Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Guida all'uso dei Programmi (https://www.hwupgrade.it/forum/forumdisplay.php?f=122)
-   -   SANDBOXIE 3.XX (che browser sarebbe senza...) (https://www.hwupgrade.it/forum/showthread.php?t=1570797)


TheQ. 14-08-2011 09:40

:flower: "il recinto degli animaletti" starebbe meglio di "sabbiera"

Rimane il curioso malfunzionamento di angry birds segnalato.

Se si sandboxa con un software terzo sandboxie, nel quale si esegue un programma od una installazione (con tutte le accortezze del caso per entrambe le sandbox) è possibile valutare se da sandboxie esce qualcosa?
Può essere sensato come test?

nV 25 14-08-2011 10:47

no, non è molto sensato e ti spiego perchè (secondo me, ovviamente):
in 1° luogo, perchè in questo caso 2 non è assolutamente meglio di 1....

Se si parlasse di gelati, infatti, un bel cono con 2 gusti sarebbe sicuramente più piacevole di uno con un solo sapore:
in questo caso, invece, la faccenda si complica perchè siamo di fronte a prodotti estremamente complessi che, solitamente, rischiano di funzionare in modo diverso rispetto a quanto reso possibile se installati singolarmente (in sostanza, 2 Sandbox - cosi come 2 HIPS o 2 Antivirus, o 2 Firewall - rischiano di creare solo casino)...

Direi pertanto che questo aspetto è già di per se sufficiente per evitare un test come quello da te suggerito. :)


In effetti, xò (e anche se al 99,9999% periodico sono sicuro che nulla sia scappato dal Sandbox nel caso di quel giochino di cui parlava il nostro amico e che dunque la causa della mancata installazione fosse dovuta ad altri fattori [è venuto fuori peraltro che aveva anche KIS per cui la causa potrebbe essere tranquillamente quella..]), può essere interessante indagare le modifiche al FS/Registro (ma non solo...) indotte da un processo Sandboxato.

A tal fine mi viene allora in mente un tool di 3 parti, Buster Sandbox Analizer che, oltretutto, restituisce anche un "verdetto di bontà" in merito al file analizzato...
Ecco, questo può essere ad es. un valido aiuto per capire "cosa fa" un file in Sandboxie...

http://bsa.isoftware.nl/

Kohai 14-08-2011 23:25

Quote:

Originariamente inviato da nV 25 (Messaggio 35737342)
si può non usare più la parola sabbiera per descrivere la "gabbia" creata da Sandboxie per isolare operazioni sul File System ecc? :flower: (la trovo insopportabile :stordita: ...)



Per il resto, cmq, hai ragione...


*

No problem ;)

Chill-Out 16-08-2011 08:36

Quote:

Originariamente inviato da nV 25 (Messaggio 35737342)
si può non usare più la parola sabbiera per descrivere la "gabbia" creata da Sandboxie per isolare operazioni sul File System ecc? :flower: (la trovo insopportabile :stordita: ...)



Per il resto, cmq, hai ragione...


*

Buca nella sabbia ? :sofico:

nV 25 16-08-2011 08:45

Quote:

Originariamente inviato da Chill-Out (Messaggio 35746211)
Buca nella sabbia ? :sofico:

antro, allora:
lo trovo più appropriato :D ....

k@rletto 20-08-2011 15:30

Ragazzi, perdonatemi se insisto, ma sinceramente non capisco perchè continuate
a ribadire che Sandboxie non è adatta x testare programmi!!??!!??:confused: ... infatti
anche sul sito ufficiale non viene riportata nessuna controindicazione in merito,
neanche dal creatore stesso.
Quindi vorrei capire se questo vostro "scetticismo" sia dovuto al fatto che, un
programma installato sandboxato possa funzionare male o non funzionare affatto
(cosa assai probabile, e sulla quale mi trovo d'accordo) oppure se sia dovuto
al timore che nell'installazione di software, Sandboxie non sia altrettanto
efficace e che magari qualke driver, o file di servizio possa bypassare il recinto.

Infatti i due aspetti sono ben diversi, poichè nel primo caso se il programma
installato non funziona.... pazienza! non succede nulla di grave.... mentre nel
secondo caso se Sandboxie dovesse dimostrarsi vulnerabile a determinate operazioni
che avvengono durante l'installazione di un software, beh.... diciamo allora che
la faccenda cambia radicalmente!! :eek:
Quindi quale dei due è il vero motivo per cui sconsigliate sempre l'uso di
Sandboxie x testare programmi??....d'accordo, si può sempre ricorrere a Returnil
che probabilmente è piu adatto allo scopo però, volete mettere la semplicità
e la snellezza di Sandboxie rispetto a Returnil?

Anzi, riguardo a Returnil avrei bisogno di un piccolo chiarimento e chiedo SCUSA
ai moderatori se ne faccio richiesta qui, però purtroppo il thread dedicato a
Returnil mi sembra ormai abbandonato da tempo.:( :(
Allora la domanda è molto semplice:
Una volta eseguita l'installazione di un programma sotto Returnil, è possibile
conservarlo installato x tutto il tempo che si vuole oppure allo spegnimento
(o riavvio) del pc tutto viene sempre ed inesorabilmente perduto???... in caso
mi dareste qualche spiegazione sul come fare?
Questo secondo me è molto importante perchè a volte x testare un programma sono
necessari parecchi giorni o anke settimane! :cool:

Grazie in anticipo per le risposte e mi scuso ancora per il "fuori tema".

nV 25 20-08-2011 16:04

è ovvio che il motivo è del 1° tipo,
"un programma installato sandboxato possa funzionare male o non funzionare affatto"....

nV 25 20-08-2011 16:09

@ karletto:

anche se a breve ti rimando ad un altro software, prova a leggere questo post:
link

+ o -, infatti, il discorso è simile (nell'es. le modifiche al FS/Registro rimangono su HD se pur come se fossero "disattivate", in Sandboxie vengono eliminate alla chiusura della sessione sandboxata ma il concetto, ripeto, è quello dell'esempio che ti ho portato)...


PS: hai provato a leggere (magari velocemente) almeno il 1° post del thread + specifico sugli HIPS/Sandbox, C L I C C A M I?

Credo sarebbe opportuno...

Kohai 20-08-2011 16:12

Non e' che ne sconsigliamo l'uso, semplicemente non e' adatto.

In primis... se ad installazione di un nuovo programma questo abbisogna del riavvio della macchina, cosa fai? Come ti comporteresti al riguardo?
Idem con patate con returnil sotto questo aspetto.

Secondo: se sandboxie viene impostato a dovere e mi riferisco in particolar modo alla limitazione dei diritti flaggando la relativa casellina, molti software non potranno funzionare correttamente o non gireranno per nulla poiche' verra' a mancare la liberta' d'azione (parlo terra terra eh? ;) )... stessa cosa quando pongo ad esempio qualche programma in modalita' protetta dentro online armor oppure utilizzando lo UAC al massimo con win 7.

Terzo: uso anche returnil versione 2008 su xp e l'ultima release senza antivirus su seven; la domanda puoi benissimamente postarla nel thread a lui dedicato poiche' ti risponderei io o altri che utilizzano questo software.

Considerazioni finali e personali: sandboxie e' un ottimo programma (imho) per la protezione passiva (come dico io), nel senso che non abbisogna di interventi attivi dell'utilizzatore finale come quando l'antivirus o l'hips chiedono cosa fare.... io lo utilizzo per il 99% per i browser e sporadicamente per testare file scaricati da internet.
Se devo cimentarmi in altre prove, utilizzo returnil e sandboxie (nei rispettivi limiti) sia per non sporcare il registro e sia per non aver timori che qualcosa vada male (come quando ho utilizzato emet e tutto l'ambaradan che ho dovuto scaricare per renderlo operativo), ergo, del software in questione puoi farne l'utilizzo che piu' ti aggrada senza pero' insistere (piu' di tanto) che qualcosa possa uscire fuori dal recinto/buca/antro/anfratto ecc. ecc e quindi sfuggire al controllo del software stesso.

P.s.
Sto ancora aspettando risposta al mio quesito e chill-out il link della notizia che riportavi qualche post addietro..... :rolleyes:

nV 25 20-08-2011 16:17

Quote:

Originariamente inviato da Kohai (Messaggio 35769563)
...che qualcosa possa uscire fuori dal recinto/buca/antro/anfratto ecc. ecc ...

:D , meravigliosa (e in più mi hai dato modo di capire anche che, da persona intelligente quale sei, non ci sei rimasto male del mio "appunto" di qualche post fà)...


La multi-definizione, inoltre, mi fa ritornare in mente il Benigni dei tempi andati e le sue mitiche definizioni (patatina per quella cosetta, [...], mazza per lo strumento, ecc) :ciapet:

Kohai 20-08-2011 16:21

Quote:

Originariamente inviato da nV 25 (Messaggio 35769584)
:D , meravigliosa (e in più mi hai dato modo di capire anche che, da persona intelligente quale sei, non ci sei rimasto male del mio "appunto" di qualche post fà)...


La multi-definizione, inoltre, mi fa ritornare in mente il Benigni dei tempi andati e le sue mitiche definizioni (patatina per quella cosetta, [...], mazza per lo strumento, ecc) :ciapet:

Grazie del complimento, sempre ben disposto a imparare qualcosa di nuovo :)

Kohai 20-08-2011 16:22

Per k@rletto

Per returnil ti ho risposto nel topic adeguato.

TheQ. 20-08-2011 17:21

Domanda: ma se sandboxie non blocca sicuro al 100% le chiavi di registro, ci si rende conto dell'inserimento con un seplice programma manager di registro che segnala dopo una installazione sabbia-based-ie, che sono stati inseriti nuovi valori nel registro.
Fatto questo, il programma eseguibile che spesso connota un server trojan si trova nella sandbox, magari svuotata prima di riavviare; quindi viene a mancare l'auto-esecuzione del programma e la possibilità per il client di connettersi al server trojan.

Diverso è forse il caso di quei programmini (99% keymaker o trainer per game) che funzionano da server trojan e magari incautamente vengono eseguiti in sandboxie con la connessione ad internet aperta.
Eseguiti in sandbox hanno accesso a tutte le risorse in lettura, se non vengono fermati dall'AV, mentre eventuali modifiche apportate dall'eseguibile nel sistema non è sicuro al 100% che vengano contenute nella "directory virtuale"

Questo è forse il caso d'esempio per indicare la flebilità del programma contro certe minacce.


EDIT:
Post Scrittum
Quote:

Originariamente inviato da Kohai (Messaggio 35769563)
Non e' che ne sconsigliamo l'uso, semplicemente non e' adatto.

In primis... se ad installazione di un nuovo programma questo abbisogna del riavvio della macchina, cosa fai? Come ti comporteresti al riguardo?
Idem con patate con returnil sotto questo aspetto.

Con una buona parte dei software che richiedono riavvio basta semplicemente simulare la directory di installazione dentro della sandbox e lanciare il programma da simulazione della cartella virtuale. Ciò crea una simulazione virtuale del programma che attinge al programma ed a tutto ciò che sta sotto la dir simulata.
es: installo virtuale -> sandbox/C/programmi/provainstall/ file vari installazione
Apro dir contenitore di sandboxie, simulo da C trascinando la directory nella console di sandboxie ed ho una simulazione del C "vergine" de del C sandboxato.
Lancio il programma e parte sandboxato.

marcoesse 20-08-2011 17:53

Quote:

Originariamente inviato da Kohai (Messaggio 35769563)
Non e' che ne sconsigliamo l'uso, semplicemente non e' adatto.
In primis... se ad installazione di un nuovo programma questo abbisogna del riavvio della macchina, cosa fai? Come ti comporteresti al riguardo?
Idem con patate con returnil sotto questo aspetto.

ciao,
se può servire come info con Try & Decide (parte di Acronis True Image)
è possibile restare "in virtual" anche dopo riavvio/riavviiii

dalla guida
Quote:

Cos'è Try&Decide?
La funzionalità Try&Decide consente di creare un'area di lavoro temporanea sicura e controllata sul computer
senza dover installare software di virtualizzazione speciale.
È possibile eseguire diverse operazioni di sistema senza preoccuparsi di danneggiare il sistema operativo, i programmi o i dati.
È possibile lasciare Try&Decide attiva quanto si desidera, dal momento che "sopravvive" ai riavvii del sistema operativo.
Quando il computer, per una ragione qualsiasi, si riavvia mentre si lavora in modalità Prova,
prima del riavvio verrà mostrata una finestra di dialogo che proporrà due opzioni:
interrompere tale modalità e rinunciare alle modifiche o continuare a lavorare nella stessa modalità.
funziona benissimo anche sui 64 bit ;)

così non mi serve nessun altro programma di virtualizzazione
adesso sotto T&D sto' provando Avira 10
poi proverò Kis 2012
è faro' la scelta ;)
secondo me' i migliori 30 euro che si possono spendere per il proprio Pc ;)
Quote:

L'estate speciale di Acronis Prezzo:€29.95€
....cià che vado a vedere se ho ciappato qualche virus :D

nV 25 20-08-2011 19:08

?



Sarà che in questo preciso momento non sono lucidissimo ma non ho capito una mazza, in particolare il discorso di TheQ...:mbe:

Chill-Out 20-08-2011 19:36

Quote:

Originariamente inviato da TheQ. (Messaggio 35769872)
Domanda: ma se sandboxie non blocca sicuro al 100% le chiavi di registro, ci si rende conto dell'inserimento con un seplice programma manager di registro che segnala dopo una installazione sabbia-based-ie, che sono stati inseriti nuovi valori nel registro.
Fatto questo, il programma eseguibile che spesso connota un server trojan si trova nella sandbox, magari svuotata prima di riavviare; quindi viene a mancare l'auto-esecuzione del programma e la possibilità per il client di connettersi al server trojan.

Diverso è forse il caso di quei programmini (99% keymaker o trainer per game) che funzionano da server trojan e magari incautamente vengono eseguiti in sandboxie con la connessione ad internet aperta.
Eseguiti in sandbox hanno accesso a tutte le risorse in lettura, se non vengono fermati dall'AV, mentre eventuali modifiche apportate dall'eseguibile nel sistema non è sicuro al 100% che vengano contenute nella "directory virtuale"

Questo è forse il caso d'esempio per indicare la flebilità del programma contro certe minacce.


EDIT:
Post Scrittum

Con una buona parte dei software che richiedono riavvio basta semplicemente simulare la directory di installazione dentro della sandbox e lanciare il programma da simulazione della cartella virtuale. Ciò crea una simulazione virtuale del programma che attinge al programma ed a tutto ciò che sta sotto la dir simulata.
es: installo virtuale -> sandbox/C/programmi/provainstall/ file vari installazione
Apro dir contenitore di sandboxie, simulo da C trascinando la directory nella console di sandboxie ed ho una simulazione del C "vergine" de del C sandboxato.
Lancio il programma e parte sandboxato.

Perdonami ma non ho capito nulla :mbe:

Chill-Out 20-08-2011 19:40

Quote:

Originariamente inviato da k@rletto (Messaggio 35769364)
Anzi, riguardo a Returnil avrei bisogno di un piccolo chiarimento e chiedo SCUSA
ai moderatori se ne faccio richiesta qui, però purtroppo il thread dedicato a
Returnil mi sembra ormai abbandonato da tempo.:( :(

No, l'ultimo Post è datato 17.08.11

http://www.hwupgrade.it/forum/showpo...&postcount=403

ed in ogni caso si fa sempre riferimento al 3D dedicato.

caturen 20-08-2011 22:08

Quote:

Originariamente inviato da k@rletto (Messaggio 35769364)
Ragazzi, perdonatemi se insisto, ma sinceramente non capisco perchè continuate
a ribadire che Sandboxie non è adatta x testare programmi!!??!!??:confused: ... infatti
anche sul sito ufficiale non viene riportata nessuna controindicazione in merito,
neanche dal creatore stesso.
Quindi vorrei capire se questo vostro "scetticismo" sia dovuto al fatto che, un
programma installato sandboxato possa funzionare male o non funzionare affatto
(cosa assai probabile, e sulla quale mi trovo d'accordo) oppure se sia dovuto
al timore che nell'installazione di software, Sandboxie non sia altrettanto
efficace e che magari qualke driver, o file di servizio possa bypassare il recinto.

Infatti i due aspetti sono ben diversi, poichè nel primo caso se il programma
installato non funziona.... pazienza! non succede nulla di grave.... mentre nel
secondo caso se Sandboxie dovesse dimostrarsi vulnerabile a determinate operazioni
che avvengono durante l'installazione di un software, beh.... diciamo allora che
la faccenda cambia radicalmente!! :eek:
Quindi quale dei due è il vero motivo per cui sconsigliate sempre l'uso di
Sandboxie x testare programmi??....d'accordo, si può sempre ricorrere a Returnil
che probabilmente è piu adatto allo scopo però, volete mettere la semplicità
e la snellezza di Sandboxie rispetto a Returnil?

Anzi, riguardo a Returnil avrei bisogno di un piccolo chiarimento e chiedo SCUSA
ai moderatori se ne faccio richiesta qui, però purtroppo il thread dedicato a
Returnil mi sembra ormai abbandonato da tempo.:( :(
Allora la domanda è molto semplice:
Una volta eseguita l'installazione di un programma sotto Returnil, è possibile
conservarlo installato x tutto il tempo che si vuole oppure allo spegnimento
(o riavvio) del pc tutto viene sempre ed inesorabilmente perduto???... in caso
mi dareste qualche spiegazione sul come fare?
Questo secondo me è molto importante perchè a volte x testare un programma sono
necessari parecchi giorni o anke settimane! :cool:

Grazie in anticipo per le risposte e mi scuso ancora per il "fuori tema".

La cosa migliore per provare programmi è usare una macchina virtuale. Si installa wmware player o virtualbox e ti crei tutti i sistemi operativi che vuoi senza avere paura che ti possa in qualche modo danneggiare il sistema principale. Però devi avere un computer abbastanza potente per sopportare il carico.

TheQ. 20-08-2011 22:59

Quote:

Originariamente inviato da nV 25 (Messaggio 35770331)
?
Sarà che in questo preciso momento non sono lucidissimo ma non ho capito una mazza, in particolare il discorso di TheQ...:mbe:

:cry: ok, sarà che ho scritto malissimo anche perchè son indietro di sonno causa caldo asfissiante

Ok, provo a riscrivere:
Sandboxie non sicuro al 100%, le chiavi di registro non vengono bloccate.
Se così fosse con un semplice regcleaner od altro programma che traccia l'inserimento di nuove chiavi nel registro, si vedrebbe se effettivamente, con un'installazione sandboxata, vi sono modifiche nel registro di sistema.
Esperienza mia: no.
Posso garantire su qualunque programma: no.

trojan classico
Ammettiamo di eseguire in sandboxie un software non sicuro (per esempio uno dei falsi setup di game piratati che i cracker mettono in giro ultimamente :fagiano: ... quelli che creano i file TDU.exe per esempio).
A questo punto il programma è stato installato nella directory contenitore di sandboxie ed il file TDU.exe si trova lì.
TDU.exe è un server trojan che apre una porta e consente una connessione al pc da remoto per il cracker.
Il falso setup magari mette la chiave nel registro per l'auto-avvio di TDU.exe nel percorso previsto ad ogni apertura di Windows; ciò permette di lanciare l'eseguibile che permette di tenere aperta la porta e di fare da server di connessione remota al cracker.
Ma se io pulisco la directory contenitore di sandbox prima di uscire, al riavvio non c'è più il TDU.exe da lanciare.


Sperimentare software connessi ad internet
Mettiamo di essere masochisti e di lanciare TDU.exe in sandboxie per vedere cosa fa.
A questo punto il software viene eseguito e non rilevato dall'AV (ammettiamo che non susciti l'intervento dell'euristica dell'AV, nè del firewall, nè spyware, ecc...). Sandboxie cosa fa con l'execuzione dei programmi? Da quanto ne so permette di accedere a tutto il sistema, ma qualsiasi modifica la circoscrive alla directory contenitore (sempre che ci riesca :Prrr: ) ingannando il software stesso.
Quindi a livello teorico una qualsiasi operazione di keylogging o lettura del sistema da remoto con il client da parte dell'hacker ed il "server" trojan eseguito in sandboxie nel PC dall'incauto utente, non viene impedito, invece qualsiasi operazione di modifica che passa dall'hacker via internet al file trojan eseguito in sandboxie potrebbe essere inserita nella directory contenitore di sandboxie. Es: l'hacker dà comando di cancellare un file via trojan TDU sul pc infettato ma circoscritto in sandboxie; comunque è un'azione paragonabile all'utente reale che cancella un file nella sandbox.
In altre parole forse è pericoloso sperimentare software in sandboxie connessi ad internet.



Post Scrittum: installare un programma che chiede il riavvio
Programmi che installano driver in windows o document and setting vengono sandboxati creando una directory nel "contenitore" di sandboxie. Andando nella directory contenitore di sandboxie si possono infatti vedere le cartelle create: i driver C, Q, ...; le directory documents and setting sotto USERS; e le sottodirectory di "installazione-lavoro".
Una volta installato un programma non serve riavviare.
Basta dire di aprire la directory contenitore di sandboxie, dove è stato installato il programma ed eseguirne il contenuto (si prende la finestra e la si trascina dentro la console di sandboxie).
Questo verrà simulato nel sistema come se fosse integrato in tutte le sue componenti.
Esempio pratico: se si installa un programma in sandboxie e si sceglie di porre l'icona sul desktop, questa non appare nel desktop reale.
Se si simula la directory contenitore (appare segnata con la # ) ed in questa si cerca il desktop, invece appare l'icona del programma installato.
A questo punto lanciare il programma è semplice: exe di avvio (o l'icona del desktop simulato) facendo attenzione di lanciarlo da directory # e non dalla directory normale.

nV 25 21-08-2011 15:24

ti confesso che mi risulta arduo seguire il ragionamento visto che trovo tuttora nebulosi molti aspetti del tuo intervento...

Forse sarà il caldo che anche dalle mie parti si fa sentire impietosamente...:stordita:


Tutti gli orari sono GMT +1. Ora sono le: 05:05.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.