:flower: "il recinto degli animaletti" starebbe meglio di "sabbiera"

Rimane il curioso malfunzionamento di angry birds segnalato.

Se si sandboxa con un software terzo sandboxie, nel quale si esegue un programma od una installazione (con tutte le accortezze del caso per entrambe le sandbox) è possibile valutare se da sandboxie esce qualcosa?
Può essere sensato come test?

no, non è molto sensato e ti spiego perchè (secondo me, ovviamente):
in 1° luogo, perchè in questo caso 2 non è assolutamente meglio di 1....

Se si parlasse di gelati, infatti, un bel cono con 2 gusti sarebbe sicuramente più piacevole di uno con un solo sapore:
in questo caso, invece, la faccenda si complica perchè siamo di fronte a prodotti estremamente complessi che, solitamente, rischiano di funzionare in modo diverso rispetto a quanto reso possibile se installati singolarmente (in sostanza, 2 Sandbox - cosi come 2 HIPS o 2 Antivirus, o 2 Firewall - rischiano di creare solo casino)...

Direi pertanto che questo aspetto è già di per se sufficiente per evitare un test come quello da te suggerito. :)


In effetti, xò (e anche se al 99,9999% periodico sono sicuro che nulla sia scappato dal Sandbox nel caso di quel giochino di cui parlava il nostro amico e che dunque la causa della mancata installazione fosse dovuta ad altri fattori [è venuto fuori peraltro che aveva anche KIS per cui la causa potrebbe essere tranquillamente quella..]), può essere interessante indagare le modifiche al FS/Registro (ma non solo...) indotte da un processo Sandboxato.

A tal fine mi viene allora in mente un tool di 3 parti, Buster Sandbox Analizer che, oltretutto, restituisce anche un "verdetto di bontà" in merito al file analizzato...
Ecco, questo può essere ad es. un valido aiuto per capire "cosa fa" un file in Sandboxie...

http://bsa.isoftware.nl/

No problem ;)

Buca nella sabbia ? :sofico:

antro, allora:
lo trovo più appropriato :D ....

Ragazzi, perdonatemi se insisto, ma sinceramente non capisco perchè continuate
a ribadire che Sandboxie non è adatta x testare programmi!!??!!??:confused: ... infatti
anche sul sito ufficiale non viene riportata nessuna controindicazione in merito,
neanche dal creatore stesso.
Quindi vorrei capire se questo vostro "scetticismo" sia dovuto al fatto che, un
programma installato sandboxato possa funzionare male o non funzionare affatto
(cosa assai probabile, e sulla quale mi trovo d'accordo) oppure se sia dovuto
al timore che nell'installazione di software, Sandboxie non sia altrettanto
efficace e che magari qualke driver, o file di servizio possa bypassare il recinto.

Infatti i due aspetti sono ben diversi, poichè nel primo caso se il programma
installato non funziona.... pazienza! non succede nulla di grave.... mentre nel
secondo caso se Sandboxie dovesse dimostrarsi vulnerabile a determinate operazioni
che avvengono durante l'installazione di un software, beh.... diciamo allora che
la faccenda cambia radicalmente!! :eek:
Quindi quale dei due è il vero motivo per cui sconsigliate sempre l'uso di
Sandboxie x testare programmi??....d'accordo, si può sempre ricorrere a Returnil
che probabilmente è piu adatto allo scopo però, volete mettere la semplicità
e la snellezza di Sandboxie rispetto a Returnil?

Anzi, riguardo a Returnil avrei bisogno di un piccolo chiarimento e chiedo SCUSA
ai moderatori se ne faccio richiesta qui, però purtroppo il thread dedicato a
Returnil mi sembra ormai abbandonato da tempo.:( :(
Allora la domanda è molto semplice:
Una volta eseguita l'installazione di un programma sotto Returnil, è possibile
conservarlo installato x tutto il tempo che si vuole oppure allo spegnimento
(o riavvio) del pc tutto viene sempre ed inesorabilmente perduto???... in caso
mi dareste qualche spiegazione sul come fare?
Questo secondo me è molto importante perchè a volte x testare un programma sono
necessari parecchi giorni o anke settimane! :cool:

Grazie in anticipo per le risposte e mi scuso ancora per il "fuori tema".

è ovvio che il motivo è del 1° tipo,
"un programma installato sandboxato possa funzionare male o non funzionare affatto"....

@ karletto:

anche se a breve ti rimando ad un altro software, prova a leggere questo post:
link

+ o -, infatti, il discorso è simile (nell'es. le modifiche al FS/Registro rimangono su HD se pur come se fossero "disattivate", in Sandboxie vengono eliminate alla chiusura della sessione sandboxata ma il concetto, ripeto, è quello dell'esempio che ti ho portato)...


PS: hai provato a leggere (magari velocemente) almeno il 1° post del thread + specifico sugli HIPS/Sandbox, C L I C C A M I?

Credo sarebbe opportuno...

Non e' che ne sconsigliamo l'uso, semplicemente non e' adatto.

In primis... se ad installazione di un nuovo programma questo abbisogna del riavvio della macchina, cosa fai? Come ti comporteresti al riguardo?
Idem con patate con returnil sotto questo aspetto.

Secondo: se sandboxie viene impostato a dovere e mi riferisco in particolar modo alla limitazione dei diritti flaggando la relativa casellina, molti software non potranno funzionare correttamente o non gireranno per nulla poiche' verra' a mancare la liberta' d'azione (parlo terra terra eh? ;) )... stessa cosa quando pongo ad esempio qualche programma in modalita' protetta dentro online armor oppure utilizzando lo UAC al massimo con win 7.

Terzo: uso anche returnil versione 2008 su xp e l'ultima release senza antivirus su seven; la domanda puoi benissimamente postarla nel thread a lui dedicato poiche' ti risponderei io o altri che utilizzano questo software.

Considerazioni finali e personali: sandboxie e' un ottimo programma (imho) per la protezione passiva (come dico io), nel senso che non abbisogna di interventi attivi dell'utilizzatore finale come quando l'antivirus o l'hips chiedono cosa fare.... io lo utilizzo per il 99% per i browser e sporadicamente per testare file scaricati da internet.
Se devo cimentarmi in altre prove, utilizzo returnil e sandboxie (nei rispettivi limiti) sia per non sporcare il registro e sia per non aver timori che qualcosa vada male (come quando ho utilizzato emet e tutto l'ambaradan che ho dovuto scaricare per renderlo operativo), ergo, del software in questione puoi farne l'utilizzo che piu' ti aggrada senza pero' insistere (piu' di tanto) che qualcosa possa uscire fuori dal recinto/buca/antro/anfratto ecc. ecc e quindi sfuggire al controllo del software stesso.

P.s.
Sto ancora aspettando risposta al mio quesito e chill-out il link della notizia che riportavi qualche post addietro..... :rolleyes:

:D , meravigliosa (e in più mi hai dato modo di capire anche che, da persona intelligente quale sei, non ci sei rimasto male del mio "appunto" di qualche post fà)...


La multi-definizione, inoltre, mi fa ritornare in mente il Benigni dei tempi andati e le sue mitiche definizioni (patatina per quella cosetta, [...], mazza per lo strumento, ecc) :ciapet:

Grazie del complimento, sempre ben disposto a imparare qualcosa di nuovo :)

Per k@rletto

Per returnil ti ho risposto nel topic adeguato.

Domanda: ma se sandboxie non blocca sicuro al 100% le chiavi di registro, ci si rende conto dell'inserimento con un seplice programma manager di registro che segnala dopo una installazione sabbia-based-ie, che sono stati inseriti nuovi valori nel registro.
Fatto questo, il programma eseguibile che spesso connota un server trojan si trova nella sandbox, magari svuotata prima di riavviare; quindi viene a mancare l'auto-esecuzione del programma e la possibilità per il client di connettersi al server trojan.

Diverso è forse il caso di quei programmini (99% keymaker o trainer per game) che funzionano da server trojan e magari incautamente vengono eseguiti in sandboxie con la connessione ad internet aperta.
Eseguiti in sandbox hanno accesso a tutte le risorse in lettura, se non vengono fermati dall'AV, mentre eventuali modifiche apportate dall'eseguibile nel sistema non è sicuro al 100% che vengano contenute nella "directory virtuale"

Questo è forse il caso d'esempio per indicare la flebilità del programma contro certe minacce.


EDIT:
Post Scrittum
Con una buona parte dei software che richiedono riavvio basta semplicemente simulare la directory di installazione dentro della sandbox e lanciare il programma da simulazione della cartella virtuale. Ciò crea una simulazione virtuale del programma che attinge al programma ed a tutto ciò che sta sotto la dir simulata.
es: installo virtuale -> sandbox/C/programmi/provainstall/ file vari installazione
Apro dir contenitore di sandboxie, simulo da C trascinando la directory nella console di sandboxie ed ho una simulazione del C "vergine" de del C sandboxato.
Lancio il programma e parte sandboxato.

ciao,
se può servire come info con Try & Decide (parte di Acronis True Image)
è possibile restare "in virtual" anche dopo riavvio/riavviiii

dalla guida
funziona benissimo anche sui 64 bit ;)

così non mi serve nessun altro programma di virtualizzazione
adesso sotto T&D sto' provando Avira 10
poi proverò Kis 2012
è faro' la scelta ;)
secondo me' i migliori 30 euro che si possono spendere per il proprio Pc ;)
....cià che vado a vedere se ho ciappato qualche virus :D

?



Sarà che in questo preciso momento non sono lucidissimo ma non ho capito una mazza, in particolare il discorso di TheQ...:mbe:

Perdonami ma non ho capito nulla :mbe:

No, l'ultimo Post è datato 17.08.11

http://www.hwupgrade.it/forum/showpo...&postcount=403

ed in ogni caso si fa sempre riferimento al 3D dedicato.

La cosa migliore per provare programmi è usare una macchina virtuale. Si installa wmware player o virtualbox e ti crei tutti i sistemi operativi che vuoi senza avere paura che ti possa in qualche modo danneggiare il sistema principale. Però devi avere un computer abbastanza potente per sopportare il carico.

:cry: ok, sarà che ho scritto malissimo anche perchè son indietro di sonno causa caldo asfissiante

Ok, provo a riscrivere:
Sandboxie non sicuro al 100%, le chiavi di registro non vengono bloccate.
Se così fosse con un semplice regcleaner od altro programma che traccia l'inserimento di nuove chiavi nel registro, si vedrebbe se effettivamente, con un'installazione sandboxata, vi sono modifiche nel registro di sistema.
Esperienza mia: no.
Posso garantire su qualunque programma: no.

trojan classico
Ammettiamo di eseguire in sandboxie un software non sicuro (per esempio uno dei falsi setup di game piratati che i cracker mettono in giro ultimamente :fagiano: ... quelli che creano i file TDU.exe per esempio).
A questo punto il programma è stato installato nella directory contenitore di sandboxie ed il file TDU.exe si trova lì.
TDU.exe è un server trojan che apre una porta e consente una connessione al pc da remoto per il cracker.
Il falso setup magari mette la chiave nel registro per l'auto-avvio di TDU.exe nel percorso previsto ad ogni apertura di Windows; ciò permette di lanciare l'eseguibile che permette di tenere aperta la porta e di fare da server di connessione remota al cracker.
Ma se io pulisco la directory contenitore di sandbox prima di uscire, al riavvio non c'è più il TDU.exe da lanciare.


Sperimentare software connessi ad internet
Mettiamo di essere masochisti e di lanciare TDU.exe in sandboxie per vedere cosa fa.
A questo punto il software viene eseguito e non rilevato dall'AV (ammettiamo che non susciti l'intervento dell'euristica dell'AV, nè del firewall, nè spyware, ecc...). Sandboxie cosa fa con l'execuzione dei programmi? Da quanto ne so permette di accedere a tutto il sistema, ma qualsiasi modifica la circoscrive alla directory contenitore (sempre che ci riesca :Prrr: ) ingannando il software stesso.
Quindi a livello teorico una qualsiasi operazione di keylogging o lettura del sistema da remoto con il client da parte dell'hacker ed il "server" trojan eseguito in sandboxie nel PC dall'incauto utente, non viene impedito, invece qualsiasi operazione di modifica che passa dall'hacker via internet al file trojan eseguito in sandboxie potrebbe essere inserita nella directory contenitore di sandboxie. Es: l'hacker dà comando di cancellare un file via trojan TDU sul pc infettato ma circoscritto in sandboxie; comunque è un'azione paragonabile all'utente reale che cancella un file nella sandbox.
In altre parole forse è pericoloso sperimentare software in sandboxie connessi ad internet.



Post Scrittum: installare un programma che chiede il riavvio
Programmi che installano driver in windows o document and setting vengono sandboxati creando una directory nel "contenitore" di sandboxie. Andando nella directory contenitore di sandboxie si possono infatti vedere le cartelle create: i driver C, Q, ...; le directory documents and setting sotto USERS; e le sottodirectory di "installazione-lavoro".
Una volta installato un programma non serve riavviare.
Basta dire di aprire la directory contenitore di sandboxie, dove è stato installato il programma ed eseguirne il contenuto (si prende la finestra e la si trascina dentro la console di sandboxie).
Questo verrà simulato nel sistema come se fosse integrato in tutte le sue componenti.
Esempio pratico: se si installa un programma in sandboxie e si sceglie di porre l'icona sul desktop, questa non appare nel desktop reale.
Se si simula la directory contenitore (appare segnata con la # ) ed in questa si cerca il desktop, invece appare l'icona del programma installato.
A questo punto lanciare il programma è semplice: exe di avvio (o l'icona del desktop simulato) facendo attenzione di lanciarlo da directory # e non dalla directory normale.

ti confesso che mi risulta arduo seguire il ragionamento visto che trovo tuttora nebulosi molti aspetti del tuo intervento...

Forse sarà il caldo che anche dalle mie parti si fa sentire impietosamente...:stordita: