguration funktioniert?
Und noch wichtiger:
Hat es seine Richtigkeit, dass der Windows Media Player sogar bei der ganz strengen Konfiguration der Sandbox läuft? Immerhin muss der ja zu diesem Zweck auch Verbindung mit dem Internet aufnehmen.
Um nicht falsch verstanden zu werden: Je mehr Programme funktionieren, umso lieber ist es mir natürlich. Aber ich möchte sichergehen, dass es damit kein Sicherheitsproblem gibt.

Geschrieben von: rolarocka 22.07.2008, 13:33

Ein kleines Problem habe ich wenn ich diese starken sicherheitseintellungen benutze. Ich kann aus Opera oder Firefox nicht drucken. Wie krieg ich jetzt raus welche Dateien da in die Sandbox geladen werden müssen um erfolgreich zu drucken? Eine Datei habe ich schon rausgefunden (hpzstw07.exe - hp Drucker), krieg aber zwei Fehlermeldungen und dann druckt er. Danke.

Geschrieben von: subset 22.07.2008, 14:25

@ Peter 123

Wegen der Sandboxie.ini

CopyLimitKb=250000

Das ist auf fast 250 MB gesetzt, das Kopieren von Dateien dieser Größe in die Sandbox hinein dauert normal etwas.
Wenn es nicht unbedingt anders erforderlich ist, dann reicht normal die Voreinstellung mit 48 MB (CopyLimitKb=49152).
Zumal Dateien dieser Größe (über 48 MB) meist ohnehin nicht verändert werden, sondern nur gelesen.

Bei deiner [Operabox] fehlen diese Eintäge:
----------------------------------------------------------------------------

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*

----------------------------------------------------------------------------
Die verhindern die Internetzugriffe für alle Programme die nicht zur InternetAccess_Operabox Gruppe gehören. Normal erzeugt diese Einträge Sandboxie aber automatisch.

Wegen Media Player, Adobe Reader und Real Player

Starten hier tatsächlich die Programme, oder werden die über die Browser Plug-Ins aufgerufen?
Als Browser Plug-In würden sie quasi im Browserprozess laufen und nicht als verbotene Anwendung.
Das wäre für jeden Browser zu ermitteln.
- Bei Firefox: Extras > Add-ons > Plugins, dort kann man sie einfach testweise deaktivieren.
- Beim IE: Extras > Internetoptionen > Programme > Add-Ons verwalten, auch hier die Fraglichen testweise deaktivieren.
- Bei Opera: opera:plugins in die Adresszeile eingeben. Wie man die testweise deaktivieren kann, weiß ich leider nicht.


@ rolarocka

Zuerst die hpzstw07.exe in die Gruppe der erlaubten Anwendungen:
ProcessGroup=<restricted>,Start.exe,hpzstw07.exe,...

Dann den Zugriff auf den HP Druckertreiber erlauben.
OpenFilePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys
HP.sys ist natürlich nur ein Platzhalter.

Sollte das mit OpenFilePath nicht reichen, auch mal mit OpenPipePath versuchen.
OpenPipePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys

MfG

Geschrieben von: Peter 123 22.07.2008, 15:09

Wieder mal danke, subset.

Das mit den 250 MB habe ich bewusst so eingestellt - einfach damit ich nicht verwirrt bin, wenn doch einmal etwas Größeres zum Herunterladen ist und dann eine Fehlermeldung kommt. Wenn es nur eine Geschwindigkeitsfrage ist (und keine der Sicherheit) würde ich das daher gerne beibehalten (oder nur auf eine Größenordnung zB. um die 100 MB reduzieren).

Und jetzt zu den heikleren Punkten:

Ich sag's ja: Ich bin mit all diesen Einstellungen intellektuell überfordert.

Ich dachte nämlich, die neuen (von dir empfohlenen) ClosedFilePath-Einträge wären Ersatz für die standardmäßig vorhandenen. Die hatte ich daher bewusst gelöscht. Dann müssen die also wieder rein.
D.h. für meine Operabox muss das dann so aussehen:


Richtig so?

Und beim Folgenden wird es überhaupt schwierig:



Ich weiß es nicht, wie die Programme laufen (ob sie tatsächlich starten oder über die Browser Plug-Ins aufgerufen werden). Normalerweise klicke ich auf das Fenster mit der Option "Öffnen mit ..." und die betreffende pdf-Datei + Adobe bzw. der betreffende Player (WMP, RealPlayer) öffnet sich. Vielleicht sehe ich es mir anhand deiner Erläuterung einmal an, aber im Moment lasse ich es mal auf sich beruhen - es ist mir einfach zu aufwendig und zeitraubend. Ich habe den Eindruck, man kann eine Frage klären und gleichzeitig tauchen fünf neue auf.

Geschrieben von: subset 22.07.2008, 17:40

Der CopyLimitKb Eintrag betrifft heruntergeladene Dateien überhaupt nicht.
Das Limit gilt nur für Dateien, die vom echten System in die Sandbox kopiert werden.

Der Rest stimmt so.

MfG

Geschrieben von: Peter 123 22.07.2008, 20:28

Ach so. Da war ich wieder einmal ahnungslos. Na dann gehe ich auf die Standardeinstellung zurück.

Jetzt würde ich gerne noch etwas Prinzipielles wissen:

Du hast uns in deinen Beiträgen der letzten Tage vor allem erklärt, wie man in der Sandboxie.ini Einstellungen vornehmen soll, um die Sicherheit zu erhöhen, insbesondere mit diesen "ClosedFilePath"-Einträgen.

In deinem ersten Beitrag ging es auch schon um die Sicherheit; und zwar um Maßnahmen, die im Sandboxie-Menü unter "Sandboxeinstellungen" zu treffen wären. Da spielte teilweise sogar auch schon das Thema "ClosedFilePath" eine Rolle:

(Wiedergabe der Abbildung vom ersten Beitrag subset's):


(oder in der deutschen Sandbox-Version):



Wären das (im ersten Beitrag) alles Maßnahmen, die man zusätzlich zu den von dir empfohlenen Änderungen in der ini-Datei setzen sollte, oder erübrigt sich davon jetzt manches (oder alles), wenn man in der ini-Datei diese Einträge

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

vorgenommen hat?

Wahrscheinlich ist meine Frage sehr laienhaft. Aber ich blicke nicht mehr durch, welcher Eintrag an welcher Stelle welchen Prozess bzw. Zugriff verbietet oder erlaubt.

Geschrieben von: subset 22.07.2008, 21:27

ClosedFilePath=!<restricted1>,* bezieht sich auf alle Programme, die nicht in der restricted1 Gruppe sind.
Alle Programme der restricted1 Gruppe haben aber theoretisch überallhin Zugriff.
Genau um das zu verhindern habe ich die globalen Zugriffe definiert.

Ein Beispiel:
Firefox und Opera sind in der restricted1 Gruppe, Thunderbird ist mein Email-Programm und ich will nicht, dass Firefox oder Opera auf meine Mailadressen usw. zugreifen dürfen.
Lösung für diese Sandbox:

ClosedFilePath=%AppData%\Thunderbird\
ClosedFilePath=%Local Settings%\Anwendungsdaten\Thunderbird\

Da diese Anweisung für "Alle Programme" gilt, können weder Firefox noch Opera auf meine persönlichen Email-Daten zugreifen.
Diese ClosedFilePath für alle oder einzelne Programme können aber einfach über das Einstellungsmenü von Sandboxie erzeugt werden.
Im ersten Post habe ich mich auf das Einstellungsmenü beschränkt, das wäre sonst zu kompliziert geworden.

Aber zusätzlich würde ich nicht sagen, durch die restricted Gruppen und InternetAccess_ hat man schon ein gutes Maß an Sicherheit, aber natürlich kann man weiter durch ClosedFilePath und OpenFilePath Anweisungen das Ganze noch sicherer bzw. komfortabler machen.

MfG

Geschrieben von: Peter 123 23.07.2008, 12:46

Gut, dieser Halbsatz beruhigt mich. Dann beschränke ich mich auf die Änderungen in Sandboxie.ini. Für meine Zwecke (Surfen, Abrufen von emails im Browser, Herunterladen einer Datei; keine Hochrisiko-Aktionen wie Experimentieren mit Malware) ist das dadurch erzielte Sicherheitsniveau ja dann wohl ausreichend.

Ich fasse zur besseren Übersicht zusammen, was ich jetzt entsprechend deiner Anleitungen gemacht habe. Vielleicht kann das ja auch anderen Interessierten als Hilfe dienen:

1. Ich habe eine zweite Sandbox eingerichtet.*

*) (dazu Sandboxie-Control-Fenster öffnen ---> "Sandbox" ---> "Neue Sandbox erstellen")

D.h. es gibt bei mir jetzt:

- a) die Defaultbox (in meinem Fall gedacht für die Benutzung der Browser Firefox und Internet Explorer sowie der drei Kommunikations-Programme Skype, Windows Live Messenger und Yahoo Messenger)
[Diese fünf Programme benütze ich jetzt einmal der Einfachheit und Übersichtlichkeit wegen in einer gemeinsamen Sandbox.]

- b) eine eigene Sandbox gedacht für die Benutzung des Browsers Opera (von mir bezeichnet als "Operabox")

2. Damit auch nur diese Programme Zugriff auf das Internet haben, habe ich sie eigens im Menüpunkt "Internetzugriff"* der jeweiligen Sandbox eingetragen**:

*) (zu finden in den "Sandboxeinstellungen" als Unterpunkt zu "Ressourcenzugriff")

**) (zu diesem Zweck auf die Schaltfläche "Datei hinzufügen" klicken und aus dem Verzeichnis C:\Programme im betreffenden Programmordner die exe-Datei auswählen - in meinem Fall also: firefox.exe [zu finden im Programmordner "Mozilla Firefox"], iexplore.exe, skype.exe usw.)

a) Eintrag für die DefaultBox:



b) Eintrag für "Operabox":




3. In der Sandboxie.ini* habe ich die von dir empfohlenen** Eintragungen vorgenommen (nunmehr für beide Sandboxen).

*) (zu finden im Verzeichnis C:\WINDOWS oder über das Sandboxie-Control-Fenster unter "Konfiguration" ---> "Konfiguration bearbeiten")

**) (siehe http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=242319 und http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=242537 )

Sandboxie.ini hat damit bei mir jetzt folgenden Inhalt (die gegenüber den Standardeinstellungen geänderten bzw. neu hinzugekommenen sicherheitsrelevanten Eintragungen sind farblich markiert: jene für die DefaultBox in rot und jene für "Operabox" in dunkelgrün):



4. Nicht vorgenommen habe ich hingegen jene Änderungen, die du in deinem ersten Beitrag für folgende Menüpunkte der Sandboxeinstellungen angeregt hast:

"Dateizugriff - Direkter Zugriff" (im ersten Beitrag englisch: "File Access - Direct Access")
"Dateizugriff - Zugriff verweigern" ("Files Access - Blocked Access")
"Dateizugriff - Nur-Lese-Zugriff" ("Files Access - Read Only Access")

In den Feldern der zugehörigen Fenster wurde von mir also nichts eingetragen (gilt für beide Sandboxen). Die Fenster sehen also z.B. bei der Defaultbox so aus:








Habe ich das so richtig und "sicherheitspolitisch" sinnvoll konfiguriert?

Geschrieben von: rolarocka 23.07.2008, 13:52

"Zugriff verweigern" würde ich schon einstellen. Z.B. dass Opera nicht auf deine private Dateien zugreifen darf. Wenn deine Dateien auf eine andere Festplatte liegen kannst doch den zugriff von deiner Opera Sandbox darauf blockieren. Direkter Zugriff zb für Opera macht auch Sinn wenn du deine Bookmarks änderst dann werden die auch im richtigen System geändert und Sanboxed browser und normaler Browser bleiben synchron. Also erster Post und letztere Posts zusammen machen schon Sinn meiener Meinung nach. Hab ich auch so strikt eingestellt.

Geschrieben von: subset 23.07.2008, 14:12

Nur eine Anmerkung wegen der Order für die Wiederherstellung der Downloads.
Du bekommst eine Meldung, wenn die Downloads entweder in den Eigenen Dateien, den Favoriten oder auf dem Desktop landen.
Sollte nun eines der Programme (Firefox, IE, Skype, Opera usw.) ein anderes Downloadverzeichnis verwenden, wie z.B. D:\Downloads, dann geht der Download mit dem Löschen der Sandbox verloren.
In einem solchen Fall muss man nur das Zielverzeichnis für die Downloads zur Sandboxie.ini hinzufügen:

RecoverFolder=D:\Downloads

Natürlich hat rolarocka recht, die ClosedFilePath und OpenFilePath Anweisungen gehören zu jeder Sandbox.
Wie bereits von mir erwähnt, die ClosedFilePath Anweisungen erhöhen die Sicherheit und die OpenFilePath Anweisungen erhöhen den Komfort.
Die für die Operabox sind relativ einfach zu machen.
Nur bei der firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe Sandbox habe ich meine Zweifel, ob da etwas Sinnvolles rauskommt, wegen der Vielzahl an unterschiedlichen Programmen.

MfG

Geschrieben von: Peter 123 23.07.2008, 14:52

Das ist mir auch völlig Recht so. Bei mir landen ohnehin alle Downloads auf dem Desktop - und genau dort und nirgendwo anders gehören sie für mich auch hin (aus Gründen des Überblicks und der Sicherheit [alles, was am Desktop landet, wird von mir sofort auf Malware geprüft]).


Hmm. Dann muss ich mir das mit dem Punkt "Zugriff verweigern (ClosedFilePath)" in den Sandboxeinstellungen auch noch anschauen. Ich hatte deinen vorigen Beitrag so verstanden, dass nichts mehr zusätzlich zu den Änderungen in der sandboxie.ini zu tun wäre, um ein ausreichendes Sicherheitsniveau zu erzielen.

Auf OpenFilePath-Anweisungen ("Direkter Zugriff") kann ich damit aber weiterhin verzichten; denn mir geht es nur um die Sicherheit und nicht um den Komfort.
Also z.b. bezogen auf den von rolarocka erwähnten Fall:


Mir ist bewusst, dass sich Änderungen der Favoriten-Liste nicht dauerhaft auswirken, wenn ich sie nur aus der Sandbox heraus vornehme. Aber das möchte ich auch so beibehalten. Alles, was sich in der Sandbox abspielt, soll (nach meinen Vorstellungen) nur vorläufigen Charakter haben und nur gelten, bis ich die Sandbox wieder schließe. (Automatisches Leeren der Sandbox beim Schließen ist bei mir ja aktiviert.)

Geschrieben von: rolarocka 23.07.2008, 16:09

Hier gibts noch ein paar interessante .ini settings:
http://hurst-security-blog.blogspot.com/2008/07/sandboxie.html

also das sieht doch richtig hübsch aus (für Opera/Firefox):

ClosedFilePath=C:\AUTOEXEC.BAT
ClosedFilePath=C:\boot.ini
ClosedFilePath=C:\ntldr
ClosedFilePath=C:\NTDETECT.COM
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

ist vielleicht schon redundant aber schaden wirds bestimmt nicht

Geschrieben von: Peter 123 23.07.2008, 17:00

Ich blicke nicht mehr durch.

Und mittlerweile frage ich mich auch, warum der Erfinder von Sandboxie diese Konfigurationsdetails nicht zumindest teilweise in die Standardeinstellungen eingebaut hat, soweit diese Details für die Sicherheit notwendig sind. Sandboxie sollte doch eigentlich dazu dienen, dass man das darin aufgerufene Programm (z.B. einen Browser) gefahrlos benützen kann - und zwar ohne riesigen zusätzlichen Konfigurationsaufwand. Davon bin ich bis vor wenigen Tagen auch ausgegangen. Aufgrund eurer - natürlich durchaus verdienstvollen - Beiträge komme ich jetzt drauf, dass davon offenbar keine Rede ist. Man muss da unzählige zusätzliche Einstellungen und Eintragungen vornehmen, damit ein ausreichender Sicherheitseffekt tatsächlich eintritt. Und wer nicht das Glück hat, durch Zufall auf dieses Forum und den von subset eröffneten Thread zu stoßen, der ist diesbezüglich ohnedies verloren, sofern er nicht Computerexperte ist oder genug Englisch kann, um die Sandboxie-Webseite zu studieren (wobei ich auch nicht weiß, ob das dort alles überhaupt erwähnt bzw. erklärt wird).

So sollte ein Programm, das eigentlich der Sicherheit dienen soll, nicht beschaffen sein. Zusätzlich zu seinen Mängeln in Aufbau und Sprache gibt es offenbar auch beträchtliche Sicherheitslücken in der Standardkonfiguration.

Geschrieben von: rolarocka 23.07.2008, 17:09

Sandboxie ist in den Standardeinstellungen insofern sicher dass alles was in der sandbox ausgeführt wird keinen Einfluss auf das eigentliche System hat. Aber wie jedes Programm, kann man es feintunen. Ist doch begrüssenswert.
Lass dich davon nicht abschrecken jetzt wo du soweit gekommen bist (ich auch übrigens). Die Standardeinstellung von Sandboxie sind für die meistes User eh vollkommen ausreichend. Ich find es interessant wie sicher man das ganze einstellen kann.

Geschrieben von: Peter 123 23.07.2008, 17:35

Aber du schreibst ja selbst:

Und das Gleiche betrifft natürlich auch die Sicherheitsprogramme, Mailprogramme etc. die subset in seinem ersten Beitrag diesbezüglich erwähnt. Ich nehme an, ein solcher Zugriff wäre immer dann problematisch, wenn sich (zB. über den Browser) ein Schädling in die Sandbox eingeschlichen hat. Der könnte dann ja vorübergehend - nämlich solange die Sandbox geöffnet ist - auf diese Programme zugreifen.

Und ich vemute, um dies zu verhindern, gibt es diese Zugriff-Verweigern-(ClosedFilePath)-Option:



Nur verstehe ich ja prinzipiell nicht, warum eine solche Option überhaupt vorhanden sein muss. Als Laie meint man doch, ein Programm, das in der Sandbox läuft, könne automatisch auf Ordner oder Programme außerhalb der Sandbox nicht zugreifen (abgesehen von jenen, die es zum Betrieb benötigt, aber die hat es ja ohnedies in kopierter Form in der Sandbox) - nämlich auch ohne das Erfordernis, einen solchen Zugriff erst eigens ausschließen zu müssen.

Und auch das ist doch gefährlich:

Wieso ist also der Internetzugriff nicht schon in der Standardkonfiguration auf das konkrete, in der Sandbox benützte Programm (+ allfälliger Plugins [wie das anscheinend zB. bei mir betreffend Windows Media Player im Firefox- und Opera-Brwoser der Fall ist]) beschränkt - ohne, dass man diese Zugriffsbeschränkung erst eigens in der Sandboxie-ini eintragen muss?

Geschrieben von: rolarocka 23.07.2008, 17:51

Dafür müsste Sandboxie mit profilen arbeiten wie z.b bei Firewalls wo du dann der Firewall sagst Programm x ist ein Web Browser also benutzt diese und jene Einstellungen. Das wäre natürlich Anwenderfreundlicher und dann auch sicherer. Aber Sandboxie ist noch nicht soweit oder will es auch gar nicht. Ausserdem sollte man Sandboxie mit einem Traditionellen AntiViren Scanner benutzen und Opera/Firefox Javascript ausschalten. Deshalb finde ich sind die Standardeinstellung normalerweise ausreichend sonst wären es ja nicht die Standardeinstellungen . Wenn dann noch was durchkommt dann sollte man an seinen Surfgewohnheiten feilen.

Geschrieben von: subset 23.07.2008, 18:56

Das ist auch so, Programme können nicht auf Dateien außerhalb der Sandbox zugreifen, denn Sandboxie fängt diese Anforderungen ab und kopiert die Dateien in die Sandbox hinein.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie kopiert die Datei in die Sandbox hinein


Muss man nicht ausschließen, hier ist der Fehler.
Mit ClosedFilePath wird der Zugriff von Programmen die in der Sandbox laufen beschränkt.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie verweigert das wegen einer ClosedFilePath Regel und kopiert die Datei nicht in die Sandbox hinein.

Mit direktem Dateizugriff (OpenFilePath) und Vollzugriff (OpenPipePath) von Programmen aus der Sandbox heraus hat das nichts zu tun.
Diese werden immer vom Benutzer erstellt.
Erstelle einfach eine neue Sandbox und schau dir dann die Sandboxie.ini an.
Ist da eine einzige OpenFilePath/OpenPipePath Zeile in der Sandboxie.ini?

MfG

Geschrieben von: Peter 123 23.07.2008, 21:33

O.k., dieses Prinzip leuchtet mir völlig ein.

Das heißt:

In diesem Fenster:



bedeutet der Satz "Auf die folgenden Dateien und Ordner können Programme in der Sandbox [besser: in der Sandbox laufende Programme] nicht zugreifen" technisch gesprochen:

"Von den folgenden Dateien und Ordnern werden keine Kopien in der Sandbox angelegt - auch dann nicht, wenn ein in der Sandbox laufendes Programm diese Datei (bzw. diesen Ordner) anfordert."

Du empfiehlst (in deinem ersten Beitrag) die Vornahme einer solchen Beschränkung im Prinzip für drei Ordner- bzw. Programmgruppen:

- für Sicherheitsprogramme (also Virenschutzprogramme usw. [bei dir Avira und einiges mehr, bei mir im Wesentlichen Norton Internet Security])
- für das Mailprogramm (bei dir Thunderbird, bei mir wäre es Outlook Express)
- für die eigenen Dateien
(- außerdem für etwaige weitere Partitionen [ist hier einmal zu vernachlässigen])

Ich nehme an, der Grund für deine Empfehlung ist folgender:
Diese Bereiche sind derartig sensibel, dass sie (bzw. Kopien davon) aus der (für ein anderes Programm eingerichteten) Sandbox sozusagen immer "draußenbleiben" sollen - um zu verhindern, dass in der Zeit, in der die Sandbox geöffnet ist, ein Schädling auf diese Programme/Ordner (nämlich auf deren Kopie) Zugriff haben und sie manipulieren oder Informationen ausspähen und (über das eigentlich in der Sandbox laufende Programm [= typischerweise Browser]) in das Internet senden könnte.

Wenn diese Überlegungen stimmmen, ist mir das soweit auch klar.

Was ich aber nicht verstehe:

Gehen wir von meinen Fall aus: Eine Sandbox wäre z.B. ausschließlich für die Benutzung des Browsers Opera eingerichtet. Welche Konstellationen sind da überhaupt denkbar, dass aus der Sandbox heraus eine Datei angefordert wird, die

a) zu einem Mailprogramm
b) zum Ordner "Eigene Dateien"
c) zu einem Sicherheitsprogramm
gehört?

Für a) fällt mir da im Wesentlichen der Fall ein, dass ich z.B. auf einer Webseite eine Mailadresse anklicke, sich damit mein Mailprogramm öffnet und ich unmittelbar eine Mail an diese Adresse schicken kann. Außerdem gibt es meines Wissens die Möglichkeit, über web-gebundene Maildienste (Hotmail, gmx usw.) auf das eigene Mailprogramm zuzugreifen, wenn man das irgendwie einstellt (aber das ist jetzt Spekulation von mir, ich habe damit keine Erfahrung).
Sind es solche Vorgänge, die unterbunden werden, wenn ich in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" die entsprechenden Beschränkungen bezüglich der Mailprogramm-Ordner eintrage?

Für b) könnte ich mir denken, dass der Browser z.B. dann etwas aus dem Ordner "Eigene Dateien" anfordert, wenn ich das irgendwo hochladen will (ein Foto in einem Forum, ein Videoclip bei youtube usw., oder irgendeine eigene Datei als Anhang zu einer Mail, die ich über den Browser versenden möchte). Auch das wäre offenbar durch einen entsprechenden Eintrag in den Sandboxeinstellungen (bewusst) unmöglich gemacht.

Und für c) (die Sicherheitsprogramme) tue ich mir ohnehin verständnismäßig schwer: Denn einerseits verstehe ich, dass gerade solche Programme vor dem Zugriff eines Schädlings geschützt sein sollen, insbesondere damit sie durch ihn nicht ausgeschaltet oder manipuliert werden können (was ja passieren könnte, solange die Sandbox geöffnet ist). Andererseits gibt es aber offenbar ohnedies immer eine Kommunikation zwischen dem Sicherheitsprogramm und dem, was sich in der Sandbox abspielt (ob das durch das "originale" Schutzprogramm außerhalb der Sandbox geschieht oder durch eine Kopie von ihm innerhalb der Sandbox, das weiß ich nicht). Jedenfalls hat mein Virenschutz sofort den (harmlosen) Testvirus Eicar gemeldet, als ich in der Sandbox probeweise den entsprechenden Link auf der Eicar-Seite angeklickt hatte.
Da ist mir also überhaupt nicht klar, was es mit (allfälligen) Anforderungen der Sandbox von Dateien aus dem Sicherheitsprogramm auf sich hat.

Aber was die Fälle a) und b) betrifft:
Wenn meine diesbzüglichen Annahmen oben stimmen, dann könnte ich mir den Eintrag von Mailprogramm bzw. "Eigenen Dateien" in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" ersparen, weil ich mein Mailprogramm ohnedies nie durch Anklicken eines Links im Browser öffne (und es auch sonst nicht mit dem Browser in Verbindung bringe) und weil ich das (seltene) Hochladen eigener Dateien durchführe, indem ich den Browser außerhalb der Sandbox starte (anders wäre es ja wahrscheinlich auch gar nicht möglich, wenn die Sandboxeinstellungen den Zugriff auf diese Dateien verweigert).

Das sind halt so meine Überlegungen zu den "computerinternen" Zugriffsbeschränkungen, die du empfiehlst. Aber vielleicht sehe ich da ja etwas falsch.

Geschrieben von: subset 23.07.2008, 23:47

Genau. Hätte der Browser z.B. eine unbekannte Sicherheitslücke und könnte durch Schadcode dazu gebracht werden, das Adressbuch vom Emailprogramm auszulesen und irgendwohin ins Internet zu schicken, dann würde dies durch die ClosedFilePath Einträge verhindert.


Auch richtig.


Dein Antivirenprogramm kann natürlich ganz normal auf den Sandbox Ordner zugreifen und Viren erkennen und löschen.
Der ClosedFilePath ist hier eine Vorsichtsmaßnahme, selbst wenn der Browserprozess verseucht wäre, könnte er nicht auf den Antiviren-Ordner zugreifen.


Es geht aber nicht um das, was du machst.
Es geht darum, was Schadprogramme machen könnten.

MfG

Geschrieben von: Peter 123 24.07.2008, 16:27

Das freut mich, dass ich da ein paar richtige Annahmen getroffen habe.

Man könnte also die Funktionsweise des von dir empfohlenen Zugriffsverbots für Mailprogramm und Eigene Dateien auch so beschreiben: Es soll damit (aus Sicherheitsgründen) verhindert werden, dass das Mailprogramm bzw. der Ordner "Eigene Dateien" über den Browser geöffnet wird.

Falls das so ist, dann könnte man das Ganze in zweierlei Hinsicht aber auch umgekehrt sehen:

- Wenn ich ohnedies nie mein Mailprogramm oder die Eigenen Dateien über den Browser öffne, dann erübrigt es sich, ein diesbzügliches Zugriffsverbot in den Sandboxeinstellungen festzulegen.

(Zwischenfrage):
Oder könnte ein Schädling auch dann über den Browser in diese Bereiche eindringen, wenn ich nicht selbst (aktiv) eine Verbindung von Mailprogramm bzw. Eigenen Dateien mit dem Browser - also mit dem Internet - herstelle? (Deine Bemerkung "Es geht aber nicht um das, was du machst. Es geht darum, was Schadprogramme machen könnten." habe ich in diese Richtung verstanden.) Dann würde sich das Zugriffsverbot natürlich nicht erübrigen.

- Und andererseits: Wenn ich einen Bezug zwischen Browser und Mailprogramm bzw. Eigenen Dateien benötige (zB. weil ich Mail-Links auf Webseiten direkt anklicken will, oder weil ich Dateien in das Internet hochladen möchte), dann darf ich dieses Zugriffsverbot ja gar nicht vorsehen, weil ich sonst daran gehindert wäre, diese Funktionen zu nützen.

Damit will ich nichts gegen deine Konfigurationsempfehlung gesagt haben; ich möchte nur den Gesamtzusammenhang verstehen.

Und zum Zugriffsverbot betreffend Sicherheitsprogramme schreibst du:

Dazu meine Fragen:
- Wie kann so ein "verseuchter Browserprozess" zustandekommen? Schon durch bloßes Ansurfen einer verseuchten Webseite? (Und wenn ja: Wäre dann die Deaktivierung von Java und Javascript eine ausreichende Schutzmaßnahme?) Oder bedarf es dazu des Herunterladens + Öffnens einer verseuchten Datei (zB. in einem e-mail-Anhang)?

- Angenommen, ich lege für mein Virenschutzprogramm ein Zugriffsverbot in der Sandbox fest. Gibt es dann auch irgendwelche Funktionsbeeinträchtigungen dieses Programms (ähnlich wie beim Mailprogramm und den Eigenen Dateien?)
Anders gefragt: Was könnte dagegen sprechen, für das Virenschutzprogramm das Zugriffsverbot festzulegen?

- Norton Internet Security ist auf die verschiedensten Ordner aufgeteilt; manches dazu findet sich auch in Ordnern mit der Bezeichnung "Symantec". Ich weiß daher gar nicht so recht, was ich konkret auswählen müsste, um das Zugriffsverbot korrekt zu definieren. Kann man eine allgemeine Regel aufstellen, auf welche konkreten Ordner sich die Zugriffsverweigerung beziehen muss (nur auf den Ordner, der das Sicherheitsprogramm als solches enthält, oder auch auf den Ordner mit den Virendefinitionsdateien, ...)?

Geschrieben von: subset 24.07.2008, 19:54

Richtig erkannt.


Wenn in den Eigenen Dateien nichts sicherheitsrelevantes zu finden ist, also nur Bilder und so Zeug, dann brauchst du auch kein Zugriffsverbot.
Sind da aber jede Menge Geschäfts- und Bank-Briefe usw., dann wäre ein Zugriffsverbot sinnvoll.

Die paar Bilder zum Hochladen könntest du aber auch woanders hinkopieren vor dem Hochladen, theoretisch.
Wie du das aber letztendlich handhabst, ist deine Entscheidung.


Eine Antwort liefert secunia.com, die auch Sicherheitslöcher in Browsern veröffentlichen.
Für Firefox http://secunia.com/graph/?type=imp&period=all&prod=12434
Für den IE http://secunia.com/graph/?type=imp&period=all&prod=12366
Und für Opera http://secunia.com/graph/?type=imp&period=all&prod=10615
Die Erklärung zu den Bedrohungen gibt es hier.
http://secunia.com/about_secunia_advisories/


Du meinst ein Zugriffsverbot für in der Sandbox laufende Programme auf die Ordner des Virenschutzes?
Denn für das Virenschutzprogramm gibt es kein Zugriffsverbot, das läuft ja nicht in der Sandbox.


Bei den ganzen Ordner für NIS kann dir sicher bond7 weiterhelfen.

MfG

Geschrieben von: Peter 123 25.07.2008, 13:51

+

Ja, so meinte ich das. Also in deinem Fall z.B. den Eintrag "C:\Programme\Avira" unter "Ressourcenzugriff" ---> "Dateizugriff" ---> "Zugriff verweigern" bei den Sandboxeinstellungen. Hat ein solcher Eintrag irgendwelche "Nebenwirkungen", die zB. das Surfen erschweren oder die Aktualisierung des Virenschutzprogramms (bei geöffneter Sandbox) verhindern, oder dergleichen mehr?
_____

Und jetzt ist bei mir leider noch ein Problem mit dem Windows Media Player 11 aufgetaucht:
Als Plugin ist er in beiden Browsern (Firefox und Opera) eingetragen. Das habe ich inzwischen nachgeprüft. Und weiter oben habe ich ja schon erwähnt, dass er sowohl in der Firefox- als auch in der Opera-Sandbox funktionierte. D.h. er öffnete sich (in der Sandbox) z.B. beim Anklicken eines Video-Links auf einer Webseite. Das ist jetzt plötzlich nicht mehr der Fall. Und ich bin auch draufgekommen woran es liegt:

- In der für Opera eingerichteten Sandbox funktioniert der WMP komischerweise jetzt nur mehr, wenn ich die drei folgenden Einträge aus der Sandboxie.ini wieder entferne:

ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

Belasse ich diese Einträge, so öffnet sich der WMP nicht (mehr), und es kommt die Fehlermeldung: "Anwendung konnte nicht richtig initialisiert werden."

- In der (unter anderem) für Firefox eingerichteten Sandbox (= DefaultBox) läuft der WMP hingegen weiterhin trotz der entsprechenden <restricted1>-Einträge problemlos.

Diese <restricted>-Einträge sind unverändert jene, die weiter oben angeführt sind, nämlich:



Überprüft habe ich das alles anhand dieser Testseite für WMP-Plugins (mit dem ersten Test, betreffend Linkverwendung):
http://www.uni-koeln.de/rrzk/multimedia/plugintest/wm_test.html

[Der Test betrifft zwar die veraltete Browserversion Opera 9.2, aber daran liegt es nicht. Auf anderen Webseiten mit Videolinks war es genauso.]

Gibt es irgendeine Erklärung für diesen Funktionsunterschied bei gleichartiger Konfiguration der beiden Sandboxen? Den WMP hätte ich schon gerne in beiden Sandboxen/Browsern funktionstüchtig.

________________________________

Nachtrag zu dem WMP-Problem in der Opera-Sandbox:

Ich habe jetzt doch herausgefunden, wie man den WMP in der Sandbox zum Spielen bringt, ohne die drei oben genannten "restricted"-Einträge aus der sandboxie.ini zu entfernen. Man muss zwei Vorgaben im Opera-Browser ändern:

1. Unter "Extras" ---> "Schnelleinstellungen" Folgendes aktivieren: "Plugins" und "Javascript"

2. Unter "Extras" ---> "Einstellungen" --> "Erweitert" ---> "Downloads" Folgendes tun:
a) den Haken bei "In Opera aktivierte Dateitypen ausblenden" entfernen
b) den der Videodatei entsprechenden Mime-Typ auswählen (zB. bei einer wmv-Datei: video/x-ms-wmv *), ihn anklicken und auf "Bearbeiten" klicken.
c) Anstelle der Option "Download-Dialog anzeigen" die Option "Plug-In verwenden" auswählen und mit OK bestätigen.

*) [Für die Link-Datei auf der genannten Testseite http://www.uni-koeln.de/rrzk/multimedia/plugintest/wm_test.html ist es hingegen der Mime-Typ video/x-ms-wvx, obwohl auch diese Datei als wmv-Datei bezeichnet ist. ]



Das ist total kompliziert und auch unsicher (weil man wieder JavaScript aktivieren muss). Gibt es eine Möglichkeit, den WMP in der Opera-Sandbox wieder so zum Spielen zu bringen wie noch vor wenigen Tagen - also so wie in der Defaultbox für Firefox und ohne all diese Änderungen in den Einstellungen??

Geschrieben von: subset 25.07.2008, 15:46

Ne, bis jetzt keine bemerkt. Was hat z.B. der Browser auch in diesen Ordnern zu suchen?
ClosedFilePath=C:\Dokumente und Einstellungen\*\Anwendungsdaten\Avira\
ClosedFilePath=C:\Programme\Avira\


Na freilich, du mußt die wmplayer.exe nur zu deinen erlaubten Programmen für die jeweilige Sandbox hinzufügen.
Denn du willst ja, dass der WMP in der Sandbox ausgeführt werden darf.
Also für deine Opera Sandbox:



MfG

Geschrieben von: Peter 123 25.07.2008, 16:09

Jaaaa, danke! Jetzt läuft es wieder genauso, wie ich mir das gewünscht habe.

Es ist zwar komisch, weil es bis vor kurzem (gestern?) auch noch ohne diesen Eintrag der wmplayer.exe funktioniert hat, aber Hauptsache es klappt wieder.

Geschrieben von: Peter 123 25.07.2008, 23:55

Ich bedanke mich zunächst noch einmal bei subset für die umfangreiche und geduldige Unterstützung.

Eine meiner beiden Sandboxen (jene für Opera) müsste jetzt eigentlich ziemlich exakt so konfiguriert sein, wie es subset in seinem ersten Beitrag bzw. dann im Verlauf unserer Diskussion empfiehlt. Ich fasse noch einmal zusammen, wie ich unter seiner Anleitung vorgegangen bin:

Die grundlegenden Schritte stehen bereits auf Seite 3 dieses Threads, und zwar in diesem Posting:
http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=242668

Dort ging es um Folgendes:

1.
Einrichtung einer zweiten Sandbox (bei mir "Operabox" genannt)

2.
Für jede Sandbox getrennt: In den Sandboxeinstellungen* Festlegung jener Programme, die aus dieser Sandbox heraus Internetzugriff haben dürfen, also bei mir:
- in der Defaultbox derzeit Firefox, Internet Explorer und 3 Kommunikationsprogramme
- in der zweiten Sandbox nur Opera

*) (Menüpunkt Ressourcenzugriff ---> Internetzugriff)

3.
Unmittelbar in der sandboxie.ini:

Die Festlegung jener Programme, die in der jeweiligen Sandbox starten dürfen (sei es mit oder sei es ohne Erlaubnis zum Internetzugriff).
Diese Restriktion auf ganz bestimmte Programme geschieht (in meinem Fall) mit den Einträgen

ProcessGroup=<restricted1> ...... [für die Defaultbox]
und
ProcessGroup=<restricted2> ...... [für meine zweite Sandbox]

[Details im Posting auf Seite 3]

Nachträglich kam jetzt bei "ProcessGroup=<restricted2> ..." noch wmplayer.exe als weiteres Programm dazu, weil sich herausgestellt hat, dass andernfalls mein Windows Media Player 11 im Opera-Browser nicht (bzw. nicht zufriedenstellend) funktioniert.

4.
Gleichfalls unmittelbar in der sandboxie.ini:

Eintragung der Befehle

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

und dasselbe mit <restricted2>

Damit wird festgelegt, dass all jene Programme, die nicht in der betreffenden Sandbox starten dürfen,
- keinen Zugriff auf Dateien außerhalb der Sandbox haben (Closed Filepath)
- keine Dateien im Speicher austauschen dürfen (ClosedIpcPath)
- keine Daten aus der Registrierung erhalten (ClosedKeyPath).
[von subset ausführlich erklärt in diesem Beitrag: http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=242537]

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Zusätzlich habe ich jetzt - großteils zunächst einmal (nur) für die Operabox - jene weiteren Konfigurationen in den Sandboxeinstellungen (unter dem Menüpunkt "Ressourcenzugriff") vorgenommen, die subset schon in seinem ersten Beitrag aus Sicherheitsgründen empfohlen hat. Konkret:

5.
(Nicht-)Erlaubnis des direkten Zugriffs von Programmen, die in der Sandbox laufen, auf Dateien und Ordner außerhalb der Sandbox:
(Menüpunkt Ressourcenzugriff ---> Dateizugriff ---> Direkter Zugriff [OpenFilePath])

[Wenn ich das Prinzip richtig verstehe, bedeutet also eine solche Erlaubnis, dass man dem in der Sandbox laufenden Programm in bestimmten Fällen ausnahmsweise gestattet, aus der Sandbox "auszubrechen" und man ihm damit bewusst die Möglichkeit gibt, auf bestimmte (konkret bezeichnete) Originaldateien bzw. Originalordner außerhalb der Sandbox unmittelbar zuzugreifen - anstelle des Zugriffs auf die bloßen Kopien von ihnen, die in der Sandbox (sonst) angelegt werden. Der Effekt eines solchen Direktzugriffs ist damit klar: Eine durch den Zugriff bewirkte Änderung betrifft das "Original" und bleibt daher auch dann bestehen, wenn die Sandbox geschlossen bzw. deren Inhalt geleert wird.]

Subset hat einige (wenige) solcher Direktzugriffe gestattet (nachzulesen in seinem ersten Beitrag). Ich halte - für meine Bedürfnisse - auch diese Zugriffe nicht für erforderlich, habe also das entsprechende Feld leer gelassen. Das ist daher ein Punkt, in dem ich sogar eine noch strengere Konfiguration als subset vorgenommen habe (und zwar für beide Sandboxen).

Hier die Abbildung für die Defaultbox (bei der Operabox sieht es genauso aus):



In der Praxis heißt das z.B.:
Wenn subset seinen Browser (Firefox) in der Sandbox benützt und dabei etwa ein neues Lesezeichen setzt, so bleibt ihm dieses auch erhalten, wenn er die Sandbox schließt (bzw. die Sandbox geleert wird). Bei mir ginge hingegen im gleichen Fall das Lesezeichen verloren. (Was mich aber nicht stört, weil ich bewusst alle auf Dauer angelegten Veränderungen des Browsers außerhalb der Sandbox vornehmen möchte.)

6.
Festlegung jener Dateien und Ordner, auf die auch von jenen Programmen nicht zugegriffen werden kann, die in der Sandbox laufen; also insbesondere ein Zugriffsverbot für den in der Sandbox laufenden Browser:
(Menüpunkt Ressourcenzugriff ---> Dateizugriff ---> Zugriff verweigern [Closed File Path])

[Zum besseren Verständnis sei klargestellt, was hier etwas irreführend mit "Zugriff" bezeichnet ist. Subset hat es in einem Beitrag weiter oben sehr anschaulich beschrieben, und erst seither verstehe ich es. Es geht nicht um einen allfälligen Zugriff des Programms auf die Originaldatei außerhalb der Sandbox; ein solcher ist nämlich ohnedies durch die Funktionsweise von Sandboxie ausgeschlossen, sofern man einen solchen (direkten) Zugriff nicht ausdrücklich gestattet (wie in Punkt 5 beschrieben).

Zugriffsverweigerung bedeutet hier etwas anderes:

- Ein in der Sandbox laufendes Programm (zB. der Browser) fordert eine Datei an.

- Im Normalfall würde Sandboxie daraufhin in der Sandbox eine Kopie dieser Datei anlegen (mit der sich das Programm dann "beschäftigen" kann). Hier weigert sich Sandboxie aber, dies zu tun, weil ein Zugriffsverbot (ClosedFilePath-Regel) definiert wurde. Es legt von dieser Datei also keine Kopie in der Sandbox an.

(s. subset's Beitrag http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=242745 )

Somit ist diese Zugriffsverweigerung technisch gesehen eigentlich eine "Anforderungsverweigerung" oder eine "Kopierverweigerung" oder die "Verweigerung der Aufnahme einer Datei(-Kopie) in die Sandbox" - mit dem Zweck, dass die betreffende Datei unangetastet bleibt und sie nicht einmal vorübergehend - d.h. solange die Sandbox geöffnet ist - gelesen und/oder verändert werden kann.]

Wenn man hier nichts "einträgt" (= über die Schaltfläche "Hinzufügen" auswählt), gibt es keinerlei solcher Verbote. Subset hat sie für folgende Bereiche empfohlen:
- Virenschutzprogramme (bzw. sonstige Sicherheitsprogramme)
- Bereiche, in denen private Daten abgelegt sind:
-- Mailprogramm
-- %Personal% (das ist der Ordner Eigene Dateien)
-- allfällige zusätzliche Festplattenpartitionen

Umgelegt auf meinen Fall würde das bezüglich meiner Operabox etwa so aussehen:



- OutlookExpress ist mein Mailprogramm
- %Personal% ist (wie erwähnt) der Ordner "Eigene Dateien"
- AntiVir ist ein von mir zum zusätzlichen manuellen Scannen verwendetes Virenschutzprogramm
- Die beiden aufgelisteten Norten-Programme und Symantec betreffen mein eigentliches Sicherheitsprogramm (Norton Internet Security).

Für das Mailprogramm relevante Ordner stecken wahrscheinlich auch noch anderswo auf der Festplatte; Gleiches gilt für die Sicherheitsprogramme. Weil ich das Ganze aber jetzt einmal ohnedies nur als eine Art Probe in dieser Weise konfiguriert habe, wollte ich mir darüber nicht weiter den Kopf zerbrechen.

Was den Ordner "Eigene Dateien" betrifft, sei noch einmal an Folgendes erinnert: Wenn man diesen Ordner in das Feld hinzufügt, kann man aus ihm keine Dateien mehr direkt ins Internet hochladen (also z.B. als Anhang zu einer e-mail in einem webgestützten Browser). Man müsste dann die betreffende Datei erst an einen anderen Ort auf der Festplatte kopieren und sie von dort hochladen.
Und wenn man das Mailprogramm unter den Zugriffsverboten einträgt, kann man zB. bei einer e-mail-Adresse, die auf einer Webseite verlinkt ist, nicht mehr direkt durch Anklicken des Links das Mailprogramm öffnen.

Hier muss man also abwägen, ob einem alte Gewohnheiten bzw. ein gewisser Komfort oder ein besonders hohes Maß an Sicherheit wichtiger sind. Und natürlich hat man ohnedies weiterhin alle Möglichkeiten offen, wenn man den Browser außerhalb der Sandbox benützt. Man könnte also z.B. diese Sandbox-Restriktionen festlegen und dann den Browser ausnahmsweise einmal punktuell außerhalb der Sandbox benützen, wenn man etwas von den Eigenen Dateien ins Internet hochladen möchte.

7.
Außerdem hat subset in seiner Konfiguration festgelegt, dass Programme, die in der Sandbox laufen, auf zwei Bereiche nur Lesezugriff haben sollen. D.h. es werden über Anforderung eines Programms zwar wieder Kopien der angeforderten Dateien bzw. Ordner in der Sandbox erstellt; die Programme in der Sandbox können diese Dateien(-Kopien) bzw. Ordner(-Kopien) aber nicht verändern.
(Menüpunkt Ressourcenzugriff ---> Dateizugriff ---> Nur-Lese-Zugriff [ReadFilePath])

Es handelt sich dabei in subset's Anregung um die großen Bereiche "Windows" und "Programme". Angewendet wieder auf meine Operabox, sieht das so aus:



Der Zusammenhang zwischen den in Punkt 6. und 7. geschilderten Einstellungen war mir zunächst nicht ganz klar, aber bei näherer Überlegung kann es eigentlich nur so zu verstehen sein:

- Auf der Festplatte (C:) befindliche Programme (= die zugehörigen Dateienkopien bzw. Ordnerkopien in der Sandbox) dürfen von jenen Programmen, die in der Sandbox laufen, bestenfalls gelesen, aber nie verändert werden; Gleiches gilt für Windows. (Punkt 7)
- Darüber hinausgehend empfiehlt subset für bestimmte besonders sensible Programme und Ordner (Virenschutz, Bereiche mit möglicherweise vertraulichem Material, wie zB. der Ordner Eigene Dateien) eine noch weitergehende Beschränkung: Auf sie soll ein in der Sandbox laufendes Programm überhaupt nicht zugreifen dürfen, also nicht verändernd und auch nicht einmal lesend. Sie werden deshalb gar nicht erst in die Sandbox hineinkopiert. (Punkt 6)

8.
Erinnert sei schließlich noch einmal an die (ebenfalls schon von subset erwähnte) Option, dass der Inhalt der Sandbox beim Schließen automatisch gelöscht wird:
(Zu finden in den Sandboxeinstellungen im Menüpunkt Löschen ---> Aufruf)



Wie man auf der Abbildung sieht, ist das automatische Löschen nicht die Standardeinstellung, sondern man muss diese Option durch Anhaken bewusst wählen.

Ich persönlich halte sie - zumindest psychologisch - für eine wertvolle Sicherheitsmaßnahme: Wenn ich sie wähle, habe ich die Gewissheit, dass die Sandbox bei jedem Schließen automatisch von allen möglicherweise in ihr enthaltenen Schädlingen geleert wird. Ich muss mich also um ihre "Säuberung" nicht selbst kümmern und starte bei jedem neuen Öffnen der Sandbox (also z.B. beim nächsten Internetgang) zuverlässig mit einer leeren (= sauberen) Sandbox.

Ob die Sandbox leer ist oder nicht, kann man übrigens mit einem Blick erkennen, und zwar am Sandboxie-Icon, rechts unten in der Taskleiste. Sobald eine Sandbox geleert ist, verschwinden die roten Punkte, die man auf der folgenden Abbildung sieht, und die gelbe Fläche des Icons wird leer:



(In der sandboxie.ini zeigt sich die aktivierte Option des automatischen Löschens durch den Eintrag AutoDelete=y.)

xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Das wäre mein Versuch einer Konfiguration á la subset. Er hat selbst einmal geschrieben, dass manche dieser Einstellungen "einem sehr hohen Sicherheitslevel entsprechen". Ich glaube also, wenn man subset's Empfehlungen übernimmt, kann man schon relativ beruhigt im Internet surfen.*
Für mich handelt es sich auf jeden Fall um einen beträchtlichen Sicherheitszuwachs, denn bisher hatte ich ja (mit Ausnahme des Punktes 5 und des automatischen Leerens der Sandbox) keine der geschilderten Sicherheitsvorkehrungen getroffen.

*) (Wobei die allgemeinen Sicherheitsmaßnahmen - jedenfalls bei mir - dennoch aufrecht bleiben: Windows, Browserprogramme und sonstige Software am aktuellen Stand; Virenschutz und Firewall; Vorsicht beim Herunterladen von Dateien; wenig bzw. gar kein Javascript usw.)

Als Ergebnis aller oben erörterten Konfigurationsschritte sieht meine sandboxie.ini jetzt so aus (die gegenüber den Standardeinstellungen geänderten bzw. neu hinzugekommenen sicherheitsrelevanten Eintragungen sind wieder farblich markiert: jene für die DefaultBox in rot und jene für "Operabox" in dunkelgrün):

Geschrieben von: subset 26.07.2008, 14:24

Hi,

gelungene Zusammenfassung.
Nächste Woche machen wir dann mit GeSWall weiter, einer Alternative zu Sandboxie.
http://www.rokop-security.de/index.php?showtopic=16546
...

MfG

Geschrieben von: OOmatrixOO 27.07.2008, 11:11

hallo allerseits.
ich hab nun mal etwas mit sandboxie gespielt.ich komme ganz gut voran.
nur stellen sich mir noch 2 probleme die mit norton internet security 2008 zusammenhängen müssten.

1. ist es irgendwie möglich in der sandbox im firefox 3 die norton symbolleiste anzeigen zulassen?

2. ich benutze im firefox die erweitertung flashgot mit dem free download manager.habe da eingestellt das die heruntergeladenen dateien von norten gescannt werden sollen.nur funktioniert das in der sandbox nicht.

muss ich da noch etwas freigeben oder wie könnte man die problemchen lösen?

mfg

Geschrieben von: Peter 123 27.07.2008, 21:57

In deinem verlinkten Thread über GeSWall hat mir dieser Satz sehr gut gefallen:

So etwas liest ein Laie wie ich immer gern.
Aber davon abgesehen, kann ich zum Thema GeSWall derzeit nichts sagen, weil ich mich mit deiner Beschreibung noch nicht beschäftigt habe.

xxxxxxxxxxxxxxxxxxxx

Zu den Fragen von OOmatrixOO:

Ich melde mich dazu nur deshalb, weil ich ja auch deklarierter Benützer von Norton Internet Security 2008 bin. Es soll nicht der Eindruck entstehen, ich wollte dir nicht antworten; ich kann es aber leider nicht, weil ich weder diese Norton-Symbolleiste verwende noch die Erweiterung Flashgot im Firefox-Browser.

Hinsichtlich der Norton-Symbolleiste habe ich allerdings im Internet gelesen, dass auch andere Benützer Probleme mit ihrer Darstellung bei Firefox 3 haben - nämlich ganz unabhängig von einer etwaigen Verwendung des Sandboxie-Programms.

Ich weiß nicht, ob es bei dir außerhalb der Sandbox klappt und welche Version von NIS 2008 du am Rechner hast (15.0.0.60 oder 15.5.0.23).

Zitat aus einem Beitrag in einem anderen Forum (siehe http://forum.chip.de/homepage-questions/hpq-norton-symbolleiste-norton-internet-security-fehlt-firefox-3-a-1043301.html ):


[Einen Link zum Herunterladen dieser Version gibt es in dem angegebenen Thread.]

Das wäre dann also ein Problem, das unabhängig von Sandboxie besteht.

Geschrieben von: subset 27.07.2008, 23:59

Es hat über die Jahre mehrere Anfragen wegen der Norton Toolbar im Sandboxie Forum gegeben, jedoch anscheinend ohne eine Lösung.
Als erstes wäre einmal ein Sandboxie Trace eines NIS Benutzers notwendig, den könnte Ronen Tzur dann analysieren.
Anleitung Sandboxie Trace (englisch) http://www.sandboxie.com/index.php?SandboxieTrace


Auch hier weiß ich leider keine schnelle Lösung.
Wobei in diesem Fall die gefährlichen, ausführbaren Datei wahrscheinlich sowieso zweimal gescannt werden.
Einmal in der Sandbox und ein zweites Mal bei der Wiederherstellung.

MfG

Geschrieben von: OOmatrixOO 28.07.2008, 17:36

danke schon ma für die antworten.
ja ich hab bei nis 2008 die version 15.5.0.23 schon drauf.und die anzeige der symbolleiste klappt außerhalb der sandbax ohne probleme.
hab auch schon die anfragen im sandboxie forum gelesen aber da waren ja nicht wirklich lösungsansätze.
ich benutz sie halt sehr gern da ich den identity safe als praktisch ansehe.

mfg

Geschrieben von: subset 28.07.2008, 17:59

Ich habe NIS und SB auf meinen Testrechner installiert und herumprobiert, allerdings ohne Erfolg.
Deswegen habe ich die Trace Logs mal im SB Forum gepostet, vielleicht findet dort jemand eine Lösung.

MfG

Geschrieben von: OOmatrixOO 28.07.2008, 18:12

danke für deine hilfe aber ich glaub nicht das sich da was im forum tun wird.zumindest nicht in nächster zeit.

mfg

Geschrieben von: Peter 123 31.07.2008, 16:56

Unterdessen eine andere Frage:

Ich habe (wie oben dargestellt) die Option des Automatischen Löschens der Sandbox aktiviert. D.h. die Sandbox wird geleert, "sobald das letzte Programm darin beendet wurde und die Sandbox unbenutzt wird".

Nehmen wir an, in der Sandbox laufe nur ein Browser, also z.B. Firefox. Wie gehe ich da eigentlich auf die "richtige" Weise vor, wenn ich nach meinem Internetbesuch die Sandbox verlässlich geleert haben möchte?

a) Einfach den Browser schließen? (so mache ich es derzeit)

b) Oder besser, indem ich auf das Sandboxie-Icon in der Taskleiste rechtsklicke und auf "Alle Programme beenden" klicke? D.h.:




c) Bzw. indem ich auf das Sandboxie-Icon in der Taskleiste rechtsklicke, die offene Sandbox auswähle und dann auf "Programme beenden" klicke? D.h.:




d) Oder: wie Fall c), aber indem ich statt "Programme beenden" die Option "Inhalte löschen" auswähle?

Mit der "richtigen" Weise meine ich jene, die zuverlässig gewährleistet, dass meine Sandbox geleert ist (und somit etwaige Schädlinge aus ihr entfernt sind). Ich denke an folgenden Fall: Es könnte doch passieren, dass in der geöffneten Sandbox irgendein Schadprogramm (zB. ein Keylogger) läuft, das während meines Aufenthalts im Internet in die Sandbox gelangt ist. Bei Variante a) würde dann doch zwar das Browserprogramm beendet werden, aber nicht zwangsläufig das Schadprogramm. Damit wäre das letzte Programm in der Sandbox nicht beendet, und infolgedessen würde bei aktivierter Option des Automatischen Löschens die Sandbox noch nicht geleert.

_____________

Und zwei Zusatzfragen, was die obigen Varianten b), c) und d) betrifft:

- Ich nehme an, ein Unterschied zwischen b) und c) besteht nur dann, wenn ich mehrere Sandboxen gleichzeitig geöffnet habe (was in der kostenlosen Version von Sandboxie ohndies nicht möglich ist). Dann könnte man wählen, ob man alle Programme beendet (also die Programme sämtlicher gerade geöffneter Sandboxen) (Variante b), oder ob man dies nur hinsichtlich einer bestimmten Sandbox tun will (Variante c). Stimmt das so?

- Zum Unterschied zwischen den Varianten "(Alle) Programme beenden" und "Inhalte löschen":
Bei aktivierter Option des Automatischen Löschens dürfte es meiner Meinung nach keinen Unterschied machen, welche der beiden Varianten ich anklicke, um meine Sandbox zu leeren; denn das Beenden der Programme in einer Sandbox führt dann automatisch zum Löschen ihres Inhalts. Nur wenn jemand diese Option nicht aktiviert hat, bleibt die Sandbox auch nach dem Schließen der Programme "gefüllt". Richtig?

Geschrieben von: rolarocka 31.07.2008, 19:11

Wenn du sicher gehen willst dass nur dein Browser in der jeweiligen Sandbox läuft dann solltest du schon mit
ProcessGroup=<restricted1>,firefox.exe [für die zB Firefox] und ClosedFilePath=!<restricted1>,* arbeiten, wie im post Nr. 71 von Peter123 beschrieben. Damit gehst du sicher dass nur dein Browser in der Sandbox läuft und nichts anderes also auch kein Keyloger. Da dadurch eh nur dein Browser läuft wird beim beenden des Browsers auch immer automatisch deine Sandbox restlos gelöscht (sofern so eingestellt).

"Inhalte löschen" ist praktisch wenn du eine Sandbox leeren willst die nicht auf automatisch löschen eingestellt ist.

edit: lol sorry du bist ja Peter123 haha oh man -.-

Geschrieben von: subset 31.07.2008, 19:26

Ja, der automatische Ablauf ist immer zuerst alle Programme schließen und dann den Inhalt der Sandbox löschen.
Andersherum wäre sinnlos, da dann viele Dateien noch in Benutzung wären und somit nicht gelöscht werden könnten.
Kann eine Sandbox aus irgendeinem Grund nicht automatisch gelöscht werden, dann bekommst du eine entsprechende Meldung, ähnlich wie diese hier:



Deine Bedenken von wegen Schädlinge und Keylogger sind so gesehen unbegründet, da du über das Scheitern des Löschens der Sandbox ja informiert wirst.


Ja


Auch ja, Sandboxie ist sehr flexibel einsetzbar, wer z.B. ein Programm in eine Sandbox installieren will, um es zu testen, der will vermutlich auch, dass die Sandbox nicht sofort gelöscht wird.

MfG

Geschrieben von: Peter 123 31.07.2008, 20:29

Dann kann ich ja beruhigt sein. Danke euch beiden für die Antworten.

Und was das betrifft:

So habe ich es ohnedies (nach wie vor) konfiguriert (und werde es auch beibehalten ). Es war mir nur nicht bewusst, dass damit auch der Schutz gegen Keylogger etc. gewährleistet ist.


Und gleich noch eine Frage, und zwar zu der Option "Beenden" bei Rechtsklick auf das Sandboxie-Icon in der Taskleiste:



Welche Funktion hat denn das? Man sollte ja meinen, "Beenden" bedeute so etwas wie "Schließen der Sandbox" (einschließlich Beenden der darin laufenden Programme); aber das ist offenbar damit nicht gemeint. Einziger Effekt des Klickens auf "Beenden" war bei mir das Verschwinden des Sandboxie-Icons aus der Taskleiste. Die Sandbox selbst (konkret: der Browser) blieb aber geöffnet, und es lief offenbar ganz normal alles in der Sandbox weiter. Ist meine Beobachtung richtig? Wenn ja, dann wäre das so genannnte "Beenden" eigentlich eher ein bloßes "Ausblenden aus der Taskleiste".


Und dann würde mich noch interessieren, ob meine Annahme stimmt:

- Sandboxie-Icon mit roten Pünktchen bedeutet "Sandbox hat einen Inhalt":



- Sandboxie-Icon ohne rote Pünktchen bedeutet: "Sandbox ist geleert":

Geschrieben von: rolarocka 31.07.2008, 20:45

Ich würde eher sagen Sandbox-Icon ohne rote pünktchen bedeutet "Sandbox nicht aktiv". Der Inhalt bleibt drin solange es nicht automatisch oder manuell gelöscht wird.

Geschrieben von: subset 31.07.2008, 21:55

Hi,

mit roten Pünktchen bedeutet: in irgendeiner Sandbox ist wenigstens ein Programm aktiv.
Also bedeutet ohne roten Pünktchen nur, dass kein Programm aktiv ist, nicht ob eine oder alle Sandboxen geleert sind.

Wegen der Sandboxie Control (SbieCtrl.exe)
Diese sollte immer aktiv sein, wenn Programme in der Sandbox gestartet werden, da die Wiederherstellung von Dateien oder die Löschung von Sandboxen von ihr ausgeführt wird.
Um das sicher zu stellen, sollte man unter Konfiguration > Windows Explorerintegration diese Option aktivieren:



Dann kann man aber die Sandboxie Control ohne Nachteile aus dem Autostart nehmen oder beenden, wenn kein Programm in einer Sandbox aktiv ist.

MfG

Geschrieben von: Peter 123 31.07.2008, 21:56

Wenn das so ist, erübrigt sich meine Zusatzfrage. Ich habe nämlich auch einen Fall herausgefunden, in dem die roten Pünktchen verschwinden, obwohl die Sandbox noch einen Inhalt hat. Das ist jetzt - nach deiner Erklärung - nicht mehr weiter verwunderlich, und ich kann mir die (eher komplizierte) Schilderung dieses Falls ersparen.

Das mit den roten Punkten finde ich dann aber nicht sonderlich geschickt gestaltet:

Vorhandene bzw. nicht vorhandene Pünktchen in einem Kästchen lassen eher daran denken, dass damit der Inhalt der Sandbox (bzw. das Fehlen eines solchen) gemeint ist. Die nicht-aktive Sandbox könnte besser dadurch gekennzeichnet sein, dass das Icon nicht mehr gelb ist, sondern z.B. grau wird. (Man assoziiert "gelb" ja z.B. auch eher mit "aufgedrehtem Licht", also mit Aktivität). Sehr logisch ist das also nicht gemacht.

Außerdem wäre es praktisch, wenn man jederzeit auf einen Blick sehen könnte, ob die Sandbox gerade gefüllt oder leer ist.

Wenn man das Automatische Löschen verwendet, fallen inaktive Sandbox und leere Sandbox zwar meistens zusammen, aber eben doch nicht immer.

Ich gebe allerdings zu, dass ich mit diesen Überlegungen eigentlich ins Sandboxie-Forum gehöre. Nur ist es mir zu beschwerlich, dort mein Anliegen auf englisch vorzutragen.

PS:
Ich habe es jetzt doch im Sandboxie-Forum deponiert.

PPS:
Tut mir Leid, subset, deinen Beitrag hatte ich völlig übersehen und erst jetzt gelesen. Aber hinsichtlich der Pünktchen hast du ja bestätigt, was zuvor auch rolarocka meinte. Also ist mein im Sandboxie-Forum gemachter Vorschlag nicht so abwegig. Was die Option bei der Windows Explorerintegration betrifft: die ist bei mir aktiviert.

Geschrieben von: subset 01.08.2008, 00:22

Die Idee ist natürlich nicht abwegig, du schließt nur von der speziellen Situation mit SB Free (nur eine Sandbox gleichzeitig, du schreibst ja auch "in the sandbox") auf das ganze Programm.

Die Vollversion erlaubt ja mehrere Sandboxen gleichzeitig.
Also z.B. ich beende eine aktive Sandbox, von der der Inhalt der Sandbox nicht gelöscht wird und beende dann die nächste aktive Sandbox, bei der der Inhalt gelöscht wird.
Was soll das Trayicon jetzt anzeigen? Sandbox voll oder Sandbox leer?

MfG

Geschrieben von: Peter 123 01.08.2008, 01:17

Ich habe es jetzt auch gerade im Sandboxie-Forum ergänzend geschrieben:
Pünktchen im Icon würden bedeuten: Zumindest eine (von 35 eingerichteten ) Sandboxen ist voll.

Was sieht man denn derzeit? Doch auch nicht mehr; sogar weniger. Ich kann es nicht nachstellen, weil ich ja in der Gratis-Version ohnedies immer nur eine Sandbox "geöffnet" (= in ihr ein Programm laufen) haben kann. Aber nehmen wir an, jemand hätte 8 Sandboxen eingerichtet, und von denen wären gerade gleichzeitig 5 geöffnet. D.h. in ihnen laufen Programme. Dann sieht der Betreffende derzeit die roten Punkte im Icon - und das ist auch schon alles. Er weiß also derzeit mit einem Blick auf das Icon auch nicht, wie viele (und welche konkreten) Sandboxen aktiv sind, geschweige denn welche Programme darin laufen. (Und ob irgendeine Sandbox voll oder leer ist, darüber weiß er im Moment anhand des Icons gar nichts.)

Mit meinem Vorschlag hätte er in Zukunft mit einem Blick auf das Icon wenigstens zwei Informationen:
- Farbe (gelb oder grau) = "Läuft in (mindestens) einer Sandbox ein Programm?" (das ist derzeit die Funktion der Pünktchen)
- Pünktchen (ja oder nein) = "Ist in (mindestens) einer Sandbox ein Inhalt?"

Geschrieben von: Peter 123 02.08.2008, 02:51

Zum Thema Icon hat sich im Sandboxie-Forum jetzt auch tzuk persönlich geäußert. Seine Argumentation in dieser Frage finde ich zwar ausgeprochen dürftig, aber sei's drum. Zum Glück geht es dabei ja nur um ein eher "kosmetisches" Problem. Diese diversen "kleinen" (und durchwegs vermeidbaren) Ungereimtheiten des Sandboxie-Programms nerven (mich) zwar etwas. Aber Hauptsache ist, dass das Programm seine Funktion zuverlässig erfüllt.

Jetzt habe ich noch eine andere Frage, die unter dem Sicherheitsgesichtspunkt von größerer Bedeutung ist. Ich vermute, sie hängt eng mit deinen Konfigurationsempfehlungen zusammen, subset. Es geht um folgende Maßnahmen:

a) (manuelle) Überprüfung einer heruntergeladenen Datei mit dem Virenscanner innerhalb der Sandbox
b) Ausführen einer heruntergeladenen exe-Datei (oder Öffnen einer Zip-Datei usw.) innerhalb der Sandbox

Das ist (mir) mit der besprochenen Konfiguration nicht möglich.

Was Fall a) betrifft, würde mich das auch nicht weiter stören. Ich handhabe das nämlich ohnehin so, dass ich die betreffende Datei wiederherstelle (= aus der Sandbox auf meinen Desktop übertrage) und dann am Desktop den Virenscan durchführe (natürlich vor dem ersten Öffnen der Datei ). Es würde mich nur interessieren, ob diese Methode ebenso sicher ist wie eine Vornahme des Virenscans innerhalb der Sandbox. Also konkret: Ob es ungefährlich ist, wenn ein (etwaiger) Schädling in Form einer ungeöffneten Datei am Desktop liegt. Wenn das unbedenklich ist, würde ich bei dieser Methode bleiben und auf die Überprüfung innerhalb der Sandbox verzichten.

Der Fall b) wäre dann interessant, wenn ich z.B. einmal eine Software nur probeweise innerhalb der Sandbox installieren möchte, etwa um zu prüfen, ob sie mir zusagt. Dass ich mir neue Software installiere, kommt zwar ohnedies kaum vor; aber es wäre dennoch gut zu wissen, wie ich in diesem Fall vorgehen könnte.

Geschrieben von: subset 05.08.2008, 21:56

Es gibt eine Möglichkeit, die ist aber wegen ihrer Unsicherheit nicht zu empfehlen.

Durch das Hinzufügen der folgenden Zeilen in die jeweilige Sandbox der Sandboxie.ini wird die Norton Toolbar angezeigt und funktionierte bei meinen Tests unter XP und Vista einwandfrei:

OpenIpcPath=\RPC Control\epmapper
OpenIpcPath=\RPC Control\OLE*
OpenIpcPath=\BaseNamedObjects\RotHintTable

Der Hersteller von Sandboxie, Ronen Tzur, warnt allerdings davor.

http://www.sandboxie.com/phpbb/viewtopic.php?p=24936#24936

MfG

Geschrieben von: OOmatrixOO 06.08.2008, 12:08

danke dir hab den thread auch etwas verfolgt obwohl alles auf englisch war.
dann würd ich sagen lassen wir das mit der toolbar der sicherheit zu liebe.is ja jetzt auch kein beinbruch
nur mal so am rande gibt es denn eine firefoxerweiterung die den selben zweck erfüllt wie der identity safe in der toolbar?

mfg

Geschrieben von: subset 06.08.2008, 13:44

Erweiterungen gibt es schon einige, z.B.:
Secure Login https://addons.mozilla.org/de/firefox/addon/4429
Key Manager https://addons.mozilla.org/de/firefox/addon/4471
Sxipper https://addons.mozilla.org/de/firefox/addon/4865

MfG

Geschrieben von: OOmatrixOO 06.08.2008, 19:27

danke schön...hatte mich auch schon durch die addons gewühlt

mfg

Geschrieben von: Peter 123 07.08.2008, 00:33

Ich habe mich jetzt einmal anderweitig nach Informationen zu den von mir in Beitrag 88 erwähnten Fragen umgesehen. Vielleicht sind meine Erkenntnisse auch für andere von Interesse.

Das kann ich erfreulicherweise korrigieren: Die Überprüfung ist mir sowohl mit der Standardkonfiguration als auch mit der hier besprochenen Spezialkonfiguration in gleicher Weise möglich, zum Beispiel so (es gibt auch andere Wege):

1. Doppelklick auf das Sandboxie-Icon in der Taskleiste ---> Rechtsklick auf jene Sandbox, deren Inhalt gescannt werden soll (zB. "DefaultBox") ---> Klick auf "Inhalte anzeigen":




2. Den allfälligen Warnhinweis im sich öffnenden Fenster mit "OK" bestätigen:



(Diesen Warnhinweis hatte ich lange Zeit missverstanden. Was hier wieder einmal etwas rätselhaft signalisiert werden soll, ist offenbar nichts anderes als: "Achtung: Wenn du nachfolgend Programme bzw. Ordner/Dateien direkt öffnest, so geschieht das außerhalb der Sandbox. Wenn du das vermeiden willst, mach einen Rechtsklick auf das betreffende Programm bzw. den Ordner oder die Datei und wähle aus dem Menü die Option 'Run Sandboxed'/'In der Sandbox starten'.")

3. Dann erscheint folgendes Fenster:



Zum Scannen gibt es jetzt zwei Möglichkeiten:

a) man scannt den gesamten user-Ordner, indem man auf ihn rechtsklickt und dann die Überprüfung durch den entsprechenden Virenscanner auswählt (in meinem Fall "AntiVir" und/oder "Norton Internet Security"):



oder
b) Wenn man den Namen der heruntergeladenen Datei kennt, kann man durch Eingabe des Namens direkt nach ihr suchen und sie dann gesondert scannen (wieder mittels Rechtsklick + Auswahl des Virenscanners).

Z.B. hatte ich probeweise eine Grafik namens "nav.gif" in die Sandbox heruntergeladen:

Suche:


Suchergebnis:


_________

Das Scannen einer in die Sandbox heruntergeladenenen Datei funktioniert hingegen nicht auf folgende Weise (und das verleitete mich zunächst zur Annahme, das Scannen wäre überhaupt nicht möglich):

"nav.gif" ist die von mir heruntergeladene (Grafik-)Datei, die für die "Wiederherstellung" am Desktop vorgesehen ist. Entsprechend scheint sie im Sandboxie-Control-Fenster auf:



Ein Rechtsklick auf den Dateinamen ermöglicht mir hier jedoch keine manuelle Überprüfung auf Viren! (Ich habe bei Rechtsklick zwar die Option, die Datei in der Sandbox zu öffnen oder sie sofort außerhalb der Sandbox "wiederherzustellen"; aber beides geschieht dann eben ohne vorangegangenen manuellen Virenscan.)
_______

Eine etwas anspruchsvollere (und in Englisch verfasste) Erläuterung zum Thema kann man sich auch hier ansehen:
http://www.raymond.cc/blog/archives/2007/11/02/how-to-investigate-suspicious-file-using-sandboxie/

xxxxxxxxxxxxxxxxxxxxxxxxxxxxx


Ich habe es jetzt einmal mit einer beliebigen exe-Datei getestet, und zwar jener für das bekannte Programm CCleaner. In meiner speziell konfigurierten Sandbox konnte ich das Programm nicht installieren; in einer probeweise angelegten Sandbox, die mit der Standardkonfiguration lief, hingegen schon. ---> Wenn man ein Programm innerhalb einer Sandbox testen möchte, ohne aber an der "Spezialkonfiguration" der bereits bestehenden Sandbox etwas ändern zu wollen, empfiehlt es sich also wahrscheinlich, zwecks Vornahme dieses Tests einfach eine weitere Sandbox einzurichten*, bei dieser die Standardkonfiguration (ganz oder teilweise) beizubehalten und dort das Programm zu installieren. (Sei es nach dem direktem Herunterladen der betreffenden exe-Datei aus dem Internet in die Sandbox; sei es - falls sich diese Datei schon am Desktop befindet - mittels Rechtsklick und "Run Sandboxed" + Auswahl der für den Test eingerichteten Sandbox.)

*) Funktioniert ganz einfach:

Geschrieben von: rolarocka 07.08.2008, 01:18

Es ist ziemlich egal wie du Sandboxie einstellst, alles was auf die Festplatte kommt, wird von deinem Realtime Scanner gescannt, egal wo, also auch das was in die Sandboxie "heruntergeladen" wird. Der Realtime Scanner macht da kein Unterschied. Manuelles Scannen ist nicht so wichtig, es sei denn deine Signaturen werden geupdatet und du willst dann deine Sandboxen durchscannen. Die sollten aber eh leer sein wenn du sie auf automatisches löschen eingestellt hast. Manuelles scannen kannst auch einfach wenn du ein Shortcut erstellst zu deinem Sandbox Ordner, rechtsklick drauf und scannen.

Geschrieben von: Peter 123 07.08.2008, 01:35

Das stimmt. Aber ich habe es mir zur Gewohnheit gemacht, Dateien vor dem Öffnen immer auch noch mit Avira/AntiVir manuell zu scannen. Avira aktualisiert seine Virendefinitionsdateien viel öfter als mein Realtime-Scanner Norton. Deshalb vertraue ich da nicht auf Norton allein.


Danke für den Tipp. Werde ich mal ausprobieren.

Geschrieben von: rolarocka 07.08.2008, 01:48

Ach so. Ich benutzt dafür immer den Uploader von Virus Total: http://www.virustotal.com/de/metodos.html
Da kriegt man einen besseren überblick.

Geschrieben von: Peter 123 13.08.2008, 01:06

Mir ist bei der Benützung von Sandboxie etwas aufgefallen, das mir zu denken gibt:

Ich surfe mit Firefox in der Sandbox; nach dem Schließen + Leeren der Sandbox und dem neuerlichen Start von Firefox in der Sandbox scheinen die zuvor angesurften Seiten in der Chronik auf! Die müssten doch eigentlich verschwunden sein - wie alles andere, was während der früheren Benützung der Sandbox passiert ist.

Hat jemand eine Erklärung dafür, warum das bei der Chronik nicht so ist? Es stört mich nicht weiter, aber ich möchte sicher sein, dass die Sandbox wirklich in jeder Hinsicht "dicht" ist.

Übrigens scheint die Chronik der in der Sandbox aufgerufenen Seiten nur dann auf, wenn ich Firefox wieder innerhalb der Sandbox öffne. Wenn ich es außerhalb der Sandbox mache, sind diese Seiten nicht in der Chronik verzeichnet. Und bei der Benützung von Opera scheint es das Phänomen auch nicht zu geben (jedenfalls, soweit ich das bisher beobachtet habe).

Nachtrag:
Ich habe jetzt zufällig entdeckt, woran es gelegen sein dürfte: Meine Sandbox hatte sich mehrmals beim Schließen nicht geleert (obwohl das Automatische Löschen aktiviert ist!). Das musste ich jetzt händisch machen, und damit war beim nächsten Öffnen (des Browsers in) der Sandbox auch die alte Chronik gelöscht.
Es wäre halt doch nicht so schlecht, wenn man auf einen Blick erkennen könnte, ob man eine leere oder eine gefüllte Sandbox hat ...

Geschrieben von: rolarocka 01.10.2008, 09:18

Neue Sandboxie beta draussen (3.31.02)

Fixes - Changes:

* The Programs Alerts feature stopped working in version 3.30, now working again in version 3.31.

* Sandboxie Control no longer has to be "Run as administrator" in the cases where this used to be required.

Compatibility with Third Party Software:

* The default Resource Access exclusion for KeyScramber has been revised.

* Norton Internet Security 2009 toolbar should work fine inside a sandboxed Internet Explorer."

New Features:

* Leader Programs. In a way, it is the opposite of lingering programs. When all "leader" programs have ended in a sandbox, everything else terminates as well. See Sandbox Settings -> Program Stop, or Program Settings Page 1.

* New sandbox restrictions: Internet Access and Start/Run Access. See Sandbox Settings -> Restrictions, or Program Settings Page 2.

Other than the obvious improvement of not having to manage <ProcessGroups> manually in the Ini file, there are two more benefits:

* You can ask to be notified by message (SBIE1307 and SBIE130 when a program is restricted.

* You don't have the burden of having to specify SandboxieRpcss and friends. Programs in the Sandboxie installation folder are immune to Start/Run restrictions.

Geschrieben von: rolarocka 30.10.2008, 21:16

Mit der neuesten beta ist Chrome nun auch mit Sandboxie kompatibel und braucht nicht mehr -no-sandbox um zu funktionieren.

(3.31.16)

o Fixed a problem that prevented Sandboxie Control from terminating specific programs such as wuauclt.exe.

o Fixed a problem that prevented Immediate Recovery notifications from Internet Explorer on Windows Vista.

o Fixed minor problems that prevented K-Meleon and Chrome browsers from working correctly in the sandbox.

Geschrieben von: subset 30.10.2008, 22:01

Hi,

das manuelle Editieren der Sandboxie.ini für diverse Einstellungen (die hier lang und breit diskutiert wurden) ist mittlerweile auch Geschichte.
Man kann das nun alles über das Fenster für die Sandbox Einstellungen machen.

Und auch die NIS2009 Toolbar sollte nun mit Sandboxie ab Version 3.31.02 funktionieren.

MfG

Geschrieben von: Peter 123 31.10.2008, 14:15

Zufall: Ich bin nach längerer Zeit wieder hier und lese diese erfreuliche Nachricht:

Danke für die Information. Das muss ich mir gleich ansehen, sobald ich dazukomme (und sobald Version 3.31.02 zum Download zur Verfügung steht).

Derzeit plagt mich aber ein anderes Problem:

Ich habe derzeit noch Sandboxie in der Version 3.30 (unverändert in der "strengen" Konfiguration, die in diesem Thread besprochen wurde), und plötzlich funktioniert Java nicht mehr. Konkret:

Ich habe heute Java ™ Version 6 Update 10 am Rechner installiert (Vorgängerversion habe ich zuvor entfernt).

Außerhalb der Sandbox funktioniert die neue Java-Version einwandfrei (Browser: Firefox 3.0.1). Wenn ich Java hingegen innerhalb der Sandbox benützen will,
- öffnen sich die betreffenden Webseiten entweder überhaupt nicht, und der gesamte Browser friert ein (wenn Javascript für die betreffende Seite bereits erlaubt war)
oder
- die Seiten öffnen sich, bleiben dann aber hängen ("keine Rückmeldung") (sofern ich die Seite mit aktiviertem NoScript angesurft habe und dann JacaScript für die betreffende Seite individuell erlauben möchte).

Konkret ist das z.B. so auf den beiden folgenden Testseiten für Java:
http://www.java.com/de/download/help/testvm.xml
http://www.heise.de/security/dienste/browsercheck/tests/java.shtml

Eine De- und Neuinstallation der neuen Java-Version änderte nichts.

Meiner Erinnerung nach gab es früher nie Probleme mit Java innerhalb von Sandboxie. Hat jemand die gleichen Schwierigkeiten bzw. weiß jemand Abhilfe? Danke.

Geschrieben von: subset 31.10.2008, 14:50

@ Peter 123

Es ist sehr umständlich, sich mit diesem Java Problem auseinander zu setzen, wenn es womöglich mit einem Update auf die aktuelle Beta nicht mehr vorhanden ist.
Die aktuelle Beta kannst du hier herunterladen.
http://www.sandboxie.com/phpbb/viewtopic.php?t=4052
Die alte Sanboxie.ini am besten sichern und aus dem Windows Verzeichnis entfernen vor dem Neuinstallieren/Updaten, damit Sandboxie eine neue INI erstellt.
In die neue INI kannst du praktischerweise die OpenFilePath Anweisungen kopieren, aber alle übrigen Einstellungen über das Sandboxie Fenster machen.

MfG

Geschrieben von: Peter 123 31.10.2008, 15:04

Danke. Dann hoffe ich, dass sich das Problem mit der nächsten Sandboxie-Version ohnedies "von selbst" löst. Allerdings warte ich mit dem Herunterladen noch zu, bis sie offiziell herauskommt. Beta-Versionen sind mir als Laien immer unheimlich.

Geschrieben von: claudia 31.10.2008, 15:12

mit GeSWall besteht das Java Problem seit Update auf 10 auch!

Geschrieben von: subset 31.10.2008, 16:56

Hi,

die Probleme bei GeSWall und Sandboxie hängen anscheinend mit den neuen Komponenten von Java 6 Update 10 zusammen.
Bei Firefox wird etwa eine Erweiterung Java Quick Starter und der Plugin Java Platform SE 6 U10 installiert.
Im Sandboxie Forum findet sich auch ein Thread dazu.
http://www.sandboxie.com/phpbb/viewtopic.php?t=4079
Eine Lösung gibt es aber noch nicht.

Ich habe beide Programme derzeit nicht in Verwendung, wenn also jemand herausfinden will, ob es wirklich diese neuen Komponenten sind, dann sollte man sie versuchsweise im Browser deaktivieren.
Wenn dann GeSWall und Sandboxie keine Probleme mehr machen, dann kennt man wenigstens die Verursacher.

MfG

Geschrieben von: Peter 123 31.10.2008, 17:39

Immer gut zu wissen, dass man nicht allein ist mit einem Problem. Danke für den Hinweis. Dann liegt es wohl tatsächlich an dem Java-Update.


Mit dem (aufdringlichen) Java Quick Starter dürfte es nicht zusammenhängen: Den habe ich nicht nur deaktiviert, sondern sogar deinstalliert.* Das Problem besteht unverändert. Mit der Platform SE 6 U10 müsste ich mich noch beschäftigen.

Was bei Firefox seit dem Java-Update auch nicht mehr funktioniert (auch außerhalb der Sandbox nicht): der Aufruf der Java-Konsole im Browser über "Extras" ---> "Java Console".
Wenn ich das anklicke, passiert gar nichts, außer dass die Option "Java Console" ausgegraut wird und erst nach neuerlichem Öffnen des Browsers wieder (erfolglos) angeklickt werden kann. **
__________________
*) Start ---> Systemsteuerung (klassische Ansicht) ---> Java ---> Registerkarte "Erweitert" ---> "Diverses" ---> Häkchen bei "Java Quick Starter" entfernen

**) Kurze Info für die Interessierten:

Zu dem Thema habe ich gerade diese beiden Threads (englisch) entdeckt, komme aber im Moment nicht dazu, sie zu lesen:

http://www.wilderssecurity.com/showthread.php?t=223725

http://forums.sun.com/thread.jspa?threadID=5340493

Geschrieben von: Peter 123 31.10.2008, 21:41

Beide Probleme gelöst - sowohl jenes mit Sandboxie und Java als auch jenes mit dem misslingenden Aufruf der Java-Konsole über den Firefox-Browser.

Zu deaktivieren ist (im Java Control Panel) eine Option mit der merkwürdigen Bezeichnung "Java-Plug-In der nächsten Generation aktivieren".

Das heißt :
1. Java Control Panel aufrufen:
Start ---> Systemsteuerung (klassische Ansicht) ---> Java

2. Registerkarte "Erweitert" auswählen und dort "Java-Plug-In" anklicken

3. Den Haken entfernen bei "Java-Plug-In der nächsten Generation aktivieren":



4. Computer neu starten.

Resultat:

- Die Java-Tests auf den beiden schon zuvor genannten Webseiten funktionieren bei mir jetzt auch wieder innerhalb der Sandbox:
http://www.java.com/de/download/help/testvm.xml
http://www.heise.de/security/dienste/browsercheck/tests/java.shtml

- Und die Java-Konsole wird wieder geöffnet, wenn man im Browser auf Extras ---> Java Console klickt.

Immer diese Zwangsbeglückung mit komischen Features bei neuen Software-Versionen.

PS:
In folgendem Thread (englisch) habe ich (auf Seite 6) von dem "Enable the next-generation Plug-in” gelesen:

http://www.dslreports.com/forum/r21276364-Java-Runtime-Environment-JRE-6-Update-10-October-16-200~start=100

Ich habe keine Ahnung, was in diesem Thread alles zum Thema diskutiert wurde, aber die Deaktivierung des erwähnten Plug-ins habe ich gleich einmal ausprobiert, und es hat geklappt.

Geschrieben von: Scrapie 15.11.2008, 18:46

Hi

Gerade etwas mit Sandboxie gespielt, da ich kürzlich über einen Crypter mit AntiSandoxie-Funktion gestolpert bin.
10 Zeilen Code in VB sind ausreichend, um zu ermitteln, ob Sandboxie vorhanden ist:

Bsp.-Exe im Anhang...


Gruß,
Scrapie

Geschrieben von: subset 15.11.2008, 20:23

Naja, gaaanz korrekt ist die Aussage nicht.
Es wird ja nur ermittelt, ob die Sandboxie.ini im Windows Verzeichnis ist.

Was Programme ermitteln können, die außerhalb der Sandbox laufen, ist hier wohl belanglos.
Für die IsSandboxieThere.exe in der Sandbox muss man nur den Zugriff auf die Sandboxie.ini verweigern.

http://img201.imageshack.us/my.php?image=sb01jo3.png

Und schon liefert das Programm eine Falschmeldung.

http://img201.imageshack.us/my.php?image=sb02jy5.png

MfG

Geschrieben von: Scrapie 16.11.2008, 08:52

Jup, ist richtig.
Nur dazu musst du VORHER wissen, ob die "Malware" xyz, das Java-Applet "123", das Setup "?=/", ... dies überprüft UND entsprechende Einstellungen tätigen.
Es wäre klüger für den Hersteller, sein Programm gleich im Vorfeld besser abzuschirmen (mit entsprechenden Default-Werten), um eine Erkennung zu erschweren. So läge die Verwantwortung nicht zu 100% beim (unbedarften?) User und es bräuchte mehr als 10 Zeilen Code, festzustellen ob Sandboxie vorhanden ist. Auf mehr sollte das kleine Bsp. nicht hinweisen.

Das ist übrigends nicht der einzige, billige Weg um festzustellen, das Sandboxie verhanden ist. Eine Bsp. ohne Source läßt dich bestimmt ein paar Minuten mehr beim Studium von ProcessExplorer und Co. zubringen, damit du dann Sandboxie mit entsprechenden Usersettings "stählern" kannst. Nur wie gesagt, ob dies der unbedarfte User auch weiß und bei jedem Programm entsprechend Voreinstellungen setzt.....?



Scrapie

Geschrieben von: Peter 123 18.11.2008, 22:49

Sandboxie, Version 3.32, steht seit 16. November offiziell zum Herunterladen zur Verfügung:
http://www.sandboxie.com/index.php?DownloadSandboxie

Eine vorhandene ältere Version kann ohne Deinstallation überschrieben werden:

Das hat bei mir ohne Probleme geklappt. Alle Konfigurationseinstellungen blieben erhalten.

Geschrieben von: Peter 123 28.11.2008, 06:30

Kann mir bitte jemand sagen, ob die folgende Warnmeldung von Sandboxie in meinem Fall harmlos ist? (Ich bin zwar optimistisch, aber hätte doch ganz gern eine fachkundige Bestätigung. )

Diese Meldung trat in folgender Situation wiederholt auf (d.h. sie erschien auch dann mehrmals wieder, wenn ich auf "Close" klickte):

- In der Sandbox lief ausschließlich Skype (also kein Internetbrowser usw.).
- Es war keine Verbindung mit einem anderen Skype-User hergestellt, und es erfolgten keinerlei Tastatureingaben.
- Skype war nur geöffnet, um mit der Webcam einige Videoschnappschüsse herzustellen (was auch gelang).
- Die entsprechenden Bild-Dateien habe ich außerhalb der Sandbox am Desktop abgelegt.
- Die Sandbox ist so konfiguriert, wie in diesem Thread am Ende von http://www.rokop-security.de/index.php?showtopic=16824&st=60&p=243034&#entry243034 dargestellt (Konfiguration der DefaultBox)
- Webcam: "Creative Webcam Live Pro" // Skype-Version: 3.8.0.180 // Sandboxie-Version: 3.32

Ich vermute also, die Meldung resultiert aus einem Zusammenspiel von Skype mit der Webcam.

Die Erläuterung zur Meldung SBIE 1304 auf der Sandboxie-Webseite lautet:


Damit bin ich ungefähr so schlau wie auch schon zuvor.

Vielleicht kann also jemand weiterhelfen. Danke.

Geschrieben von: Peter 123 29.12.2008, 03:35

Ich habe gerade bemerkt, dass diesbezüglich in der deutschen Version (3.32) eine kleine (völlig harmlose) Ungenauigkeit passiert sein dürfte, die nur systematischer bzw. sprachlicher Natur ist:

In der englischen Version handelt es sich ja offenbar um den Menüpunkt "Restrictions". Der sieht anscheinend so aus (Graphik entnommen aus http://www.wilderssecurity.com/showpost.php?p=1375236&postcount=19):



---> D.h. es gibt bei "Restrictions" die drei folgenden Unterpunkte:
- "Internet Access"
- "Start/Run Access"
- "Low-Level Access"
[- und in der Beta-Version 3.33 auch noch einen vierten Unterpunkt "Drop Rights"]

Die deutsche Version unterscheidet hingegen zwischen den Menüpunkten "Beschränkungen" und "Restrictions":



---> Der Unterpunkt "Low-Level-Access" wurde hier also nicht den (übrigen) "Beschränkungen" zugeordnet, sondern in einem eigenen Menüpunkt "Restrictions" belassen.

Ich nehme mal an, das ist unbeabsichtigt.

Falls subset diesen Beitrag lesen sollte (was ich vermute ):
Wenn ich mich richtige erinnere, hattest du irgendwo erwähnt, dass du an der deutschen Version von Sandboxie mitgearbeitet hast. Vielleicht könntest du eine entsprechende Änderung anregen. (?)
________

PS: Wie ich soeben bemerke, scheint sich hinsichtlich des nachfolgenden Menüpunkts Ähnliches abzuspielen (ohne mir das aber im Detail angesehen zu haben):

- Englische Version: "Resource Access"
- Deutsche Version: "Ressourcenzugriff" und "Resource Access"

Geschrieben von: subset 29.12.2008, 03:53

@ Peter

das liegt daran, dass die Übersetzung derzeit unvollständig ist und zusätzlich hat Ronen Tzur die Einbindung der Lokalisierungen geändert.

In diesem Thread sind die Zeilen, die noch zu übersetzen sind.
http://www.sandboxie.com/phpbb/viewtopic.php?t=4056

Da taucht z.B auch noch der Low-Level Access unter Restrictions auf.
3931;txt;01
Restrictions::Low-Level Access
Man müsste das nur so korrigieren:
3931;txt;01
Beschränkungen::Low-Level Zugriff
Dann würde es im Menü auch unter Beschränkungen erscheinen.

MfG

Geschrieben von: Peter 123 29.12.2008, 04:07

Na das ging ja schnell. Noch dazu um diese Uhrzeit!

Danke für die Information.

Geschrieben von: Firefox 1947 01.01.2009, 17:41

@subset.

Hallo...

Ich bin neu in diesem Forum und Compuer-Neuling, habe jetzt auch -- SANDBOXIE -- auf meinem PC installiert. Ist es möglich, dass du mal die " optimalen Einstellungen " in Form von Screenshot hier ins Forum stellst, aber bitte nicht mit Quick-Time, dies Software möchte ich möglichst nicht installieren, viele was vorher hier geschrieben wurde verstehe ich nicht und kann es deshalb auch nicht anwenden. Danke.

MfG. Firefox 1947

Geschrieben von: winchester 01.01.2009, 18:10

Schau doch mal Posting No. 1 ,da ist doch alles mit Bildern gut und einfach erklärt

Geschrieben von: Firefox 1947 01.01.2009, 18:54

@winchester.

Das habe ich schon übernommen für die Bereiche die ich verstanden habe.

Von dem was danach kam habe ich wenig verstanden, das war schon zu speziell,
also nicht unbedingt für PC-Anfänger geeignet.

MfG. Firefox 1947

Geschrieben von: subset 01.01.2009, 22:57

Ich habe keine Ahnung, was du mit Sandboxie genau anstellen willst.
Sandboxie ist extrem vielschichtig und sehr gut für alle möglichen Einsatzzwecke zu konfigurieren, "optimale Einstellungen" gibt es so gesehen also nicht.
Wenn du neue oder dir unbekannte Programme zur Sicherheit erst einmal in der Sandbox ausführen willst, dann sind ganz andere Einstellungen optimal, als wenn du nur den Browser in der Sandbox laufen lassen willst.

Also musst du schon wenigstens bekannt geben...
- was du mit Sandboxie machen willst
- und mit welchen Programmen du das machen willst.

Nebenbei bemerkt, Sandboxie ist "Out of the box" schon sehr sicher, also mit den Grundeinstellungen gleich nach der Installation. Man sollte sich von den Spitzfindigkeiten in diesem Thread also nicht verunsichern lassen, denn oft geht es hier nur um zusätzliche Komforteinstellungen oder besondere Absicherungen für "Übervorsichtige".

MfG

Geschrieben von: winchester 01.01.2009, 23:31

Also das Program nur im Browser mit diesen Einstellungen laufen zu lassen ist schon genial und zur Not kann man immer noch ein Image einspielen (True Image)
@Firefox: 1943

Geschrieben von: Peter 123 02.01.2009, 00:13

Ich habe auch bei einem Kenntnisstand von beinahe Null angefangen und dann anhand von subset's Erläuterungen und mit seiner Hilfe meine Sandbox spezieller eingerichtet. Sie ist bei mir im Wesentlichen dafür gedacht, die Internet-Browser bzw. allenfalls Messengerdienste und Skype darin laufen zu lassen. Eine Zusammenfassung dazu habe ich in Beitrag # 71 geschrieben:

http://www.rokop-security.de/index.php?showtopic=16824&st=60&p=243034&#entry243034

aufbauend auf Beitrag # 54:

http://www.rokop-security.de/index.php?showtopic=16824&st=40&p=242668&#entry242668

Vielleicht hilft dir das weiter.* (Manches kann man in der neuesten Version von Sandboxie sogar schon ohne direkten Eingriff in die ini-Datei konfigurieren; aber ich glaube, es geht auch ganz bequem, wenn man es nach dem oben geschilderten "Rezept" macht. )

*) Es ist leider etwas unübersichtlich, weil ich gleich zwei Sandboxen eingerichtet habe:

- Die Default Box für die Browser Firefox und IE sowie für die Messengerdienste und Skype (dazu gehören die Einträge "Restricted1" in der ini-Datei).
- Eine zweite Sandbox ("Operabox") nur für den Browser Opera (dazu gehören die Einträge "Restricted2" in der ini-Datei).

---> Das vereinfacht sich, wenn du ohnedies nur eine Sandbox einrichten möchtest.

Geschrieben von: Firefox 1947 02.01.2009, 18:56

Hi@all...

Danke schon mal für eure Infos, werde mich erst einmal genau über alles was von euch zum Thema Sandboxie geschrieben wurde
informieren, um dann ggfls. weitere Fragen zu Stellen.

Eine Frage aber schon jetzt und zwar Skype unter Sandboxie. Das Kontexmenü von Skype sieht einen Start in der Sandbox nicht vor.
Wenn ich Skype den Zugriff auf das Internet in der Sandbox erlaube, startet das Programm trotzdem nicht in der Sandbox. Was muss
ich in der Sandbox eintragen damit Skype in der Sandbox läuft.

MfG. Firefox 1947

Geschrieben von: subset 02.01.2009, 20:13

Normal gar nichts, bei mir läuft Skype mit unveränderten Sandbox Einstellungen genauso wie mit restriktiven (nur skype.exe darf starten und auf das Internet zugreifen).
Hast du es schon mit unveränderten Sandbox Einstellungen versucht?

MfG

Geschrieben von: Peter 123 02.01.2009, 21:31

Ich erinnere mich dunkel, ursprünglich das gleiche Problem gehabt zu haben. Aber wie hab ich's bloß gelöst? Ich glaube folgendermaßen:

Versuche einmal (ganz unabhängig von der Sandbox und ihren Einstellungen) am Desktop eine neue Verknüpfung zu Skype anzulegen, d.h.:

- Gehe zur Skype.exe
(Unter Windows XP läuft das so:
Rechtsklick auf "Start" ---> Explorer ---> C:\Programme\Skype\Phone\Skype.exe
Unter Vista vermutlich ähnlich)

- Rechtsklick auf die Skype.exe ---> "Senden an" ---> "Desktop (Verknüpfung erstellen)"

- Explorer schließen

- Jetzt Rechtsklick auf die Skype-Verknüpfung am Desktop ---> Wenn du Glück hast, befindet sich dort jetzt ein Menüpunkt "In der Sandbox starten"

Geschrieben von: Firefox 1947 02.01.2009, 22:42

Hi ihr Zwei...

Hab es so gemacht wie -- Peter 123 -- jetzt läuft -- Skype -- in der Sandbox und die Sandbox ist auch im Kontexmenü ausgewiesen.

Was mir aufgefallen ist, wenn etwas in der Sandbox läuft wird dies ja durch die Rauten kenntlich gemacht, ist bei Skype auch so, bei
ICQ sind die Rauten nicht vorhanden, obwohl es in der Sandbox läuft, warum ist das so?

_______________
MfG. Firefox 1947

Geschrieben von: Peter 123 02.01.2009, 23:14

Warum das so ist, weiß ich nicht. Aber auch da kann ich über eine ähnliche Erfahrung berichten. Bei mir betrifft es nicht ICQ (das habe ich nicht in Verwendung), aber den Yahoo Messenger.

Ich nehme an, du beziehst dich auf das Fehlen der Rauten direkt in der oberen Leiste des ICQ-Fensters. Bei mir fehlen sie eben an der gleichen Stelle im Yahoo Messenger (bei Skype oder Windows Messenger sind sie hingegen vorhanden):



Ich vermute, das ist harmlos. Du solltest sicherheitshalber nur Folgendes überprüfen:

1. Sind die Rauten (für ICQ) in der Taskleiste vorhanden?



Und vor allem auch:
2. Läuft ICQ laut Auflistung unter "Sandboxie Control" tatsächlich in der Sandbox?

(Dazu Rechtsklick auf das Sandboxie-Symbol in der Taskleiste rechts/unten, neben der Uhr ---> "Fenster öffnen" ---> "Ansicht" ---> Menüpunkt "Programme")



---> Wenn das der Fall ist, braucht man sich um das Fehlen der Rauten im Messenger-Fenster wohl keine Gedanken zu machen. Das ist dann vermutlich nur ein kosmetisches Problem (das man einmal im Sandboxie-Forum zur Sprache bringen könnte oder das dort vielleicht auch schon diskutiert wurde).

Geschrieben von: Firefox 1947 03.01.2009, 00:13

@ Peter 123

Die Raute in der Taskleiste fehlt und in der Sandbox wird nur die icq. exe datei angezeigt , keine Raute weit und breit.

_______________
MfG. Firefox 1947

Geschrieben von: Firefox 1947 03.01.2009, 00:44

Hier einmal meine Sandbox-Einstellungen:

1. Löchen --Aufruf -- Inhalt der Sandbox automatisch löschen.

2. Beschränkungen -- Internet-Zugang -- nur zugelassen: firefox.exe, icq.exe und skype.exe.

3. Ressourcenzugriff --Datei-Zugriff -- Zugriff verweigern (Cosed Path File ) : D:\ und C:\Programme\Avira.

Thats all.

_______________
MfG. Firefox 1947

Geschrieben von: Peter 123 03.01.2009, 02:00

Wesentlich ist (meiner laienhaften Einschätzung nach), dass die icq.exe in der Sandbox (nämlich unter Sandboxie Control) angezeigt wird. Ich glaube, das ist so etwas wie der Beweis, dass ICQ auch tatsächlich in der Sandbox läuft. Dass es in der Taskleiste keine Raute gibt, ist zwar merkwürdig, aber meiner Vermutung nach harmlos.

Zwei Dinge zu dem Thema:

- In meinem letzten Posting ist ja eine Abbildung der Programmliste von Sandboxie Control zu sehen. Da stehen links (unter "Programmname") die exe-Namen, bei mir also unter anderem YahooMessenger.exe, und daneben rechts (unter "Fenstertitel") zwischen zwei Rauten "#YahooMessenger#". Hast du so einen Fenstertitel, wenn ICQ in der Sandbox läuft? (Bei dir müsste dort so etwas wie "#ICQ#" stehen.)

- Du kannst auf einfache Weise testen, ob ICQ tatsächlich in der Sandbox läuft:

Öffne ICQ in der Sandbox und nimm anschließend bei ICQ irgendeine - für dich harmlose - Änderung vor. Ich habe z.B. soeben ausprobiert, beim YahooMessenger über dessen Einstellungen die Farbe der Benutzeroberfläche von violett auf grün abzuändern. ---> Der Messenger wurde grün, solange er in der Sandbox lief, aber nach dem Schließen des Messengers und der Sandbox hatte er beim nächsten Öffnen wieder die gewohnte violette Farbe. ---> D.h. die Änderung hatte sich tatsächlich nur innerhalb der Sandbox abgespielt und war mit dem Beenden von Messenger bzw. Sandbox sozusagen wieder rückgängig gemacht.

Einen vergleichbaren Test könntest du mit ICQ ausführen. ---> Wenn die Änderung nicht bestehen bleibt, hast du die Bestätigung, dass ICQ nur in der Sandbox gelaufen ist.


Die sind o.k. so. ICQ müsste damit in der Sandbox sein.

Geschrieben von: Clinton 03.01.2009, 11:51

@Firefox 1947,

SB Control öffnen > Datei > Ist das Fenster in der Sandbox sollte ebenfalls anzeigen ob Du 'drin' bist.

Geschrieben von: Firefox 1947 03.01.2009, 13:34

Hi@all...

Habe gestern folgenden Test gemacht, ICQ als einziges Programm in der Sandbox gestartet, in der Taskleiste, hier im Icon von Sanboxie wurden die roten Kugeln angezeigt, danach ICQ beendet rote Kugel im Icon nicht mehr vorhanden, müsste doch eigentlich bedeuten das ICQ in der Sandbox läuft oder irre ich mich?

MfG. Firefox 1947

Geschrieben von: rolarocka 03.01.2009, 14:25

Keine roten punkte heisst, es läuft momentan nichts in SandboxIE

Geschrieben von: Firefox 1947 03.01.2009, 15:30

@rolarocka

Hallo...

Habe ich was anderes gesagt?

MfG. Firefox 1947

Geschrieben von: rolarocka 03.01.2009, 19:24

Sicher ist sicher

Geschrieben von: Firefox 1947 03.01.2009, 22:14

@subset.

Hallo...

Deine Threads über Sandboxie habe ich mit Interesse und Freude gelesen,
mit Sicherheit das Beste was in Foren zu finden ist zum Thema Sandboxie.
Deshalb sage ich dir danke dafür.

MfG. Firefox 1947

Geschrieben von: subset 03.01.2009, 23:31

Jetzt untertreibst du aber.

MfG

Geschrieben von: Firefox 1947 04.01.2009, 12:56

@subset.

Eine feiwillige Aussage, so wie ich es gesagt habe, meine ich es auch.

MfG. Firefox 1947

Geschrieben von: rolarocka 05.01.2009, 20:10

3.34 ist da:
http://www.sandboxie.com/index.php?DownloadSandboxie

Geschrieben von: subset 05.01.2009, 20:57

Hi,

der Changelog
Version 3.34
Released on 5 January 2009.
New Features:
* Translation to French, contributed by Mr Anonyme.
* DropMyRights-like feature: Sandbox Settings > Restrictions > Drop Rights
* Colored borders feature: Sandbox Settings > Appearance
* Support for JAWS and Windows-Eyes: Sandbox Settings > Applications > Accessibility
Fixes:
* Performance improvements for sandboxed programs.
* A forced Internet Explorer displayed an Open/Save popup window, when an Internet shortcut icon was clicked. The Open/Save window no longer appears.
* Sandboxed Windows Explorer can "paste" files that were "copied" outside the sandbox.
* Fixed a problem that prevented sandboxed applications from switching to full screen on Windows Vista.
* Fixed a problem when running Windows Live Mail sandboxed on Windows Vista.
* And many other smaller issues were resolved.

Die wichtigsten Neuerungen sind wohl:

- Man kann die Rechte der Programme jetzt einschränken, die man mit Sandboxie startet (ganz ähnlich wie Run Safer von OA).

http://www.abload.de/image.php?img=sbierechteb785.png

- Es lassen sich farbige Rahmen für Fenster von Programmen einstellen, die in der Sandbox laufen (extra für Firefox 1947 entwickelt )

http://www.abload.de/image.php?img=sbierahmen2uvv.png

Und so sieht das dann aus.

http://www.abload.de/image.php?img=sbiegelbbuep.png

Der deutsche Übersetzer hat sich auch wieder zurückgemeldet, dann wird es diese Fenster und den englischen Rest hoffentlich bald auf Deutsch geben (außer es kracht wieder... ).

MfG

Geschrieben von: Firefox 1947 05.01.2009, 21:21

@subset.

Hi...

" Es lassen sich farbige Rahmen für Fenster von Programmen einstellen, die in der Sandbox laufen (extra für Firefox 1947 entwickelt wink.gif ".

Danke, endlich weis ich wo der Hammer hängt.

MfG. Firefox 1947

Geschrieben von: Nightwatch 05.01.2009, 21:23

Wie und wann entscheidet Sandboxie eigentlich, dass es zu so einem Dialog kommt?
http://imageshack.us

Bei manchen Dateien kommt er, bei manchen nicht. Bei einem Trojaner kam sie eben nicht, bei diesem willkürlichen Bild aber schon


Gruß,
Nightwatch

Geschrieben von: winchester 05.01.2009, 21:31

Dieser Dialog erscheint bei mir immer wenn ich was heruntergeladen habe.

Geschrieben von: Nightwatch 05.01.2009, 21:34

Aber nicht per Drive-by, oder? Diese böse Vorahnung habe ich gerade...


Gruß,
Nightwatch

Geschrieben von: winchester 05.01.2009, 21:39

Nein nur wenn der Download beendet wurde (also bewust gestartet habe)Du könntest mit deinem Verdacht richtig liegen.

Geschrieben von: subset 05.01.2009, 22:16

Das hängt ausschließlich von den Ordner ab, die bei "Schnelle Wiederherstellung" eingetragen sind.

http://img152.imageshack.us/my.php?image=sbierec1jl2.png

Standardmäßig eben Desktop, Eigene Dateien und Favoriten.
Die Ordner kannst du aber nach Lust und Laune verändern, ich habe z.B. da nur mein Download Verzeichnis eingetragen.

Zusätzlich ist standardmäßig die "Sofortige Wiederherstellung" aktiviert.

http://img152.imageshack.us/my.php?image=sbierec2ld5.png

D.h. Sandboxie fragt dann bei den Downloads der "Schnelle Wiederherstellung" Ordner sofort nach, was zu machen ist. Sonst beim Löschen der Sandbox.

Mit Drive-by hat das nix zu tun, ungefragt kommt nie etwas aus der Sandbox raus.

MfG

Geschrieben von: Nightwatch 05.01.2009, 23:12

Danke für die ausführliche Aufklärung, subset. Also das heißt im Klartext: Wenn ich während einer Sandbox-Browser-Sitzung bestimmte Dateien behalten möchte, muss ich in einen dort eingetragenen Ordner speichern. Oder noch neue hinzufügen etc.
Ich weiß, dass ich die Sandbox am Ende auch nicht leeren muss, aber das erscheint mir dann doch sehr sinnvoll, wenn ich bewusst nach Malware surfe.

Gruß,
Nightwatch

Geschrieben von: subset 06.01.2009, 00:08

Ja. Ich habe da für die "Schnelle Wiederherstellung" nur D:\Downloads eingetragen und die Download Ordner für IE, Firefox und Opera alle auf diesen einen Ordner festgelegt.
So passiert es mir nicht, dass irgend etwas in einem falschen Ordner landet und womöglich beim automatischen Löschen der Sandbox verloren geht, egal mit welchem Browser.


Naja, weg mit dem Rest, wenn du hast, was du willst.

An sich genügt es, am Ende der Sitzung über das Traymenü von Sandboxie bei der entsprechenden Sandbox "Programme beenden" zu wählen, also wenn man den Inhalt nicht löschen will.

Zusätzlich gibt es noch die Möglichkeit, primäre Programme für die jeweilige Sandbox festzulegen.

http://img142.imageshack.us/my.php?image=sbieprimaryjn9.png

Im Bild ist Firefox das primäre Programm, d.h. wenn ich Firefox beende, dann killt Sandboxie automatisch alle anderen Programme, die noch in dieser Sandbox laufen.

Weniger als Warnung, eher zur Belustigung: wenn man auf die Antivirus 200x Seiten geht, dann kann es schon einmal passieren, dass im Tray das bekannte Symbol erscheint. Das ist aber harmlos, da das Ding auch nur in der Sandbox läuft und mit obiger Einstellung beim Schließen des Firefox Browsers automatisch wieder verschwindet.
Das würden sich viele andere mit ihren Schutzprogrammen auch so wünschen...

MfG

Geschrieben von: Nightwatch 06.01.2009, 00:29

Erneutes Dankeschön! So langsam komme ich in das Programm richtig rein.

Du bist doch Österreicher subset, oder?
Zu dem letzten Absatz fiel mir sofort ein Video von Grissemann und Stermann ein:

- "Macht kaputt, was Euch kaputt macht" -
http://de.youtube.com/watch?v=Gfyz2ZEKJzo


Gruß,
Nightwatch

Geschrieben von: subset 06.01.2009, 01:21

Na freilich.
Als Beweis kann ich das Video von Qualtinger als Tiroler Hüttenwirt für alle Deutschen übersetzen.
http://de.youtube.com/watch?v=6oe46xScjjM

MfG

Geschrieben von: Nightwatch 06.01.2009, 01:37

LOL, wie geil!!

Gleich in die Favoriten rein! Einfach herrlich sowas.

Gruß,
Nightwatch

Geschrieben von: Peter 123 06.01.2009, 22:22

Hat mich zunächst etwas beunruhigt, dieser Beitrag. Aber ich habe ihn zum Anlass genommen, mir jetzt einmal im Detail zu überlegen, was bei dieser ominösen "Wiederherstellung" eigentlich abläuft. Und damit dürfte die Sache mit dem Trojaner harmlos sein. (Am Ende des Beitrags komme ich noch einmal darauf zurück.)

Um das Ganze zu durchschauen, muss man sich zunächst einmal klar werden, was mit dem Ausdruck "Wiederherstellung" ("Recovery") eigentlich gemeint ist: nämlich das Abspeichern einer zunächst in der Sandbox befindlichen Datei außerhalb der Sandbox. Oder kurz und salopp gesagt: das Hinausbefördern (das Entlassen) einer Datei aus der Sandbox direkt auf den Computer. Oder noch simpler: das Behalten einer Datei (auch nach dem Schließen bzw. Leeren der Sandbox).

"Philosophie" von Sandboxie ist es, dieses Entlassen einer Datei aus der Sandbox
- a) nur auf bestimmte Ordner zu beschränken und
- b) es im Wesentlichen zu zwei verschiedenen Zeitpunkten zu ermöglichen.

Der Ablauf ist folgender:

Wenn ich innerhalb der Sandbox surfe und eine Datei aus dem Internet herunterladen möchte, spielt sich der erste Schritt genauso ab, wie wenn ich es ohne Sandbox mache: Nach dem Rechtsklick auf die betreffende Datei und Auswahl des Befehls "Speichern unter …" erscheint das Fenster, in dem ein Speicherort (zB. der Desktop) für die Datei (im folgenden Beispiel eine Graphik in Form einer gif-Datei) vorgeschlagen wird:



Wenn mir Speicherort und Dateiname zusagen, klicke ich einfach auf "Speichern".

Wenn das Ganze in der Sandbox abläuft, ist dieses (vermeintliche) Speichern aber noch kein endgültiges, denn es gibt jetzt drei Möglichkeiten:

1. An sich werden mit dem Leeren bzw. Schließen* der Sandbox alle Dateien gelöscht, die ich zuvor "am Computer" (genaugenommen: in der Sandbox) in (irgend)einem Ordner abgespeichert habe. Dieses Löschen erfolgt ohne weiteres Zutun des Nutzers und ohne Nachfragen!

Man kann das auf einfache Weise ausprobieren, indem man eine Datei z.B. im Ordner "Programme" abzuspeichern versucht. Sie wird dort nach dem Leeren/Schließen der Sandbox nicht zu finden sein.

*) Entscheidend ist das Leeren der Sandbox (Löschen des Inhalts der Sandbox). Wer (wie ich) seine Sandbox so eingestellt hat, dass dies beim Schließen der Sandbox automatisch erfolgt, braucht sich um das Leeren nicht eigens zu kümmern.

2. Wesentliche Ausnahme:
Wenn man das Abspeichern der Datei in ganz bestimmten Ordnern vorgenommen hat, dann fragt Sandboxie vor dem Leeren/Schließen der Sandbox nach, ob man diese Datei behalten ("wiederherstellen") möchte.
Das hat der Sandboxie-Erfinder aus mir nicht einsichtigen Gründen "Quick Recovery" ("Schnelle Wiederherstellung") genannt.

Welche Ordner sind das? Wenn man die Voreinstellungen beibehält, sind es
- die Eigenen Dateien
- die Favoriten
- der Desktop



Wie man sieht, kann man auch Ordner hinzufügen und/oder vorhandene entfernen.**

**) Z.B. speichere ich aus dem Internet heruntergeladen Dateien zunächst immer auf dem Desktop ab. Die Ordner "Eigene Dateien" und "Favoriten" könnte ich also unter "Schnelle Wiederherstellung" eigentlich entfernen.

Vor dem Leeren/Schließen der Sandbox öffnet sich dann folgendes Fenster, wenn man z.B. eine Datei am Desktop "gespeichert" (genaugenommen: für das Speichern am Desktop vorgesehen) hat:



---> Ich habe die Wahl, entweder die Sandbox (= ihren Inhalt) – einschließlich dieser Datei – sofort zu löschen (wenn ich die Datei letztlich doch nicht speichern möchte), oder die Datei aus der Sandbox zu entlassen und zu behalten ("wiederherzustellen"), sei es in "demselben Ordner" (in der obigen Abbildung wäre das der Desktop), sei es in einem "beliebigen Ordner" (also einem anderen Ordner, den ich selbst auswähle).

3. Und dann gibt es als Option noch die "Immediate Recovery" ("Sofortige Wiederherstellung"). Das ist technisch nichts Anderes als das "Herausbefördern" einer Datei aus der Sandbox wie unter Pkt. 2 beschrieben – nur dass es zeitlich früher stattfindet, nämlich nicht erst aus Anlass des Leerens/Schließens der Sandbox, sondern schon dann, wenn man das Speichern in einem entsprechenden Ordner (zB. Desktop) angeordnet hat (siehe die erste Abbildung in diesem Beitrag) und die betreffende Datei aus dem Internet in die Sandbox heruntergeladen wurde. Es öffnet sich das Dialogfenster, auf das sich Nightwatch in seinem Beitrag #141 bezogen hat:



---> Durch Klick auf "Wiederherstellen" wird die betreffende Datei sofort aus der Sandbox befördert und entweder in "demselben Ordner" (hier: Desktop) oder in einem "beliebigen Ordner" (den man frei wählen kann) abgespeichert.
Klickt man hingegen auf "Close", bleibt die Datei zunächst in der Sandbox, und bei deren Leeren/Schließen wird (nochmals) nachgefragt, ob man sie behalten will (siehe die Grafik unter Pkt. 2).

Um die "Sofortige Wiederherstellung" möglich zu machen, muss die entsprechende Option unter den Sandbox-Einstellungen aktiviert sein:




Vielleicht haben diese Erläuterungen manchen geholfen, die mit der Terminologie und dem Aufbau von Sandboxie ähnliche Verständnisschwierigkeiten hatten wie ich.
___________________________

@ Nightwatch:
Was nun die Sache mit dem Trojaner betrifft, so nehme ich an, dass du gar nicht erst versucht hast, ihn herunterzuladen und abzuspeichern. Zweite (eher unwahrscheinliche) Möglichkeit: du hattest ihn heruntergeladen, aber außerhalb eines für die "Schnelle Wiederherstellung" bestimmten Ordners "gespeichert" (= zu speichern versucht). ---> In beiden Fällen konnte sich nach dem oben Geschriebenen kein Wiederherstellungsfenster öffnen. Und ohne "Wiederherstellung" kann keine Datei aus der Sandbox direkt auf deinen Computer gelangen.

Geschrieben von: Nightwatch 05.02.2009, 02:47

Wenn ich Sandboxie entsprechend dieser Optionen konfiguriere, funktioniert natürlich weder ein McAfee SiteAdvisor noch ein F-Secure Http-Scan während des Surfens.
http://www.abload.de/image.php?img=sandboxiegefc.jpg

Gibt´s dafür irgendeine detailliertere Einstellungsmöglichkeit? Bzw. eine Möglichkeit trotzdem das AV zu schützen, ohne auf die Features verzichten zu müssen?

EDIT: Eventuell über den "Lese-Zugriff"? Bin aber zu müde, um das jetzt auszuprobieren. Morgen ist auch noch ein Tag


Gruß,
Nightwatch

Geschrieben von: diddsen 05.02.2009, 10:30

schade dass es noch immer keine 64bit version für vista gibt

Geschrieben von: subset 22.03.2009, 12:19

Hi,

nachdem Brummelchen keine Zeit hatte, habe ich das Update für die deutsche Übersetzung gemacht.
Dieses ist abgeschlossen und wurde bereits in die aktuelle Beta integriert.
Wer nicht auf die finale Version warten will, kann sich die Beta hier herunterladen:
http://www.sandboxie.com/phpbb/viewtopic.php?t=4985

MfG

Geschrieben von: winchester 22.03.2009, 14:02

Ein schlichtes einfaches Danke!!!!

Geschrieben von: dataandi 22.03.2009, 14:38

Danke für die Info

Geschrieben von: cruchot 12.04.2009, 20:34

...Stand jetzt wird es auch keine 64bit Version (mehr) geben.

Infos hierzu gibt es bspw. unter http://www.sandboxie.com/index.php?WindowsVista64

Geschrieben von: Peter 123 19.05.2009, 11:10

Ich zitiere einen skeptischen Beitrag zu Sandboxie von Voyager aus einem anderen Thread (nämlich http://www.rokop-security.de/index.php?showtopic=18719). Ich hatte dort gemeint, Sandboxie sei ein "sehr zuverlässiges Mittel gegen Bedrohungen". Dazu schreibt Voyager:

Ich glaube, das kann man weitgehend entkräften:


In der Sandbox selbst läuft prinzipiell natürlich alles mit ("Gutes" wie "Böses"). Der Vorteil der Sandbox ist aber, dass es nur am User selbst liegt, ob er etwas sozusagen "aus dem Käfig herauslässt" oder nicht. Und wenn du es nicht herauslässt, greift es dein "reales" System nicht an, sondern wird mit dem Schließen bzw. Leeren der Sandbox "entsorgt".

Und was dein Beispiel betrifft, so ist auch dieses Mitlaufen in der Sandbox offenbar erst dadurch zustande gekommen, dass du gezielt etwas "installiert/ausgeführt" hast. Wer so etwas macht (in deinem Fall anscheinend ohnedies nur zu Testzwecken), ist natürlich auch für die Konsequenzen verantwortlich.

(Anm.: Außerdem kannst du durch eine entsprechende Konfiguration der Sandbox auch solche Möglichkeiten, dass in der Sandbox etwas zum Laufen kommt, ausschließen. Zum Beispiel, indem du die Sandbox so konfigurierst, dass nur ganz konkrete Programme darin starten dürfen.)


Folgendes halte ich für unzutreffend:

Über Windows Defender kann ich nichts sagen, aber ein Antiviren-Programm hat sehr wohl Zugriff auf den Inhalt einer Sandbox. Es kann dich also allenfalls (= wenn es den Schädling erkennt) auch warnen bzw. die Ausführung schädlicher Inhalte auch innerhalb der Sandbox verhindern.



Die Aktionsbeschreibung, was mit dem Download passiert, ist in der Tat etwas unglücklich ausgefallen. Aber das Grundprinzip hat man dennoch in kürzester Zeit verstanden. Es ist auch nicht notwendig, dass der User "immer auf OK" drückt, um weitersurfen zu können. Der Download-Dialog von Sandboxie öffnet sich ja erst dann, wenn sich der Nutzer entschlossen hat, etwas am Rechner speichern bzw. ausführen zu wollen. Beim bloßen Surfen geschieht das hingegen nicht.



Ich glaube, man könnte sich auch aus der (laufenden) Sandbox eine einzelne Datei heraussuchen und diese gezielt löschen. Aber das ist etwas umständlich. Prinzipiell ist die Sandbox wohl tatsächlich so konzipiert, ihren gesamten Inhalt auf einmal zu löschen oder gar nichts. Aber eigentlich ist das doch gut so. Denn wenn ich eine einzelne Datei aus der Sandbox löschen möchte, weil sie mir gefährlich bzw. verdächtig vorkommt, dann ist es ohnehin sicherer, auch ihr ganzes Umfeld (sprich: den sonstigen Inhalt der Sandbox) zu entsorgen.


Inwieweit hier tatsächlich ein Risiko besteht, wenn du dich mit der Standardkonfiguration von Sandboxie "begnügst", müssten dir Experten wie subset erklären. Aber spätestens dann, wenn du deine Sandbox entsprechend restriktiv konfigurierst (insbesondere, indem du den Internetzugang aus der Sandbox heraus nur bestimmten Programmen - etwa deinem Browser - erlaubst), müsste ein Datendiebstahl unterbunden sein. (Vorbehaltlich dessen, was die Experten dazu meinen. )


Nein, finde ich nicht. Es kommt doch immer wieder vor, dass ich als User etwas aus dem Internet herunterladen und auf Dauer am Computer speichern bzw. installieren möchte. Diese Möglichkeit sollte mir eine Sandbox nicht nehmen.
Ich sehe die Sandbox im Kern deshalb als ein zuverlässiges Mittel gegen Bedrohungen, weil sie alles, was meinen Rechner gefährden könnte, sozusagen in einen Käfig sperrt. Wenn ich den Käfig öffne, dann bin ich selbst für dieses Tun und die etwaigen Konsequenzen verantwortlich. Aber die Möglichkeit, ihn zu öffnen, möchte ich haben.


Für mich ist Sandboxie das auch vorrangig: ein Schutz beim Surfen im Internet. Mit Malware experimentiere ich ohnehin nicht. Und Software teste ich virtuell unter Returnil. Dass Vista ein Konzept wie Sandboxie entbehrlich macht, soweit es um den Browser geht, habe ich schon öfter gehört, kann dazu aber mangels eigener Erfahrung nichts sagen. Das müssten einmal Kenner vergleichen.

Geschrieben von: Nightwatch 19.05.2009, 11:25

Hi
Das was Du beschreibst (oben), ist in erster Linie kein Vorteil. Aber das hier schon:


Sandboxie sollte so eingestellt werden, dass nur bestimmte Prozesse/Programme laufen dürfen und auch nur bestimmte Rechte besitzen. Man kann diebsezüglich nicht nur Schreibrechte, sondern auch Lesezugriffe unterbinden. Des Weiteren ist es möglich, nur der Prozess-ID des Browsers Internet-Zugang zu gewähren, so dass selbst eingefangene Malware keine Möglichkeit hat, auch nur irgendwelche Dateien abzugreifen und zu verschicken. Persönliche Ordner und Systembereiche können gesperrt und der Zugriff darauf unterbunden werden. Das funktioniert wesentlich besser als z.B. in einer Gesamtvirtualisierung durch Returnil oder ShadowDefender.
Es lassen sich Manipulationen von Programmen präzise ausschalten, wenn man der Sandbox den Zugriff auf diese verbietet.
Sehr schön ist vor allem die Option, dass eingetragene Programme und Prozesse gezwungen werden, in der Sandbox zu öffnen (-> Force programs to run in sandboxie"). Hier lassen sich sowohl Dateien, als auch Laufwerke eintragen. Das war ein schönes Mittel gegen Conficker, der die Autostart-Routine von USB-Sticks ausnutzte, um den PC zu infizieren.


Hier hat @Voyager schon teilweise recht. Zumindest wirst Du in einer sicher konfigurierten Sandbox bemerken, dass kein Http-Scan funktionieren wird. Das ist die Rechte-Policy. Der nachträgliche Scan ist natürlich auch für die Sandbox gültig. Alles was on-access auf die Platte kommt, wird ebenfalls abgegriffen. Ich habe nur einen einzigen Ordner zum realen Speichern freigegeben. Und selbst hier, wird entsprechend nachgefragt, ob ich diese Datei auf dem realen System speichern möchte.


Das sehe und handhabe ich genauso

Gruß,
Nightwatch

Geschrieben von: Voyager 19.05.2009, 15:40

@Peter 123

Es geht doch auch nicht darum etwas aus der Sandbox zu lassen , ich sagte eine aktive Malware in der Sandbox kann problemlos Daten auf dem Host auslesen und stehlen.


Ich hab extra das Beispiel Scareware was als Videoplugin getarnt ist genannt , auf sowas fallen viele rein und dann ist dein hochgepriesener Sandboxie Schutz dahin. Wer diese Sandboxie erst konfugurieren muss der muss sich erstmal belesen was man unter den ganzen Aktionsbeschreibungen überhaupt meint , so eindeutig klar ist das auf Anhieb nicht. Die Deutsch Übersetzer hätten hier nicht nur ein Wörterbuch bemühen sollen .
Massentauglichkeit sehe ich da noch nicht.

Geschrieben von: markus17 19.05.2009, 16:15

Voyager hat vollkommen recht, eine Sandbox schützt nicht gegen Malware.

Mir fällt auf, dass in letzter Zeit Sandboxen immer öfter als "Virenschutz" bezeichnet werden. Diesen Test hier http://www.rokop-security.de/index.php?showtopic=18236 verstehe ich z.B. auch nicht wirklich. Das reale System wurde zwar nicht infiziert, aber in der Sandbox ist die Malware trotzdem aktiv. Wenn eine Sandbox nach jeder Nutzung geleert wird, dann kann man natürlich eine dauerhafte Infektion vermeiden, trotzdem wurde Malware aktiv und genau das sollte ja schließlich unterbunden werden.

Geschrieben von: Nightwatch 19.05.2009, 16:23

Korrekt. Vielleicht kommt das ja noch.


Das macht nichts, da die Malware in der Sandbox gar nichts anrichten kann, wenn man sie entsprechend konfiguriert. Es werden entgegen einiger Vermutungen hier weder Daten, Hosts noch sonstige Files ausgelesen und schon gar nicht verschickt.
Was diese Tests anbelangt, so weiß ich auch oft nicht, was da genau getestet werden sollte.

Gruß,
Nightwatch

Geschrieben von: subset 19.05.2009, 16:39

Das Malware aktiv wird, kann man mit SBIE sehr einfach unterbinden, indem man sie in der Sandbox einfach nicht starten lässt.
Nebenbei lassen Anti-Viren Programme zumindest jedes unbekannte Schadprogramm starten und das echte System verseuchen, kurioserweise wird das da aber nie als Problem erkannt.

MfG

Geschrieben von: Voyager 19.05.2009, 16:41

Der AV kann eine Malware aber erkennen und löschen , eine Sandbox hat diese Aufgabe garnicht . Von daher sind auch die Vergleiche von Peter absurd.

Geschrieben von: Peter 123 19.05.2009, 16:41

Was denn sonst macht sie?


Du stellst ja auch nicht die Wirksamkeit eines Mülleimers in Frage, wenn es darum geht, dich damit vor dem Herumliegen von Abfällen in der Wohnung zu schützen. Und ähnlich funktioniert eine Sandbox. Leeren solltest du beide regelmäßig. Aber wenn du das machst, hast du Ruhe vor dem Müll in der Wohnung bzw. auf deinem realen System. Und darauf kommt es doch an. Ein Stück schimmeliges Brot im Mülleimer wird dich ja auch nicht beunruhigen. Ebensowenig muss das allfällige Malware in der Sandbox tun (noch dazu, wenn man sie entsprechend restriktiv konfiguriert hat*).

*) (Wie ich sehe, hat subset diesen Aspekt gerade angesprochen.)

Geschrieben von: Peter 123 19.05.2009, 16:45

Da gebe ich dir völlig Recht. Aber das braucht sie auch nicht, weil sie auf eine ganz andere Weise schützt.


Keine Ahnung, welche Vergleiche du konkret meinst.

Geschrieben von: Julian 19.05.2009, 17:08

Eine Sandbox im normalen Einsatz macht nur gegen Exploits Sinn und auch dafür sollte man sie anpassen oder ein HIPS hinzu nehmen. Find das gar nicht lustig, dass bei Sandboxie Programme standardmäßig Global Hooks setzen können

Geschrieben von: Nightwatch 19.05.2009, 17:14

Hi
Womit hast Du getestet? Bei mir funktioniert das nicht. Testet ihr alle mit Standard-Einstellungen? Wenn nicht, dann verwundern mich hier so einige Statements. Wie ich bereits schon mehrfach hier schrieb, ist es bei entsprechender Konfig überhaupt nicht möglich, Lese- und Schreibrecht zu erhalten und eigene Prozesse zu starten.

Gruß,
Nightwatch

Geschrieben von: subset 19.05.2009, 17:16

Hier geht's weiter.
http://www.rokop-security.de/index.php?s=&showtopic=16508&view=findpost&p=274260

MfG

Geschrieben von: markus17 19.05.2009, 17:20

Wenn du den Deckel der Mülltonne öffnest, damit du auf sie Zugriff bekommst, dann stinkt es trotzdem heraus. Natürlich kann eine Sandbox Malware isolieren, aber nicht erkennen und komplett entfernen (nicht die Tonne räumt den Mist aus dem Weg, sondern die Müllabfuhr ^^).

Unerfahrene User können eine Sandbox nicht richtig konfigurieren. Durch Tests, wo Sandboxen einen Malwareangriff "bestehen", können Unerfahrene den Eindruck bekommen, dass sie mit einer Sandbox sicher sind und ganz so einfach ist es eben nicht.

Geschrieben von: Julian 19.05.2009, 17:47

Versuch mal den AKLT-Test, Methode "LowLevel Hook" (Standardeinstellungen). Und selbst auf der Sandboxie-HP steht, dass Windows Messages nicht geblockt werden können, sofern ich mich richtig entsinne.
 AKLT.zip ( 104.89KB ) : 9


Aha, subset. Weil zwei Irgendwer Sandboxie nicht umgehen können, zählt dies solange, bis jemand das Gegenteil bewiesen hat?
Mit dieser Mentalität wär das mit der Aufklärung sicherlich nichts geworden...

Geschrieben von: Voyager 19.05.2009, 18:07

http://microsite.computerzeitung.de/article.html?art=/articles/2009004/31797307_ha_CZ.html&pid=17313f77-31da-4f96-8955-7bcd430e79bb&page=2&pos=5&ms=/virtualisierung/index.html&tpid=ee54f3c7-0de1-40f5-bb23-2cfdf022aee5

Vll. ist das eine praktikablere Lösung wo gleich 3 verschiedene Sicherheitslevel in 3 Sandboxen automatisch vorgegeben werden je nachdem wie die aufgerufene URL eingestuft wird, Datenbanken sind dafür bei Symantec schon ausreichend vorhanden .

Geschrieben von: subset 19.05.2009, 20:11

Sandboxie hat dann versagt, wenn es einem Programm (das in der Sandbox läuft) gelingt, aus der Isolierung durch Sandboxie auszubrechen und sich im echten System festzusetzen.
Festsetzen heißt - in die echte Registrierung zu schreiben, im echten System Dateien zu platzieren usw., also das echte System dauerhaft zu verändern und das alles gegen die Einstellungen von Sandboxie.

Nach dem Beenden der Programme in der Sandbox bzw. nach dem Löschen der Sandbox müssten also ungewollte Veränderungen am echten System erfolgt sein - dann hätte Sandboxie versagt.
Auf einen solchen Beweis warte ich die ganze Zeit, bloß der kommt nie.

Alles was kommt sind nur so HIPS Gschichterln - Prozess hat dies gemacht... Prozess hat das gemacht.
Und wann wurde das echte System dadurch dauerhaft verändert... nie.

MfG

PS: FYIO Pssst... Sandboxie ist kein HIPS.

Geschrieben von: Peter 123 19.05.2009, 20:52

Kurze Zwischenfrage an Nightwatch zum Folgenden:

Nur um sicherzugehen, dass ich bei der Konfiguration das Richtige eingetragen habe:
Was ist denn die "Prozess-ID des Browsers"? Ich nehme an, die betreffende exe-Datei, also "iexplore.exe", "firefox.exe", "opera.exe" usw.

Geschrieben von: Julian 19.05.2009, 20:53

Richtig. Genau so wie ein HIPS erst dann versagt hat, wenn Malware das System (dauerhaft) verändert oder beschädigt hat.


Das hast du ja nun bereits in etwa gesagt


Das ist eine nicht ganz angemessende Erwartungshaltung. Sonst bist du doch immer dafür, dass ein HIPS so viele Leaktests wie möglich blocken soll, auch wenn die Malware-Erkennung in der Realität vermutlich nicht wirklich besser wird. Bei einer Sandbox ist das dann anders


Genau, Prozess hat anderen, nicht gesandboxten Prozess verändert. In wie fern vermag ich natürlich nicht zu sagen, aber wenn der AKLT Global Hook mit Keylogger-Parametern nicht erkannt wird, wieso sollte dies dann mit anderen auf einmal der Fall sein?


Genau, weil die Leaktests ja auch nicht das Bypassen einer Sandbox, sondern das von HIPSen demonstrieren sollen, also bei diesen es nur um die Speicherveränderungen ansich geht und nicht darum, mit diesen dauerhaft etwas aus einer Sandbox heraus auf dem Host zu verändern. Dass es solche Demonstrationsprogramme nicht gibt, liegt vermutlich zum einen daran, dass Sandboxen noch nicht sonderlich verbreitet sind und daher die Attraktivität für so ein Vorhaben nicht sehr hoch ist, die darin investierten Mühen zahlen sich dann wohl kaum aus. Der andere Grund ist wohl, dass es vermutlich wesentlich aufwendiger und komplizierter ist, so ein Demonstrationsprogramm zu basteln, als es bei solchen für HIPSe der Fall ist. Immerhin muss ja viel mehr gemacht werden.



Sollte es aber haben, um Keylogger und Co blocken zu können. Ansonsten ist das Konzept anscheinend löchrig.

Geschrieben von: Voyager 19.05.2009, 21:03

Ich denke es geht doch eher um Peters überschäumendes Verkaufsmarketing für Sandboxie Die Sandbox kann den Virenscanner nicht gänzlich ersetzen und damit Punkt.

Geschrieben von: Peter 123 19.05.2009, 22:11

Es sollte eigentlich (nur) um Sachargumente gehen. Aber da kommt - jedenfalls von dir - nichts Überzeugendes. (Eher schon von Julian, aber da gibt es dann auch wieder Gegenstandpunkte von subset.)

Das Folgende wurde dir bereits von Anderen widerlegt:


Und was das betrifft:

Das spricht allenfalls gegen die Benutzerfreundlichkeit des konkreten Produkts (was ich allerdings auch nicht so krass sehe wie du), aber nicht gegen das Konzept einer Sandbox als solches und gegen dessen Zuverlässigkeit.
Es gibt ja auch Alternativen zum Produkt "Sandboxie", wie etwa "SafeSpace" (s. dazu diesen http://www.rokop-security.de/index.php?showtopic=17240). Diese Sandbox wäre optisch um einiges gefälliger als Sandboxie, und sie wäre (meines Erachtens) auch übersichtlicher aufgebaut, was die Konfiguration betrifft. Nur wird diese Software leider nicht mehr weiterentwickelt, und deshalb steht man als Benützer eher allein da. Bei "Sandboxie" ist man hingegen Teil einer größeren Gemeinde von Benutzern, und das hat praktische und psychologische Vorteile.

Und dazu:

... hatte ich mich bisher ja gar nicht geäußert. (Obwohl mir ein solcher Ersatz gar nicht so abwegig erschiene. )

Das, was man sich von den Sandboxie-Gegnern oder -Skeptikern bisher als Lehre tatsächlich zu Herzen nehmen sollte, scheint mir Folgendes zu sein:

Eine "strenge", restriktive Konfiguration von Sandboxie, die über die Standardeinstellungen hinausgeht, ist aus Sicherheitsgründen sinnvoll, wichtig, ja vielleicht sogar dringend geboten (Stichwort: Keylogger). Das sollte vielleicht in Zukunft von allen, die eine Verwendung von Sandboxie propagieren, noch stärker hervorgehoben und entsprechend erläutert werden.

Geschrieben von: subset 19.05.2009, 23:03

Wenn man die Funktionsweise einer Sandbox mit der eines HIPS verwechselt, dann mag das vielleicht so wirken.
Lies einfach das Sandboxie FAQ.
Oder begib dich mit deinen gesammelten Weisheiten ins Sandboxie Forum oder poste sie bei Wilders.
Da wünsche ich dann viel Vergnügen dabei.

MfG

Geschrieben von: Julian 20.05.2009, 17:38

Gar nicht, denn...


...du schlägst wohl vor, das Starten von allen unbekannten Programmen in einer Sandbox zu verbieten, sodass nur der Browser laufen kann. Deiner Logik nach könnte ich dann mit einem HIPS einfach das Starten von Malware blockieren, dann erkennt es eh 100%
Du willst aber immer noch suggerieren, dass das Konzept von Sandboxie umfehlbar ist. Ich habe gerade noch mal spaßeshalber SSTS kill3f in Sandboxie gestartet, es konnte einfach den Explorer-Prozess auf dem Host killen. Vielleicht deshalb, weil es laut Kaspersky-HIPS mit Windows Messages arbeitet, die laut Sandboxie-FAQ, auf das du ja rechthaberisch verwiesen hast, nicht von Sandboxie blockiert werden können. Wer sagt dir denn, dass nicht ähnlicher Schadcode von Browserexploits im Browser-Prozess ausgeführt werden kann? Dadurch erscheint dein Konzept des nur den Browser in der Sandbox laufen zu lassen nicht mehr so super-sicher.



Du hast hier noch nicht eine Diskussion ernsthaft zu Ende geführt: Entweder, du postest einfach nicht mehr, oder du artest in Polemik aus. Du hast offenbar nie Interesse an einer wirklichen Diskussion gehabt, du würdigst nur andere oberlehrerhaft herab. Billig und boshaft...

Geschrieben von: subset 20.05.2009, 18:24

Du willst mit jemandem ernsthaft diskutieren, der deiner Ansicht nach einfach nicht mehr postet oder polemisiert, oberlehrerhaft, billig und boshaft ist?
Also entweder bist ein Troll oder sonstwie desorientiert.

MfG

Geschrieben von: Voyager 20.05.2009, 18:32

Ich finde Julian hatte ein interessantes Argument wo Sandboxie offenbar ein gravierenden Design Fehler hat auf den sich Malwareschreiber sicher mit Vergnügen stürzen würden. Das Argument mit persönlichen Angriffen wegzuwischen ist nicht gerade seriös.

Geschrieben von: subset 20.05.2009, 21:19

Wo soll der gravierende Designfehler sein?
Wie wurde das System dadurch dauerhaft beeinträchtigt?
Wurde dadurch das Dateisystem oder die Registrierung verändert?
Warum sollte sich ein Mawareschreiber darauf stürzen?

Ein Moderator von Wilders Security hat ähnliche Tests gemacht wie Julian und kommt zum gleichen Ergebnis wie ich.

http://www.wilderssecurity.com/showpost.php?p=1460340&postcount=77

MfG

Geschrieben von: Voyager 20.05.2009, 21:30

Na offensichtlich bist du garnicht daran interessiert der Sache auf den Grund zu gehen was Julian getestet hat und zwar den Ausbruch eines Prozesses aus der Sandbox aufgrund des beschriebenen Designfehlers. Auf dem Niveau brauchen wir dann aber auch nicht weitermachen wenn du alle begründeten Zweifel einfach so ordinär wegwischst .

Geschrieben von: Peter 123 20.05.2009, 21:47

@ Julian:
Die Frage, die sich da stellt, ist folgende:
Spricht das deiner Meinung nach gegen das Sandbox(ie)-Konzept überhaupt, oder gäbe es technisch die Möglichkeit, dieses Risikopotential* auszuschalten, indem man an Sandboxie etwas verändert (nicht von Seiten des Benützers im Rahmen der Konfiguration, sondern von Seiten des Entwicklers)?

Insbesondere, wenn Letzteres der Fall sein sollte, wäre doch zu überlegen, deine Bedenken einmal direkt im Forum von Sandboxie vorzubringen. Dort liest und wirkt der Sandboxie-Entwickler (tzuk) bekanntlich selbst mit. Du argumentierst ja sachlich (inwieweit deine Argumente wirklich stichhaltig sind, kann ich als Laie nicht beurteilen), und du stützt dich auch auf konkrete Tests, die du durchgeführt hast. Dem würde sich doch tzuk wohl nicht verschließen. Es ist nur etwas mühsam, weil man dort alles in englischer Sprache abwickeln muss.

Hier im Rokop-Forum herrscht ja offenbar so eine Art Patt-Stellung zwischen dir und subset. Da steht Aussage gegen Aussage. Da wäre es also schon interessant, tzuk selbst mit den Bedenken zu konfrontieren.
_______
*) Ich spreche bewusst nicht von einer "Sicherheitslücke", um möglichst neutral in der Formulierung zu bleiben.

Geschrieben von: subset 21.05.2009, 02:13

Dann wohl eher auf NIS, das diesen von dir kritisierten "gravierenden Designfehler" auch hat.
Norton Internet Security 2009 - Kill3f - 0 % - FAILED.
http://www.matousec.com/projects/proactive-security-challenge/level.php?num=3

Wie auch immer, der Kill3f ist ohnehin nicht so der Bringer, systemkritische Prozesse lassen sich damit auch ohne Sandboxie gar nicht beenden.
Es funktionierte weder mit dem Gatewaydienst auf Anwendungsebene, noch mit dem Avira AntiVir Guard oder dem Sandboxie Service.

http://pic.leech.it/pic.php?id=75821d8dkill3f.png

Es muss schon ein Fensterl da sein, damit der Test überhaupt funktioniert, an wen sollen sonst auch die Windows Messages gesendet werden...

Sandboxie ist keine VM, es kann beim Browserstart nicht das ganze System in die Sandbox kopiert werden.
Deswegen kann auch nicht jede Kommunikation mit dem echten System in den Grundeinstellungen komplett unterbunden werden, schließlich soll sich mit diesem Einstellungen fast jedes Programm starten lassen.

Wenn sämtliche Windows Messages per Default verboten wären, dann wäre z.B. auch kein Kopieren (WM_COPY) und Einfügen (WM_PASTE) möglich.

Jedenfalls kann der Kill3f Test per Design keinen echten Schaden anrichten, somit eignet er sich eigentlich nur mehr als Funktionstest für HIPS, ob sie möglichst viele WM_ Anweisungen abfangen können - und dafür wurde er ja von Matousec auch entwickelt.

MfG

Geschrieben von: Julian 24.05.2009, 17:50

Ist doch egal, zum Explorer-Fernsteuern scheint es offenbar zu reichen.


Die Schwäche mit den Windows Messages hat aber nichts mit den Grundeinstellungen zu tun
Sie werden mit egal welchen Einstellungen von Sandboxie nicht geblockt.


Komisch, dass dann nicht alle HIPSe, die Windows Messages abfangen können, dieses erkennen.


Genau, der Test an sich beschränkt sich aufs Beenden von Prozessen mit Fenstern. Aber wer sagt denn, dass nicht auch mit Windows Messages, die Sandboxie ja nicht blocken kann, z.B. der Explorer zum Nachladen oder Wegsenden von Inhalten gebracht werden kann?

http://www.rokop-security.de/index.php?s=&showtopic=16824&view=findpost&p=274754, die ja standardmäßig blockiert werden sollten, aber irgendwie ist das nicht der Fall

@Peter 123:
Werde ich bei Gelegenheit machen.

Geschrieben von: subset 24.05.2009, 20:07

Bloße Spekulationen... möglicherweise kann dadurch auch der 3. Weltkrieg ausgelöst werden.


Vom Sandboxie Entwickler aus dem Jahr 2007...

http://sandboxie.com/phpbb/viewtopic.php?p=13335#13335

Du benutzt Sanboxie nicht, hast keine Ahnung davon, willst auch nichts zu seiner Verbesserung beitragen, aber ergehst dich in immer neuen Aufdeckungen, Vorwürfen und Spekulation.
Was soll das noch werden... die klassische Hater/Stalker Nummer.

KfG

Geschrieben von: Nightwatch 24.05.2009, 20:32

Hi!
Gibt es eigentlich eine Möglichkeit, die Einstellungen von Sandboxie mit einem Passwort (oder anderweitig) zu schützen? Meine vor allem die Konfiguration der "forced programs".
Benutze die Vollversion.

Gruß,
Nightwatch

Geschrieben von: Julian 24.05.2009, 21:09

Und was tust du? Spekulatius backen...


Genau, und passend im Sandboxie FAQ steht:

http://www.rokop-security.de/index.php?s=&showtopic=18520&view=findpost&p=274152
Widerspricht sich erstmal nicht. Aber erklär mir doch mal, warum beim Start von AKLT LowLevel Hook keine Nachfrage von Sandboxie kommt, ob der Hook für alle ungesandboxten Prozesse gesetzt werden darf?
Laut dem FAQ müsste dies ja in Standardeinstellungen geschehen. Aber Pustekuchen, der Hook gilt für alle Prozesse und Sandboxie findet das nicht anstößig.
Schon in meinem verlinkten Post habe ich gefragt, ob ich etwas falsch mache. Komisch, dass du da keine Antwort parat hattest...



Der krönende Abschluss?

Ebenfalls keine freundlichen Grüße

Geschrieben von: subset 24.05.2009, 21:25

Einen richtigen Passwortschutz gibt es nicht, aber man kann den Zugriff auf Einstellungen für alle nicht Admins damit einschränken:
[GlobalSettings]
EditAdminOnly=yes

Also mit einem normalen Benutzerkonto kann man dann die "forced programs" nicht mehr verändern.
Prinzipiell gelten die Einstellungen für alles, was in der Sandboxie.ini unter [GlobalSettings] und den Sandboxen steht, wie z.B. [DefaultBox].
Persönliche Einstellungen unter [UserSettings_...] können aber dennoch verändert werden.

MfG

Geschrieben von: Solution-Design 24.05.2009, 21:42

Ein paar wenige Sätze, welche sicherlich dazu beitragen, weiterhin gehaltvoll über die manigfaltigen Möglichkeiten und auch dessen eventuellen Schwächen in gesunder Basis zu diskutieren.

Geschrieben von: Voyager 24.05.2009, 21:52

Nicht ganz Vistatauglich ?

http://www.abload.de/image.php?img=1pbas.jpg
http://www.abload.de/img/1pbas.jpg

http://www.abload.de/image.php?img=2oalg.jpg
http://www.abload.de/img/2oalg.jpg

Geschrieben von: subset 24.05.2009, 23:20

Oh, wie edel, hilfreich und gut.
Ich versuche mir gerade deine Reaktion vorzustellen, wenn er mit seinen HIPS Tests im a-squared aufkreuzt.

MfG

Geschrieben von: Nightwatch 24.05.2009, 23:57

Danke! Funktioniert


Mhh, sowas hatte ich unter Vista noch nicht. Wann kam denn diese Meldung bzw. nach welcher Aktion?

Gruß,
Nightwatch

Geschrieben von: Solution-Design 24.05.2009, 23:58

Ich werde versuchen, gehaltvoll zu antworten. Nee, komm manno. Dein Fachwissen dieses Programmes in allen Ehren, aber musst immer drauf hauen? Ich weiß ja, dass man manchmal gerne schnell schießen möchte... aber man muss nicht. Und gerade du hast bezüglich SandBoxie genügend Erfahrung und kannst diese auch dementsprechend vermitteln. Ohne "Auf den Kopf hau"- und "Stirnklatsch"-Smiley. Wenn man nämlich die - leider oft pers. Angriffe - in aus diesem Thread herausextrahiert, ist er, der Thread extrem informativ und interessant. Logischerweise sollte man auch spekulativ vorgehen dürfen. Allerdings wird der Beweis und dementsprechend der Gegenbeweis ausbleiben. Aber rumspinnen sollte dennoch erlaubt sein. Überleg mal, ich nutze a-squared jetzt über fünf Jahre, zerlege es auch nicht immer mit den schönsten Beschreibungen der vorhandenen Bugs. Aber Christian hat mich deshalb noch nie persönlich angegriffen. OK, in diesem Falle nicht ganz fair, da er auch was verkaufen möchte, aber ein anderer hätte es tun können. Also, bleibt soweit als möglich alle sachlich, auch bei und mit eventuellen Herumspinnereien.

Geschrieben von: Voyager 25.05.2009, 00:12

@Nightwatch

Beim Runterfahren bzw. Abmelden , für mich siehts aus wie ein eingefrohrener Sandboxie Prozess

Geschrieben von: Nightwatch 25.05.2009, 00:14

Ja, könnte durchaus sein. Schade, dass die Meldung auf diesem Wege kam. Ansonsten hätte man es vielleicht reproduzieren können. Bislang hatte ich das Problem (seit Dezmber 2008) zum Glück noch nicht.

Gruß,
Nightwatch

Geschrieben von: subset 25.05.2009, 00:45

Ne, spekulieren kann jeder wie er will, hier geht es aber nur um http://de.wikipedia.org/wiki/Fear,_Uncertainty_and_Doubt, also um Panikmache mit Fehlinformationen bzw. Halbwahrheiten.
Peter und ich haben ihn mehrfach darauf hingewiesen, dass sich diese Fragen nur im Sandboxie Forum klären lassen.
Julian ist ja Gold Beta Tester bei Kaspersky und bei der Malware Research Group von Comodo, also sollte er eigentlich wissen, dass sich seine Fragen nur vom Entwickler beantworten lassen.


Siehe oben, hier gibt es keinen wie Christian für Sandboxie, wenn mich Julian dafür hält, dann irrt er sich.
Wenn er also Antworten auf seine Fragen will, dann wird er sie wohl bei Ronen Tzur suchen müssen.
Wenn er an Antworten nicht interessiert ist, sondern nur an FUD, dann macht er weiter wie bisher.

MfG

Geschrieben von: Julian 25.05.2009, 13:04

Dann benenne sie doch mal, bitte angefangen bei meinen letzten Argumenten.


Du hast nie gesagt, dass du die Antwort nicht weißt. Du hast das Phänomen, was ich als eventuelle Lücke bezeichnet habe (Globak Hook), nicht entsprechend aufgegriffen, sondern nur mit Polemik abgelenkt. Sag doch einfach, dass du nicht weißt, warum Sandboxie den Global Hook zulässt, und dass ich im Sandboxie-Forum fragen sollte. Das hast du nämlich bisher nicht getan, versuchst das allerdings zu suggerieren.


Die Ahnungslos-Tour ist wohl immer gut, um sich bei wachsender Kritik rauszureden.


So so, Kritik an eventuellen Lücken in einem deiner offenbaren Lieblingsprogramm ist also nur Panikmache, wohl besonders wenn sie von mir stammt...

Und ich habe auch schon gesagt, dass ich im Sandboxie-Forum nachfragen werde. Du versuchst den Eindruck aufzubauen, dass dem nicht so sei.
Ich fühle mich an dein Hütchenspieler-Beispiel von einst erinnert, nur dass du jetzt der Zinker bist...

Geschrieben von: subset 25.05.2009, 20:00

Na, dann mach mal. Hier gibt's sogar schon einen passenden Thread dafür:
Suspected Vulnerability in Sandboxie
http://www.sandboxie.com/phpbb/viewtopic.php?t=4665

Geschrieben von: Nightwatch 30.05.2009, 17:33

Neue Version verfügbar!

Change-Log:
Version 3.38

http://www.sandboxie.com/index.php?VersionChanges#v_3_38

Gruß,
Nightwatch

Geschrieben von: Julian 09.08.2009, 15:37

Zur Zeit läuft die Beta von Version 3.39:
http://www.sandboxie.com/phpbb/viewforum.php?f=20&sid=c75cb5eca8c88f65b8b7e87b0ec0c542

Ich habe jetzt mal http://www.sandboxie.com/phpbb/viewtopic.php?p=39436#39436, ob es schlimm ist, dass die Global Hooks von AKLT nicht geblockt werden. Global Hooks, bei denen Dlls injiziert werden, werden ja geblockt.

Außerdem habe ich erwähnt, dass kill3f und kill5 aus der SSTS nicht geblockt werden.

Übrigens gibt es auf Wilders Security einen interessanten http://www.wilderssecurity.com/showthread.php?t=250126 über proaktive Anti-Malware-Software auf Windows x64, wo sich auch tzuk zu Wort meldet. Von Ilya Rabinovich bin ich ziemlich enttäuscht , was Prevxhelp schreibt ist

Sieht für mich als Laie danach aus, als ob Sandboxing trotz Patchguard möglich wäre, wenn auch nicht ohne weiteres und ohne Kompatibilitätsprobleme mit anderer Sicherheitssoftware.

Edit: Ach ja: Die obskuren Programme aus Fernost, die das System zum Beenden aller Prozesse bringen, und die man vielleicht besser nicht als Leaktests bezeichnen sollte, konnten bei mir in einer VM mit der aktuellen Sandboxie ihren Zweck nicht mehr erfüllen
Das Thema wär also erledigt.

Geschrieben von: Solution-Design 09.08.2009, 17:53

Ilya Rabinovich ist Realist

Geschrieben von: Julian 09.08.2009, 18:16

Ja, ich würd auch als kleine Softwareschmiede versuchen, Windows x64 zu boykottieren

Entweder man lässt sich was einfallen und versucht das beste draus zu machen, oder man ist eben irgendwann weg vom Fenster. Ilya Rabinovich (und tzuk wohl leider auch) scheint auf letzteres hinzuarbeiten.

Geschrieben von: Habakuck 09.08.2009, 19:45

Ich finde das zeigt mal wieder das PrevX einen guten Weg geht. Nicht immer meckern sondern innovativ vorranschreiten.

Btw.:
Macht PatchGuard es das OS nicht sicherer? Wenn ja, warum beschweren sich die Leute dann?

Geschrieben von: Julian 09.08.2009, 20:24

Steht doch alles im Thread
Patchguard schützt den Kernel vor guter sowie schlechter von Microsoft nicht gewollter Manipulation. "Die Leute" sind die hinter ~One Man-Show-Programmen wie Sandboxie oder Defense Wall, die mit den eingeschränkten Möglichkeiten nicht klarkommen können oder wollen, aus was für Gründen auch immer. Vielleicht wär der Aufwand in Relation zum Gewinn zur Zeit noch zu groß.

Im Thread wurde auch ein interessanter Vergleich gemacht (kann sein, dass es auch Prevxhelp war) mit der Zeit, wo von 16 auf 32 Bit umgestiegen wurde, und viele Entwickler nicht mehr klar kamen.

Geschrieben von: Habakuck 09.08.2009, 23:39

Ja, gelesen habe ich schon...

Nur iwie raffe ich nicht wie man sich darüber aufregen kann wenn es eigentlich die Sicherheit des OS verbessert...

Geschrieben von: subset 10.08.2009, 00:36

Man könnte auch die Sicherheit des Systems verbessern und dabei das richtige Funktionieren von AVs oder gar Prevx verunmöglichen...
Hat Microsoft nicht schon einmal die API verändert wegen des Protests von großen AV Herstellern? Oh wie unsicher.

Wenn Sandboxie so groß wie Symantec wäre und Defensewall so groß wie Mcafee, dann würde sicher wieder an der API herum gefummelt bis alle zufrieden sind.

MfG

Geschrieben von: Julian 10.08.2009, 18:25

Ich krieg schon fast wieder einen Rappel, wie diese Sandboxie-Forumuser mich nerven
Das ist ja fast so schlimm wie im Comodo-Forum

Aber mal gucken, was tzuk noch sagt (falls er noch was sagt...).

Geschrieben von: Julian 12.08.2009, 16:33

tzuk hat angekündigt, http://www.sandboxie.com/phpbb/viewtopic.php?p=39568#39568

Geschrieben von: Peter 123 14.08.2009, 16:31

Julian, damit scheint sich deine eingehende Überprüfung von "Sandboxie" auf Schwachstellen als sehr wertvoll erwiesen zu haben.

Den technischen Details eurer Unterhaltung im Sandboxie-Forum konnte ich zwar nicht folgen. Aber so wie es aussieht, haben deine Hinweise tzuk überzeugt und einen Beitrag dazu geleistet, dass Sandboxie in Zukunft noch sicherer wird. Daher vielen Dank für die Mühe, die du dir gemacht hast.

Davon profitieren wir alle, die "Sandboxie" benützen.

Geschrieben von: Julian 14.08.2009, 16:41

Im Grunde war es ja nichts schlimmes, Sandboxie schützt auch ohne Fixes für die zwei Kill-Lücken perfekt
Ich wunder mich nur manchmal, warum die Entwickler nicht selbst ihre Produkte mit allen möglichen Leaktests testen, was auch keine große oder komplizierte Sache ist.

Sandboxie ist wirklich ein geniales Programm, mit einem 32 Bit OS würde ich es vielleicht als alleinige Schutzsoftware einsetzen.

Geschrieben von: Metabolit 16.08.2009, 13:20

Hat jemand ne Ahnung, ob es für Windows 7 64-Bit eine Version geben wird ? Windows 7 hat ja einen anderen Kernelaufbau als Vista - Da wollte der Hersteller ja nicht so wirklich.

Geschrieben von: Julian 16.08.2009, 13:21

Bezüglich Patchguard hat sich wohl nichts verändert. Kein Sandboxie für Seven x64.

Geschrieben von: Metabolit 16.08.2009, 13:23

@Julian

Danke - / Schade

Geschrieben von: Julian 17.08.2009, 17:05

Betaversion 3.39.06 behebt die von mir geschilderten Lücken bezüglich Prozessbeendigung.
Ging sehr fix

Allerdings geht es http://www.sandboxie.com/phpbb/viewtopic.php?t=5440&start=176 weiter

Geschrieben von: subset 17.08.2009, 19:06

Versuch mal bei deinem Test nur die Ausführung des Leaktests in der Sandbox zu erlauben.
Dann kannst du anhand der Fehlermeldung sehen, dass der IE sehr wohl in der Sandbox gestartet werden soll.

MfG

Geschrieben von: Julian 07.09.2009, 18:49

Wer irgendwelche Probleme (mit der letzten Beta) hat, sollte http://www.sandboxie.com/phpbb/viewforum.php?f=20 einen Bugreport machen.

Geschrieben von: Firefox 1947 07.09.2009, 19:58

Hi@all...

Lese gerade hier --- http://www.sandboxie.com/phpbb/viewtopic.php?t=6003 --- volle Unterstützung für Windows 7 , wo klemmt es denn noch, oder kann ich damit schon ohne grössere Problem, demnächst, unter W7 arbeiten, ist ja eine Beta?

Wann kann denn mit der finalen Version von Sandboxie 3.39 gerechnet werden, voraussichtlich?


MfG. Firefox 1947

Geschrieben von: rolarocka 07.09.2009, 20:39

Also bei mir klemmt unter Win7 nichts. Wann die finale raus kommt weiß wohl noch nicht mal der Entwickler.
Die DefaultBox hat jetzt sogar ein stylisches Ordner Symbol

Geschrieben von: subset 07.09.2009, 21:12

Die wichtigste Neuerung: der Sandboxie Ordner ist in Zukunft versteckt, weil Leute immer mal wieder Dateien in den Ordner kopiert haben, in der irrigen Annahme, die wären dort gegen jede Feuersbrunst und Erdbeben geschützt.



MfG

Geschrieben von: Julian 07.09.2009, 21:31

Ich dachte eher, die wichtigste Neuerung wäre, dass in der Sandbox gestartete Malware keine Treiber mehr auf dem richtigen System installieren kann

Geschrieben von: subset 07.09.2009, 21:43

Das sollte sie auch schon vorher nicht können...

MfG

Geschrieben von: Julian 08.09.2009, 15:42

Bei ganz bestimmer Malware ist das mit Version 3.38 wohl möglich:
http://www.sandboxie.com/phpbb/viewtopic.php?t=6123

Es lebe der x64 Windows-Kernelschutz

Geschrieben von: Peter 123 25.01.2010, 11:43

Ich habe eine Frage an die Benutzer/innen von Sandboxie:

Meine Sandbox ist so eingestellt, dass ihr Inhalt automatisch gelöscht wird:

http://www.abload.de/image.php?img=sbl978m.jpg

Ist unter dieser Voraussetzung eine Konstellation denkbar, dass nach dem Herunterfahren und Neustart des Computers der (frühere) Inhalt der Sandbox weiterhin vorhanden ist?

Genau das ist mir nämlich gestern rätselhafterweise passiert, und ich würde vor allem gern abklären, ob das mit der Verwendung von Shadow Defender in Zusammenhang stehen könnte.

Soweit ich das rekonstruieren kann, war der Ablauf folgender:

- Ich war (innerhalb der Sandbox) im Internet, insbesondere auch hier im Forum (eingeloggt und postend).

- Ich habe dann zu Testzwecken Shadow Defender gestartet und bin in den Schattenmodus gegangen. (Das Internet und damit die Sandbox hatte ich zuvor mit 99%-iger Sicherheit geschlossen.)

- Ich habe dann im Schattenmodus wieder das Internet benützt, und zwar wieder innerhalb der Sandbox. Soweit erinnerlich, war meine letzte Aktion wieder ein Posten hier im Forum.

- Anschließend habe ich den Computer heruntergefahren (im normalen Weg über Start ---> Ausschalten). Auch hier hatte ich zuvor höchstwahrscheinlich den Browser geschlossen und damit Sandboxie verlassen. (Das ist mir zur Routine geworden. Ein Vergessen darauf ist möglich, aber ziemlich ausgeschlossen.)

- Ich verließ dann das Haus und startete nach meiner Rückkehr wieder den Computer. Und zu meiner Überraschung waren da (vermutlich nach dem Start des Browsers in der Sandbox) sofort Webseiten zu sehen, die ich zuvor besucht hatte: nämlich konkret eine Seite dieses Forums, in dem ich weiterhin eingeloggt war (obwohl ich mich vor dem Verlassen immer abmelde), und eine Seite von Wikipedia (die ich ebenfalls irgendwann vor dem letzten Herunterfahren besucht hatte).

Und ich frage mich: Wie kann das passieren, wenn man den Browser ausschließlich in der Sandbox geöffnet hatte und diese automatisch geleert wird?

Ich habe einen - allerdings nur völlig unbestimmten - Verdacht, dass das "irgendwie" mit der Benützung von Shadow Defender zusammenhängen könnte. Ich habe nämlich im dortigen (englischsprachigen) Forum einen langen Thread gefunden, in dem von einem (möglichen) Konflikt zwischen Sandboxie und den zwei letzten Versionen von Shadow Defender die Rede ist (darunter die von mir benutzte Version 1.1.0.320). Es handelt sich um diesen Thread:
http://www.shadowdefender.com/phpbb/viewtopic.php?f=3&t=106

Was ich dort (überblicksmäßig) gelesen habe, hat mich sofort an mein gestriges Vorkommnis erinnert.

Klarstellen muss ich allerdings auch, dass ich keinerlei Ordner in der "Exclusion List" von Shadow Defender eingetragen habe, und natürlich schon gar nicht irgendeinen Sandboxie-Ordner (wie das in dem Thread zumindest im Szenario des ersten Postings der Fall ist). Bei mir war es gestern einfach so, dass der Browser (in meinem Fall Firefox) und damit Sandboxie zunächst ohne Shadow Defender und dann noch ein Zeit lang mit Shadow Defender (also im Schattenmodus) liefen, bevor ich den Computer abschaltete.

Ich habe heute noch mehrmals versucht, das Szenario von gestern zu reproduzieren; aber dieses merkwürdige Phänomen, dass nach dem Computerneustart früher besuchte Webseiten am Bildschirm waren, trat bisher nicht mehr auf.

Geschrieben von: SebastianLE 25.01.2010, 13:10

@Peter: Um ein genaues Urteil zu fällen sind mir zu viele "vielleicht" und "wahrscheinlich" im Post.

Zu dem im ShadowDefender Forum geschilderten Problem: Dies ist eine ziemlich merkwürdige (weltfremde?) Konstellation die dort geschildert wird: Einerseits nutzt man Sandboxie und ShadowDefender, andererseits erstellt man eine Ausnahme für den Sandbox Ordner. Das "Problem" ist reproduzierbar, die praktische Relevanz aber für mich nicht unbedingt ersichtlich. Bei dir scheint dieses Problem aber nicht der Fall zu sein.

Ist es in deinem Fall möglich, dass der Browser in der Sandbox schon lief und währenddessen Shadow Defender gestartet wurde? Dann wärst du nach einem Neustart nämlich wieder exakt an diesem Punkt: Das löschen der Sandbox durch Sandboxie geschah im Schattenmodus und wird selbstverständlich rückgängig gemacht. Andernfalls müsstest du versuchen das Problem zu reproduzieren.

Geschrieben von: Peter 123 25.01.2010, 14:58

Natürlich, das sehe ich auch so. Auf so eine Idee würde ich nie kommen, und das ist, wie erwähnt, nicht mein Fall.


Seriöserweise musste ich manches so vorsichtig formulieren, weil ich mich im Nachhinein nicht mehr an jedes Detail meiner gestrigen Computernutzung erinnern konnte. Wenn ich geahnt hätte, dass das geschilderte Phänomen auftritt, hätte ich natürlich viel mehr darauf geachtet.


Ja, das könnte sein. In diesem Fall hätte ich vergessen, den Browser zu schließen, bevor ich Shadow Defender startete - denn absichtlich mache ich so etwas nicht: Ich schließe immer den Browser, bevor ich eine Virtualisierung mit Shadow Defender oder Returnil starte. Aber als Versehen ist es durchaus denkbar, dass er (in der Sandbox) offen blieb.

Jetzt muss ich noch deine Schlussfolgerung durchdenken:

Hmmm. Aber es wurde ja der Computer "real" heruntergefahren. Und hätte nicht allein dieser Umstand dazu führen müssen, dass das "letzte Programm in der Sandbox beendet wurde und die Sandbox unbenutzt wurde"? (Das sind ja die Kriterien für das automatische Löschen des Inhalts der Sandbox [s. Abbildung in meinem vorigen Posting].)
Also anders formuliert: Sobald ich den Computer herunterfahre (egal, ob aus dem Schattenmodus heraus oder aus dem "echten" Modus), müsste das doch zu einem Löschen des Sandboxinhalts führen (natürlich immer unter der Voraussetzung, dass die automatische Löschung aktiviert ist) - nämlich deshalb, weil der "Sandboxbetrieb" damit beendet wird.

Oder habe ich da jetzt einen Denkfehler??

Aber jedenfalls danke für deine Antwort. Was du schreibst, scheint mir im Moment die plausibelste Erklärung zu sein.

Geschrieben von: SebastianLE 25.01.2010, 15:15

Alles was im Schattenmodus an Schreib- und Löschvorgängen erfolgt ist danach hinfällig. Demzufolge ist der PC nach einem Reboot wieder exakt in dem Zustand, an dem er vor dem Eintritt in den Schattenmodus war. (außer bei irgendwelchen Ausnahmen bzw. einer Übernahme bestimmter Änderungen)

Sandboxie hat also beim schließen/herunterfahren den Inhalt der Sandbox gelöscht. Da du aber im Schattenmodus warst wurden diese Änderungen "umgeleitet" in die Datei von ShadowDefender und waren nach Systemreboot hinfällig. Und wenn irgendwas (z.b. eine Browsersitzung/ein browserprofil) zum Zeitpunkt des Startes von ShadowDefender in der Sandbox war, sollte es nach Reboot wieder exakt in dieser Form vorhanden sein.

Geschrieben von: Peter 123 25.01.2010, 16:06

Ja, genau so ist es!

Ich habe das Szenario soeben reproduziert, und es spielt sich genau wie von dir beschrieben ab:

- Firefox läuft in der Sandbox
- Ich öffne Shadow Protect und gehe in den Schattenmodus, ohne vorher Browser/Sandbox zu schließen.
- Ich surfe zunächst im Internet weiter, schließe dann den Browser.
- Die Sandbox leert sich (zu erkennen am roten Kreuz, das rechts unten kurz anstelle des Sandboxie-Symbols erscheint).
- Ich fahre den Computer herunter.

- Neustart
- Ich öffne Firefox innerhalb der Sandbox und gelange wieder zu genau jener Seite, die ich zuletzt geöffnet hatte, bevor ich in den Schattenmodus ging.

---> So war das dann auch gestern: Ich hatte vergessen, den Browser (und damit die Sandbox) zu schließen, bevor ich in den Schattenmodus wechselte.

Alles von dir messerscharf erkannt und analysiert! Vielen Dank, Sebastian.

Geschrieben von: Habakuck 27.01.2010, 14:06

Wie kann ich das Sandboxie Control Fenster immer im Vordergrund anzeigen lassen?

Geschrieben von: Habakuck 27.01.2010, 16:30

Ich frage das mal hier weil es wie ich finde am besten passt und ich nicht wüsste wie ich einen eigenen Thread nennen sollte.

Gibt es eine Lösung/Programm für folgendes Vorhaben:

Einen Brwoser so abschotten, dass kein nicht legitimiertes Programm von außerhalb auf den Browser zugriefen kann und auch keine Daten empfangen kann.
Also sozusagen einen sicheren Browser in dem man bedenkenlos Online Banking betreiben kann ohne das evtl. installierte Keylogger oder Screengrabber die Daten abgreifen können?

Ich weiss ich rede da grade quasi von PrevX Safe Online aber mich interessiert ob es eine andere Lösung dafür gibt.

An Safe Online nervt mich nämlich so einiges. Mal damit angefangen, dass es immer läuft und zum Beispiel verhindert, dass ich meine e-Bay Transaktionsbestätigng ausdrucken kann... *gnaa*

Diesen sicheren Browser könnte man dann ja nur zum online Banken öffnen und danach wieder schließen... so meine Überlegung.

Geschrieben von: Peter 123 27.01.2010, 18:43

Also wenn ich dein Anliegen richtig verstehe, dann bietet dir Sandboxie mit entsprechender Konfiguration genau diese Möglichkeit. Diverse allgemeine Konfigurationshinweise findest du an mehreren Stellen hier in diesem (zugegeben schon sehr umfangreichen) Thread. Ich erinnere mich außerdem dunkel, dass subset einmal eine Konfigurationsanleitung genau für jenen Fall gegeben hat, dass man in einer Sandbox nur Online-Banking machen will. Ich bin mir aber nicht sicher, ob das auch in diesem Thread steht. Irgendetwas habe ich mir einmal dazu notiert. Ich werde mal recherchieren und mich mit weiteren Informationen melden, wenn ich fündig werde.*

*) Na also. Dank meiner sorgfältigen Notizen habe ich es schon gefunden:
http://www.rokop-security.de/index.php?showtopic=18150
("Online-Banking mit Sandboxie")

[Wenn du die von subset in dem Thread angegebene bebilderte Anleitung bei ImageShack länger sehen willst [die Bilder laufen dort in kurzem Abstand hintereinander durch], dann kannst du mir das mitteilen. Ich habe die Bilder abgespeichert und würde sie in dem verlinkten Thread hochladen.]

Geschrieben von: Habakuck 28.01.2010, 19:36

Sau cool! Danke Peter!

Nur bringt das eigentlich alles überhaupt nichts oder? =)

Ich hatte mir das auch mal so überlegt aber dann festegestellt, dass die sandboxie ja nur den realen Zugriff aufs System verhindert. Nicht aber den Zugriff vom System auf die Sandbox.
Also hindert sandboxie einen Keylogger doch nicht die Bohne daran die Daten mitzuschneiden oder liegt da ein Denkfehler vor?

Geschrieben von: Julian 28.01.2010, 20:06

Leider nein. Aber das PDM und die Programmkontrolle von KIS können diese Lücke auf x64 ganz gut füllen.

Geschrieben von: Peter 123 28.01.2010, 20:06

Hmmm, ich glaube es ist ein Denkfehler, Habakuck. Subset kann dir das sicher alles besser erklären. Aber soweit ich das durchblicke, ist es doch so: Du "kommunizierst" mit deiner Bank über die speziell konfigurierte Sandbox. In dieser darf nur dein Browser starten und laufen:

http://www.abload.de/image.php?img=sbb2wo9q.jpg

Und weiters hat nur er (= dieser Browser) Zugriff auf das Internet:

http://www.abload.de/image.php?img=sbb1tpwe.jpg

Also könnte ein Keylogger (selbst wenn er sich theoretisch in der Sandbox befände) keinen Schaden anrichten.

So steht es auch auf der Sandboxie-Seite selbst:

(http://www.sandboxie.com/index.php?DetectingKeyLoggers)

---> Also ich denke, bei entsprechender Konfiguration der Sandbox brauchst du dir wegen Keyloggern keine Gedanken zu machen.

PS:
Das hat sich mit Julians Posting überschnitten. Dann steht jetzt Aussage gegen Aussage.

Geschrieben von: Julian 28.01.2010, 20:25

Nein.
Sandboxie erkennt keine Keylogger. Es kann nur die Starterlaubnis für Programme einschränken, nach dem Motto: "Was nicht startet, kann auch nicht keyloggen."
Ob ein Programm außerhalb, oder gezielt innerhalb der Sandbox gestartet, keylogt, weiß Sandboxie nicht. Ich würde wegen dem Aufwand, der zur Verfügung stehenden sichereren Alternativen (HBCI, Anti-Keylogger-Software) nicht auf eine "Banking-Sandbox" zurückgreifen.

Geschrieben von: SebastianLE 28.01.2010, 20:30

M.W. bezieht sich dies nur auf Keylogger die in der Sandbox laufen - nicht auf solche, die auf dem realen System ihr Unwesen treiben.

Geschrieben von: Solaris 28.01.2010, 20:33

Hi

Ich habe im letzten Spätsommer einige Keylogger-Tests (und auch andere) mit Sandboxie durchgeführt. Ja, die Programme können in der Sandbox mitloggen, es aber nicht verschicken, da entsprechend der Konfiguration (ein Eintrag), nur der Webbrowser auf das Internet zugreifen darf. Sandboxie generiert Fenster, auf denen sinngemäß steht: XY wurde der Zugriff auf das Internet nicht gestattet.

Bis auf wenige Ausnahmen sind die gängigen AV-Programme mit Keyloggern maßlos überfordert, Mir persönlich reicht die Absicherung über Sandboxie (paid) beim Browsen völlig aus. Ansonsten ist man breitflächiger natürlich mit den Lösungen, wie @Julian sie genannt hat, besser bedient. Man führt ja nicht jedes Programm in der Sandbox aus.

EDIT: Jepp, @Sebastian LE hat es schon vorher gepostet

Gruß,
Solaris

Geschrieben von: Peter 123 28.01.2010, 20:43

O.k., ich bin davon ausgegangen, dass man Online-Banking ohnedies nur dann betreibt, wenn man ein (nach menschlichem Ermessen) sauberes und daher auch von Keyloggern freies System hat.

Und dazu:

Damit ist der (Schutz-)Zweck der Sandbox ja erfüllt.

Das habe ich allerdings noch nicht ganz verstanden:

Nur dann, wenn sie auch in der Sandbox drinnen sind, oder auch solche (Keylogger), die sich im realen System festgesetzt haben? (Das wäre dann der von SebastianLE angesprochene Fall.)

Geschrieben von: Julian 28.01.2010, 20:51

Auch wieder war. Aber wenn man sowieso schon darauf bedacht ist, dass dann keine weiteren Programme als der Browser in der Banking-Sandbox laufen, also auch keine in einer anderen, was für die wasserdichte Sicherheit dieses Konzepts notwendig wäre (Schwachstelle: menschliches Versagen), dann kan man auch mal eben die Sandboxen leeren bzw. sollte das eh Standard für eine Browser-Sandbox sein, und dann ruft man eben direkt, ohne Umwege, die Bankseite auf. Klingt vielleicht nicht komfortabel, ist aber eine Sache von wenigen Klicks und Sekunden.

Etwas OT: Zum Herumexperimentieren mit Keyloggern braucht man IMO kein großes Keylogger-Arsenal. Der AKLT scheint alle öffentlich bekannten Methoden abzudecken. Hab noch keine Malware gesehen, die sich an einem HIPS , was alle Methoden von AKLT erkennt (Das sind auf x32 praktisch alle.), vorbeimogelt.

Edit: Nettes Technikgespräch, Spielkinners unter sich.

Geschrieben von: Solaris 28.01.2010, 21:06

Wenn Du einen Keylogger im Real-System hast, bringt Dir die Browser-Sandbox nichts mehr, weil die Daten in der Regel nicht über den Browser-Prozess gesendet werden. Der Logger kann extern auf die virtualisierte Umgebung zugreifen, ähnlich wie ein Http-Scanner (aber nicht verwechseln mit Browser-Plugins, die (außer explizit eingearbeitet) nicht laufen sollten).



Jepp, so geht es auch. Man kann darüber hinaus bei Sandboxie paid ja einzelne, unterschiedlich konfigurierte Sandboxen für verschiedene Prozesse, deren Start in der Sandbox erzwungen werden, erstellen. Damit wird die Sache noch einfacher.

Gruß,
Solaris

Geschrieben von: Peter 123 28.01.2010, 21:15

Aha, danke. Das wäre dann der von SebastianLE angesprochene und offenbar von Habakuck befürchtete Fall.
Aber wie erwähnt: Wenn ich befürchten muss, einen Keylogger am realen System zu haben, dann würde ich auf dem betroffenen Rechner ohnedies kein Online-Banking mehr betreiben - egal ob innerhalb oder außerhalb einer Sandbox.

Geschrieben von: Julian 28.01.2010, 21:26

Meiner Beobachtung nach telefoniert Malware entweder über den Standardbrowser, den IE oder andere Windows-Prozesse nach draußen. Man kann wahrscheinlich keinen Regelfall festmachen, ob es hilft, wenn der Browser in der Sandbox läuft, auf den von außerhalb dieser von Malware zugegriffen wird. Theoretisch wird das bestimmt irgendwie gehen, denn die Prozessisolierung findet ja nur von innen nach außen statt, nicht umgekehrt. Allerdings funktioniert z.B. mein Lingoes ohne entsprechende Kompatibilitätseinstellung (Ausnahme) nicht mit Programmen in der Sandbox. Malware könnte da in der Praxis also auch vielleicht Probleme haben, aber wohl eher nicht, weil der Browser geschützt wäre, sondern eher, weil da was wegen der Kompatibilität nicht hinhaut.



Das hab ich sowieso gemacht, bei x64 Sandboxie ist Drop my rights (Das schreib ich jetzt mal groß, weil es ein eigener Begriff ist.) standardmäßig aktiviert. Das ist bei den derzeit wahrscheinlich noch nur theoretischen Schwachstellen von SB x64 aufgrund der Limitierungen von Patchguard bestimmt noch nicht nötig, aber für meine Browser-Sandbox hab ich es aktiv. Wozu brauchen Browser und PDF auch Adminrechte?
Nur kann man so natürlich kaum Programme in der Sandbox installieren, weshalb ich noch eine Sandbox ohne diese Option habe. Zum Rumspielen mit Programmen und Malware.
Das KIS-HIPS ist ja auch noch da, was hoffentlich nicht mit Sandboxie zusammen so einfach umgangen werden kann.

Geschrieben von: Solaris 28.01.2010, 21:36

Ich habe mal ein wenig rumgespielt und mir den Zemana-Logger heruntergeladen (Test-Tool).

Der Firefox-Browser läuft mit Sandboxie (in den bereits genannten Einstellungen), die keyboard.exe in der Avast V5-Sandbox

Wenn ich nun in Google eintippe, wird fleißig mitprotokolliert:
http://www.abload.de/image.php?img=kelogsandboxgs0w.png

Funktioniert ohne Probleme.

Ja, das ist halt die einfachste Methode, da sich diese Prozesse in den Ausnahmelisten von der Sicherheitssoftware (Firewall/Hips/IDS etc.) befinden. Jetzt wäre es spannend, wie sich so eine Code-Injektion auf die Sandbox auswirkt. Geht aber nur mit der paid-Version, da sich ansonsten die firefox.exe auch außerhalb der Sandbox öffnen lässt. Kann auch im Hintergrund und nicht sichtbar gestartet werden.
Allerdings sehe ich auch viel Malware, die über ihre eigenen Prozesse telefoniert. Kommt imo einfach drauf an.

Gruß,
Solaris

Geschrieben von: SebastianLE 28.01.2010, 21:43

Spielkinners im Sandkasten.


Richtig. Und wenn ich vorhabe in der Sandbox Online Banking zu betreiben, dann mache ich vorher nicht irgendwelche Sachen, die dazu führen könnten, dass ein Keylogger in DIESE Sandbox kommen könnte.

Dito - habe auch mehrere Sandkisten. Gerade für Tests (Malware (zusätzlich mit Shadow Defender) und normale SW-Installationstests) verwende ich nie die meine Browser SB.
Daneben ist bei solchen Tests (zumindest unter x86) auch Busters Sandbox Analyzer ganz gut zu gebrauchen und die Registry Hives lassen sich z.B. mit http://www.mitec.cz/wrr.html herrlich untersuchen.

Geschrieben von: Peter 123 28.01.2010, 22:01

Ganz genau. Ich persönlich öffne daher für Online Banking (bzw. ähnliche Transaktionen) die Sandbox immer neu; leer ist sie dann sowieso (weil ich sie so eingestellt habe, dass ihr Inhalt bei jedem Schließen automatisch gelöscht wird); und restriktiv konfiguriert ist sie auch. Insofern halte - ich für meine Situation - die Einrichtung einer eigenen Sandbox für Online Banking für nicht erforderlich. Aber wenn das eben jemand tun will: Sandboxie bietet die Möglichkeit dazu.

Übrigens nebenbei noch etwas dazu:


Das ist der Grund, warum ich die Gratisversion von Sandboxie gegenüber der Bezahlversion bevorzuge. Bei Letzterer kann man mehrere Sandboxen gleichzeitig geöffnet haben, und da hätte ich Befürchtungen, möglicherweise einmal den Überblick zu verlieren bzw. zu vergessen, eine Sandbox zu schließen, obwohl das aus Sicherheitsgründen vielleicht angebracht wäre. Bei der kostenlosen Version kann ich sicher sein, dass immer nur eine einzige Sandbox gerade geöffnet ist. Die Sparvariante nimmt mir also Denkarbeit ab.

Geschrieben von: Firefox 1947 28.01.2010, 22:19

Hallo...

Ich benutze eine separate Sandbox nur fürs Online-Banking mit den Einstellungen von " Subset " für eine Online-Banking Sandbox, ich glaube, dass ich so ganz gut geschützt bin. Zusätzlich kommt bestimmtes System der Bank zum Einsatz, welches eine weitere Sicherung darstellt, das sollte doch wohl reichen, lasse mich aber gern eines besseren belehren.

Gruss Firefox.

Geschrieben von: Solaris 28.01.2010, 22:30

Imo hat die Paid-Versionen sehr viele Vorteile. Es ist ja nicht nur die Möglichkeit verschiedene Sandboxen einzurichten, sondern der erzwungene Start von Programm-Prozessen, Ordnern, Dateien und Laufwerken. Ich habe aktuell vier Sandboxen, die sich in entsprechender Konfiguration immer mit den Prozessen selbst starten und nicht miteinander interagieren können: 1x für das Browsen im Netz, 1x für alle Endgeräte (USB/Wechseldatenträger), 1x für´s Mail-Programm und eine spezielle für Malware.

Was komfortableres gibt´s nicht. Alle Boxen sind passwortgeschützt und müssen nur einmalig konfiguriert werden.

Gruß,
Solaris

Geschrieben von: Peter 123 28.01.2010, 22:43

Meines Erachtens: ja.


Klar. Aber ich benutze die Sandbox nur für Browser und Messenger-Programme bzw. Skype, und da finde ich mit der einfachen Version mein Auslangen. Der einzige (kleine) Nachteil für mich, den ich bisher feststellen konnte: den erzwungenen Start in der Sandbox gibt es in der Gratisversion nur für den Standard-Browser (in meinem Fall: Firefox). Wenn ich Opera in der Sandbox starten möchte, muss ich das immer manuell (durch Rechtsklick ---> "In der Sandbox starten") machen. Darauf kann man leicht vergessen. Und bei den Messenger-Programmen etc. ist es ähnlich.
Aber dennoch: Die Gewissheit, garantiert immer nur eine einzige Sandbox geöffnet zu haben, wiegt das auf.

Geschrieben von: Solaris 28.01.2010, 22:45

Was ist denn so schlimm daran, wenn mehrere Boxen gleichzeitig auf sind?

Zu den erzwungenen Programmen: Klar, die öffnest Du manuell je nach Belieben. Malware aber auch . Das ist der springende Punkt.

Gruß,
Solaris

Geschrieben von: Habakuck 28.01.2010, 22:47

O.k. ihr bestätigt mir das was ich auch angenommen habe: Sandboxie schützt nicht von außen nach innen. Soll sie ja auch nicht.
Kennt jemand ein Prog was das kann?

Ich denke ich werde auf dem PC SafeOnline so einstellen, dass es nur bei der einen Bank Seite auf höchsten Settings läuft.

Die Person die an dem Rechner sitzt ist nämlich nicht unbedingt in der Lage zu beurteilen ob ihr System sauber ist oder nicht... (Ich nutze ohnehin kein online Banking. )
Daher möchte ich, dass im Fall der Fälle wenigstens das Konto sicher ist.

SafeOnline ist eigentlich echt nett aber es nervt in den standard settings weil dann alle https Seiten voll geschützt werden was letztens dazu geführt hat, dass bei einer e-Bay Transaktion die Bestätigunsseite nicht ausgedruckt werden konnte. Um das dann frei zu schalten muss man den Browser schließen, SafeOnline ausmachen und die Seite wieder aufrufen (wenn das überhaupt geht).
Voll nervig.

Auf maß24 das gleiche wenn man die settings für http Seiten auf standard lässt ist kein ausdrucken möglich.
Das kann bei mir sogar nur durch einen reboot des PCs behoben werden! *kotz*

So nicht!

Also wird SafeOnline jetzt auf Low gefahren und auf dem anderen PC nur für die Bank Seiten hochgeschraubt.

Jedenfalls wenn keiner ne tolle Alternative hat...

PS: Wehe es kommt einer mit dem Banking Browser.!.

Geschrieben von: Peter 123 28.01.2010, 22:58

Da könnte ja möglicherweise Malware "überspringen". Ich weiß nicht, wie groß die Gefahr in der Realität ist. Aber ein gewisses Risiko soll angeblich bestehen. Und wenn dann womöglich die Sandboxen auch noch unterschiedlich konfiguriert sind, wird es überhaupt schwierig, den Überblick zu behalten. (Für mich wäre es auf jeden Fall so. Ich habe gerne möglichst klare Verhältnisse am Computer. )


Das verstehe ich nicht ganz: Du meinst die Gefahr, dass man sich Malware einhandeln könnte, weil man vergisst, ein Programm (manuell) in der Sandbox zu öffnen? Das Risiko besteht natürlich. Aber erstens liegt das Schwergewicht der Benützung in meinem Fall beim Standardbrowser, und für den gibt es ja zum Glück den erzwungenen Sandbox-Start. Und zweitens bin ich ohnedies wachsam und kontrolliere so ungefähr alle 5 Minuten, ob ich mit dem jeweiligen Programm auch tatsächlich in der Sandbox bin.

Geschrieben von: Solaris 28.01.2010, 23:02

Ich denke, die Gefahr ist genauso groß, wie die, dass Malware aus einer einzigen Sandbox gelangen kann.


Nein, ich meine, dass Malware Prozesse startet, die Du manuell in der Sandbox starten würdest (quasi hijacked). Dann entscheidest nämlich leider nicht Du, ob die in der Sandbox ausgeführt werden sollen.

Gruß,
Solaris

Geschrieben von: Peter 123 28.01.2010, 23:04

Das verstehe ich nicht. Vor allem auch nicht den Zusammenhang mit dem Unterschied zwischen Gratisversion und Kaufversion von Sandboxie.

Geschrieben von: SebastianLE 28.01.2010, 23:05

Sorry - aber dann PREVX und SafeOnline zumuten?
Kaufe Starmoney 7, dass hat auch ein paar Schutzmechanismen an Bord und es sind keine jährlichen Gebühren fällig.

Geschrieben von: Solaris 28.01.2010, 23:10

@Peter
Nehmen wir mal an, Du bekommst einen infizierten USB-Stick. Dein AV-Programm sagt aber: Alles prima, keine Infektion.
Du führst die infizierte Datei aus, die sich widerum die firefox.exe catched. Die Firefox.exe wird ohne Sandbox-Umgebung gestartet und alles, was jetzt passiert, geschieht auf dem realen System.
Nun zur Paid-Version: Du gibst an, dass die firefox.exe immer in der Sandbox gestartet werden soll. Alles was jetzt passiert, wird simuliert. Natürlich findet es in der Sandbox statt, aber nach dem Löschen nicht mehr.

Hatte schon einige Fälle solcher Injektionen.

EDIT: Und es können keine Prozesse dubliziert werden, die auch Internetzugriff erhalten wollen.


Gruß,
Solaris

Geschrieben von: subset 28.01.2010, 23:12

Das ist nur bei der Vollversion mit den erzwungenen Programmen lösbar.
Den IE Start in der Sandbox erzwingen und den Internetzugriff für alle Programme in der IE Sandbox sperren.

Grundsätzlich ist das Erzwingen die sicherste Lösung.
Malware wird kaum nachfragen, ob sie den IE ohne Fenster für Datenübertragung benutzen darf.
Durch das Erzwingen landet der Prozess aber immer in der Sandbox.

MfG

Geschrieben von: Solaris 28.01.2010, 23:12

@Subset
Hi
Ja, genau das meinte ich!

Gruß,
Solaris

Geschrieben von: Peter 123 28.01.2010, 23:19

Danke für das Beispiel, Solaris. Jetzt durchschaue ich besser, was du meinst. Aber ein solches Szenario setzt offenbar voraus, dass "von außen" - typischerweise via USB-Stick - ein entsprechender Schädling auf den Rechner gelangt. Und das ist bei mir ohnedies ausgeschlossen, weil ich fremde USB-Sticks etc. gar nicht an meinen Rechner lasse.

Geschrieben von: subset 28.01.2010, 23:23

Dabei ging es darum, welche Vorsichtsmaßnahmen man treffen kann, wenn der Browser in der Sandbox läuft.
Was Prozesse außerhalb der Sandbox veranstalten, dafür ist Sandboxie nicht verantwortlich (zu machen).

Wenn ein Keylogger im System läuft, dann kann der natürlich auch die Eingaben beim Browser aufzeichnen, wenn dieser in der Sandbox läuft.
Mit Sandboxie kann man aber verhindern, dass ein solcher Keylogger z.B. über einen Drive-By-Download beim Surfen ins System gelangt bzw. in der Sandbox überhaupt starten darf.

Kurzum, Sandboxie schützt alles was in der Sandbox läuft.
Für Dinge außerhalb der Sandbox gilt das nicht. Sandboxie schützt z.B. nicht gegen Wasserschäden beim PC.

MfG

Geschrieben von: Peter 123 28.01.2010, 23:39

Das aber nach dem Gesagten genau genommen auch nur mit der Einschränkung:
"... sofern sich nicht schon ein Schädling im realen System befindet, der auf ein Programm innerhalb der Sandbox zugreift". (Wie eben der am realen System vorhandene Keylogger, der z.B. die Browsereingaben ausspäht. Ich weiß nicht, ob auch noch andere Gefahrenquellen denkbar sind.)

Geschrieben von: Habakuck 29.01.2010, 09:02

Warum nicht?

Wenn das einmal eingestellt ist dann ist das doch super. Da kann man kaum was falsch machen.

Geschrieben von: Solaris 29.01.2010, 20:15

Ich habe eine Frage an alle Sandboxie-Nutzer:

Nutze drei Sandboxen in unterschiedlichen Konfigurationen (die vierte lasse ich über die Avast 5-Sandbox laufen).

Seit einer Woche bekomme ich beim Schließen der für das Browsen eingestellten Box folgende Meldung:
http://www.abload.de/image.php?img=sanboxiekg86.png

Die Box ist so eingestellt, dass nur die firefox.exe Zugriff auf das Internet bekommen darf. Soweit ist ja auch alles stimmig, aber vor 4 Wochen bekam ich dieses Fenster über die Internetanforderung von Sandboxie noch nicht.
Warum will die RpcSs.exe eine Verbindung zum Internet aufbauen? Und sollte ich sie lassen?

Gruß,
Solaris

Geschrieben von: subset 29.01.2010, 20:52

Die versuchten Internetzugriffe von Sandboxie Prozessen (SandboxieRpcSs.exe) gab es früher auch schon, nur werden sie jetzt nicht nur still geblockt sondern auch gemeldet.
Mehr dazu hier: SBIE 1307 'SandboxieRpcSs.exe
http://www.sandboxie.com/phpbb/viewtopic.php?t=7130

MfG

Geschrieben von: Solaris 29.01.2010, 20:55

Super, danke Dir @subset! Das klärt alles auf.

Btw.: Welche Version ist denn aktuell? Las im Thread etwas von 3.43....ist das eine Beta-Version?

Gruß,
Solaris

Geschrieben von: SebastianLE 29.01.2010, 21:12

Offiziell ist die 3.42, als Beta erscheinen nahezu täglich neue Version der 3.43 (als 32- und 64 bit).

Geschrieben von: Solaris 29.01.2010, 21:14

@SebastianLE
Vielen Dank für die Aufklärung. Bin momentan hinsichtlich der Sandboxie-Entwicklung nicht auf dem aktuellen Stand.

Gruß,
Solaris

Geschrieben von: SebastianLE 03.02.2010, 19:11

http://www.sandboxie.com/index.php?DownloadSandboxie wurde veröffentlicht.

Changelog:
- volle Unterstützung für 64-Bit Systeme
- verbessert: kurzzeitiges deaktivieren der "erzwungenen Programme"
- verbessert: Zusammenspiel gesandboxter Programme mit der UAC
- Inkompatibilität mit Software Restriction Policies (SRP) unter Win7 behoben
- Windows Explorer, der unter Sandboxie läuft zeigt den aktuellen Ordnernamen im Fenstertitel
- Verhinderung von Firefox und Google Chrome Updates in der Sandbox
- Unterstützung für die Installation von Erweiterungen in Google Chrome
- Unterstützung für ICMP (PING) von Programmen in der Sandbox unter Windows Vista und Windows 7
- verbessertes Zusammenspiel mit a2 Anti Malware
- verbesserte Kompatibilität mit Macro Express, LinkStash und Bing Toolbar

Geschrieben von: ahora2010 03.02.2010, 19:35

danke gerade installiert, die free reicht mir ja

Geschrieben von: Julian 03.02.2010, 19:49

Läuft äußerst gut und scheint in der Praxis extrem sicher zu sein.

Ich freu mich schon auf Beta 3.45.

Geschrieben von: flachbrot 03.02.2010, 20:26

Mal eine Frage an die SB Profis

Wenn ich Outlook 2007 in der Box Ausführe kommt immer folgende Meldung....
"Outlook hat ein Problem mit NormalEmail.dotm festgestellt. Wollen Sie eine neue Datei NormalEmail.dotm erstellen ?"

Weiß jemand Rat ??

Geschrieben von: subset 03.02.2010, 20:31

Hast du den direkten Zugriff für "Office Outlook" in den Sandbox Einstellungen aktiviert?
Also bei den Einstellungen für diese Sandbox unter Anwendungen > Email-Programme.

MfG

Geschrieben von: flachbrot 03.02.2010, 20:48

Japp...habe ich (+) ist bei Office Outlook gesetzt.
Liegt es daran, dass ich nur eigeschränkte Nutzungsrechte in Windows 7 habe ?? (Non Admin Account)

Geschrieben von: subset 03.02.2010, 21:21

Könnte sein. Bei MS habe ich gelesen, dass es mehrere NormalEmail.dotm geben kann.
Eine ist im Profilverzeichnis jeden Benutzers und eine im Programmverzeichnis von Office.

Manchmal kommt es vor, dass Outlook die NormalEmail.dotm vom Programmverzeichnis von Office nimmt.
Das könnte auch zu der Fehlermeldung bei dir führen.
Wenn man die im Office Verzeichnis aber umbenennt, dann nimmt Outlook die vom Benutzer Verzeichnis.

Ich würde also mal nach den NormalEmail.dotm Dateien suchen und die im Programmverzeichnis von Office testweise umbenennen.

MfG

Geschrieben von: flachbrot 03.02.2010, 21:39

Hat leider keinen positiven Effekt gebracht...

Ich habe bei der Fehlermeldung nun mal die NormalEmail.dotm neu erstellen lassen...

nun meldet sich Sandboxie mit

"SBIE1308 Programm "SETUP.EXE" kann nicht gestartet werden aufgrund von Beschränkungen.

Geschrieben von: subset 03.02.2010, 21:57

Hast du bei "Start/Ausführen Zugang" für die Sandbox etwas eingetragen?

MfG

Geschrieben von: flachbrot 03.02.2010, 22:09

japp...die Programme die Du in Deiner Anleitung mit aufgeführt hast:

outlook.exe
iexplore.exe
opera.exe
firefox.exe

zusätzlich...
pdfxcview.exe

Geschrieben von: subset 03.02.2010, 22:17

Naja, logisch, dass dann die Setup.exe nicht starten darf.
Bloß was ist das für eine Setup.exe, die mit Outlook starten will?

MfG

Geschrieben von: flachbrot 03.02.2010, 22:20

Also dort outlook.exe herausnehmen ??

"Setup.exe" event. das Outlook-Plugin von Avast Pro ??
Kann aber auch nicht sein...habe es gerade deaktiviert -----> selbes Problem !

Geschrieben von: Julian 03.02.2010, 22:30

Nicht nur Outlook.exe rausnehmen, sondern alle.

"Die folgenden Programme sind die einzigen, die in dieser Sandbox ausgeführt werden dürfen." Wenn dort also auch nur ein Programm eingetragen ist, können alle anderen nicht mehr in der selben Sandbox starten.

Geschrieben von: flachbrot 03.02.2010, 22:42

okay..erledigt
hilft aber trotzdem nicht wirklich weiter...

Nun meldet Outlook...

"Die Arbeitsdatei konnte von Outlook nicht erstellt werden. Überprüfen Sie die TEMP-Umgebungsvariable."

dann

"Die Anweisung in 0x77268x39 verweist auf Speicher 0x00000014. Der Vorgang written konnte nicht im Speicher durchgeführt werden."

Geschrieben von: subset 03.02.2010, 23:07

Alles sicher einfach zu lösen... wenn man weiß wie.

Also, wenn du eine ganz neue Sandbox erstellst und Outlook in dieser Sandbox dann startest - was passiert dann?

MfG

Geschrieben von: flachbrot 03.02.2010, 23:30

Nein..leider auch kein Erfolg !

Ich dachte erst es läge daran, dass ich die SB mit Admin-Rechten
eingerichtet habe...

Ich habe hierzu die SB nochmals gelöscht und dann eine neue erstellt ---> Fehlanzeige.
Dann habe ich Outlook komplett aus der neu erstellen Standard-SB rausgenommen
und eine neue SB nur für Outlook erstellt ----> Fehlanzeige.

Geschrieben von: subset 04.02.2010, 17:25

Bleibt wohl nur mehr das Problem im Sandboxie Forum zu berichten.
Mit dem Log über den Ressourcen-Zugriff kann Tzur sicher feststellen, wo das Problem liegt.
Denn manche haben es offenbar sogar geschafft Office 2007 komplett in eine Sandbox zu installieren.

MfG

Geschrieben von: SebastianLE 04.02.2010, 18:17

@flachbrot: Geht es unter einem Adminkonto?

Geschrieben von: flachbrot 04.02.2010, 20:48

Nabend...

das Problem hat sich gelöst

SebastianLE hat mich auf die richtige Fährte gebracht !

Ich hatte zwar Outlook unter Admin-Rechten installiert, aber noch nie geöffnet oder eingerichtet.
Outlook wurde nur unter eingeschränkten Rechten eingerichtet und benutzt.
Also nun habe ich Outlook mal unter Admin-Rechten geöffnet und es funktionierte...dann kurz den Benutzer
wieder abgemeldet und wieder unter eingeschrängten Rechten versucht Outlook zu öffnen

und siehe da ---------------------> es funktionert !!!!!

Trotzdem vielen Dank für die Mühe und tolle Hilfe an "subset, Julian und SebastianLE"


Schönen Abend...

dat flache

Geschrieben von: flachbrot 05.02.2010, 06:12

FEHLALARM -----> zu früh gefreut

Mal funktioniert es......dann mal wieder nicht !

Geschrieben von: Peter 123 06.02.2010, 01:00

Obwohl es den meisten Benützer/innen von Sandboxie ohnedies klar sein wird:

Wer Norton Internet Security 2010 installiert hat, der wird zunächst informiert, dass die SandboxieInstall.exe (für Version 3.44) "Gut" sei.
Sobald man diese exe-Datei ausführen möchte, kommt allerdings (bei aktiviertem Sonar-Schutz) die folgende Mitteilung von NIS 2010 über ein vermeintliches "Sicherheitsrisiko":

http://www.abload.de/image.php?img=sb-sicherheitswarnungezo1.jpg

Die Empfehlung, diese Datei zu entfernen, kann und soll man hier natürlich ignorieren und das "Fortfahren des Programms zulassen".

Geschrieben von: scu 06.02.2010, 02:00

Gibt es von Sonar eigentlich auch mehr Infos als nur ein "verhält sich verdächtig"?

Geschrieben von: Peter 123 06.02.2010, 05:42

Meines Wissens: nein.
(Links unten in dem abgebildeten Fenster gibt es zwar den Link "Mehr Details". Aber ich glaube, der führt nur zur Symantec-Webseite, wo allgemein erklärt wird, was es mit einer Warnmeldung auf sich hat. Sicher sagen kann ich es aber nicht, weil ich ja gleich das Ausführen der Datei erlaubt habe.
Im Verlauf gibt es den Abschnitt "Sonar-Aktivität", und dort findet man jedenfalls auch nichts Näheres über den Grund des Verdachts.)

Geschrieben von: scu 06.02.2010, 11:01

Dem Otto Normalverbraucher reicht das als Info wahrscheinlich aus, mir wäre das zu wenig an Infos.
Danke für deine Rückmeldung!

Geschrieben von: subset 06.02.2010, 13:46

... um eine Fehlentscheidung zu treffen.
"Sie sollten es blockieren und entfernen." - wenn man einen brandneuen NIS Installer herunterlädt, bekommt man wahrscheinlich die gleiche Meldung.

MfG

Geschrieben von: Ironhide 09.02.2010, 23:12

An alle Sandboxie Profis,

Ist dieser befehl C:\Program Files\Sandboxie\sdelete.exe" -p 7 -s "%SANDBOX%" richtig für das sichere löschen und wird der auch bei
"Inhalte der Sandbox automatisch löschen" ausgeführt?

Geschrieben von: subset 10.02.2010, 00:47

Am Anfang fehlt das Anführungszeichen, sonst ist es richtig.


SDelete muss sich natürlich in dem Ordner befinden, das gibt es hier.
http://technet.microsoft.com/de-de/sysinternals/bb897443.aspx

Standardmäßig würde es so aussehen.


Also nur mit dreimal Überschreiben und mit -q zum Unterdrücken der Fehlermeldungen.

MfG

Geschrieben von: Ironhide 10.02.2010, 00:52

Vielen lieben Dank subset

Geschrieben von: markusg 07.03.2010, 14:39

gibt es irgendwelche unterschiede von sandboxie 32 bit and 64 bit im funktionsumfang?

Geschrieben von: Julian 07.03.2010, 16:05

Sicherer als es momentan ist, geht es wohl nicht:
http://www.sandboxie.com/index.php?NotesAbout64BitEdition

Geschrieben von: korn2008 12.03.2010, 19:57

Sandboxie 3.45.01 beta

http://www.sandboxie.com/SandboxieInstall64-345-01.exe

http://www.sandboxie.com/SandboxieInstall32-345-01.exe

Geschrieben von: Julian 19.03.2010, 19:00

Mittlerweile 3.45.03.
Läuft absolut unauffällig und problemlos.

Geschrieben von: Aasblume 22.03.2010, 17:05

Mir ist da was aufgefallen, und da mir absolut das tech. Verständniss dazu fehlt wäre eine Erklärung echt nett.....

Sandboxie 3.44 installiert (free)- NORTON IS2010 installiert- FF 3.6 in der Sandbox gestartet- Webseitenbewertung von NORTON funktioniert.
Jetzt die selbe Installation, aber diesmal mit FSIS 2010. Webseitenbewertung von FS funktioniert nicht in der Sandbox.

Was ist da richtig oder falsch? Wie müßte es richtig sein?

DANKE!