Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Sandboxie

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97

Открыть новую тему     Написать ответ в эту тему

ed007



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Варезник » Sandboxie
Sandboxie - программа, позволяющая повысить уровень безопасности, в том числе при интернет-серфинге.
Sandboxie позволяет запускать программы так, что любые изменения, связанные с использованием этих программ,сохранялись в "песочнице", которую в дальнейшем можно удалить целиком. Для активации Sandboxie достаточно запустить нужную программу через иконку Sandboxie, находящуюся в трее. Удобна при массовой установке/тестировании программ: деинсталляция программ сводится к удалению "папки песочницы", как правило это единицы секунд.
 
Бесплатна для персонального некоммерческого использования.
 
Поддерживаемые ОС:
32-х битные (x86) (Windows 2000, XP, 2003, Vista, 7, 8, 8.1, 10)
64-х битные (x64) (Windows Vista SP 1, 7, 8, 8.1, 10, 11).

 

Общая тема по HIPS | Как увидеть изменения в реестре внутри песочницы | Buster Sandbox Analyzer

- Отличия зарегистрированной версии и незарегистрированной
- Дополнение "Anti Delete"- предотвращает удаление файлов "внутри песочницы" программами запущенными "внутри песочницы".
- Описание ошибок: https://www.sandboxie.com/index.php?SBIE2205 - вместо 2205 подставляете нужный номер

Всего записей: 646 | Зарегистр. 17-01-2005 | Отправлено: 19:23 02-10-2006 | Исправлено: Komandor, 20:08 27-06-2023
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Была бы Sandboxie полиморфной,  могла бы она работать со сторонними ветками реестра (HKLM и HKCC) и бы в ней был конструктор этих веток - цены бы ей не было.

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 20:31 26-03-2012
Gideon Vi

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Была бы Sandboxie полиморфно

пардон, а что понимается под этим понятием в контексте сабжа?

Всего записей: 8075 | Зарегистр. 02-02-2004 | Отправлено: 05:31 27-03-2012
NoDiR_777



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А насколько хорошо она справляется в 64 битных системах?

Всего записей: 38 | Зарегистр. 17-12-2009 | Отправлено: 06:42 27-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gideon Vi
Цитата:
пардон, а что понимается под этим понятием в контексте сабжа?

Исходя из того, что зловред может быть "заточен" на незапуск в среде с  Sandboxie :
1.Отсутствие  упоминания в реестре об инсталяции (или запуске) Sandboxie (упоминание конкретных имен исполняемых файлов, библиотек, службы Sandboxie), отсутствие в файловой системе файлов с соответствующими именами.  Т.е. подмена имен файлов при инсталляции на другие.
Метод прост.  
Зловред сканирует систему - не находит этих данных и спокойно запускается в среде Sandboxie.
Хотя в самом крайнем случае зловред может сканировать файлы на предмет наличия конкретной ЭЦП и делать сверку хешей.
2. Тогда  надо еще и  подменять (затирать) подписи для файлов и изменять хеш.
 
P.S. Было бы отлично если бы Sandboxie мог еще и работать с образом диска.
 
 

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 12:52 27-03-2012 | Исправлено: cdrom2, 12:55 27-03-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов. Читайте мануал по сабжу, а также по компоненту HideDriver из пакета Buster Sandbox Analyzer.
По второму пункту - это уже получится виртуальная машина. Эта ниша уже давно занята другими программами.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:26 27-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов.

У меня не получилось
А у Вас ?
 
cdrom2

Цитата:
Отсутствие  упоминания ... службы Sandboxie

"Вживую"
sc query|find /i "sb"
Имя_службы: SbieSvc
 
в песочнице:
sc query|find /i "sb"
>dir "C:\Program Files\sand"*
 
 

Цитата:
Отсутствие  ... упоминание конкретных имен исполняемых файлов, библиотек, службы Sandboxie), отсутствие в файловой системе файлов с соответствующими именами.  Т.е. подмена имен файлов при инсталляции на другие.

 
>dir "C:\Program Files\sand"*
13.09.2011  13:24    <DIR>          Sandboxie
 
"C:\Sandbox\nul\DefaultBox\drive\C\Program Files\Sandboxie"
Время создания:                     23.05.1986  19:47:02,250
 
 
 
 Содержимое папки C:\Program Files
 
Файл не найден

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 14:40 27-03-2012 | Исправлено: ndch, 14:59 27-03-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ndch
Там не реестр скрывать надо, а сервисы. Хотя если проверяется внедрение библы... хм... ковырять надо
Образцы есть? В личку.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:58 27-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
Там не реестр скрывать надо, а сервисы

Для кого написал:
 
в песочнице:
sc query|find /i "sb"
 
НИЧЕГО не находит !
 
Добавлено:

Цитата:
Хотя если проверяется внедрение библы

Это нормальная проверка, в отличии от проверки наличия файлов, службы и записей в реестре.

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 15:00 27-03-2012 | Исправлено: ndch, 15:02 27-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов.  

Сделал попытку сокрыть ветки реестра  
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
и другие
через "Доступ только для записи" и получил (при попытке запуска в этой песочнице "Запустить любую программу") либо ошибки или либо просто отсутствие окно для указания пути к объекту.
 
P.S. Ветки, конечно же специфические... буду изучать компоненту HideDriver из пакета Buster Sandbox Analyzer

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 15:05 27-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2

Цитата:
Сделал попытку сокрыть ветки реестра  
HKEY_LOCAL_MACHINE\SOFTWARE\Classes

Зачем всё целиком то ?

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 15:15 27-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ndch

Цитата:
Зачем всё целиком то ?

В указанных ветках огромное множество вложенных. А как угадать какую одну (а может и совсем не одну) именно из вложенных веток не следует читать? Не перебирать же их по одной... И не угадывать же конкретную комбинацию из неизвестного количества подветок...
....#

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 15:43 27-03-2012 | Исправлено: cdrom2, 20:24 28-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
Вы что в результате получить хотели ?
 
Добавлено:
cdrom2

Цитата:
Была бы Sandboxie ...  могла бы она работать со сторонними ветками реестра (HKLM и HKCC) и бы в ней был конструктор этих веток - цены бы ей не было.

В чём заключается неработа на данный момент ?

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 15:49 27-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ndch
Цитата:
Вы что в результате получить хотели ?

Пока абсолютно ничего. Это чисто теоретические изыскания, которые могли бы помочь выявлять узкоспециализированные зловреды.  

Цитата:
В чём заключается неработа на данный момент ?

Может может быть мое предположение не совсем корректно.  
Как, перенеся (потом не импортируя их в реальный реестр) экспортированные ветки реестра с одной машины (без Sandboxie) на другую машину (с Sandboxie), запускать тестируемый софт, для которого перенесенная часть реестра будет "как бы реальной"?  
Я осознаю, что данные действия имет признаки частичной виртуаилизации...

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 16:16 27-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну Вы для себя писали или для другого человека ?
Я понимаю что это не brainfuck и не prolog, но очень похоже на write-only.
 
Из того что понял, Вы хотите:
Реестр одной машины
перенести в Sandboxie другой машины

 
Так ?
 
Тогда:
regedit /e full_dump.reg
и
на другой машине
в Sandboxie запустите full_dump.reg
 
С некоторой долей вероятности - заработает.
 
C:\Sandbox\*\DefaultBox\RegHive по сути - "разностный реестр".
так что само Sandboxie "имет признаки частичной виртуаилизации"

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 16:42 27-03-2012 | Исправлено: ndch, 16:48 27-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ndch

Цитата:
Реестр одной машины  
 перенести в Sandboxie другой машины  
   
 Так ?

Нет.  
#

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 18:44 27-03-2012 | Исправлено: cdrom2, 20:21 28-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спрятано... #

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 14:24 28-03-2012 | Исправлено: cdrom2, 20:19 28-03-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
Сюда то зачем писать ? Пиши автору.

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 15:28 28-03-2012
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ndch
Цитата:
Сюда то зачем писать ? Пиши автору.

Вся проблема в том, что он наверняка не поймет мой английский...
P.S. Если никому не интересно тогда прячу свои посты...ИМХО, функционал выявления узкоспециализированных зловредов - вещь полезная (Конечно, если под рукой нет исходного кода и нет экспертного оборудования...)  
 
Добавлено
Можно ли как-то вручную отредактировать изменения в реестре внутри песочницы (т.е. непосредственно в RegHive)?
 
... и еще.
сама по себе Sandboxie создает в RegHive множество записей еще до запуска в ней какой-либо программы.
#
 
И возможно ли как-то выделить полезную информацию, т.е. записи про активность самой программы запущенной в Sandboxie?

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 20:18 28-03-2012 | Исправлено: cdrom2, 21:00 30-03-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такой вопрос, от непонимания.
имею mbrlock, тут брал, в вирусах
http://rghost.ru/37349866    -стандартный
прошмыгивает мимо песочницы 3.58(х86) и все тут.
первый раз на дефолтных настройках пускал, вторым разом открутил все что откручивается.
оба раза пришлось bootrec /fixmbr
хотя пускается в песочнице. уже и на мышь с ее даблкликами пенял, думал, что случайно прокатил вне.
 
вобщем, знаю что не должна из клетки вырываться, но прям мистика. вернее непонимание происходящего.
ставлю песочницы одну на другую, gif'вскую тоже лепил. они чего-то настройки контексного меню не поделили, пришлось оставить 3.58
вроде больше никаких дров не наломал.
ну не смертельно, но непонятно.

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 16:15 01-04-2012
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
folta
Не воспроизводится.

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 16:21 01-04-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97

Компьютерный форум Ru.Board » Компьютеры » Программы » Sandboxie


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru