|
Quote:
In merito alla prima domanda non ho trovato alcuna delucidazione circa l'utilità o meno di spostare il percorso delle aree virtuali da quello pre-assegnato. In merito alla seconda, non trovo la voce da settare... |
Quote:
Per quanto riguarda invece svuotare la sandbox vai alla prima pagina. Capitolo CONFIGURATION c)automatic clean-up-default box=utile e comoda funzione del programma,qui possiamo decidere se svuotare automaticamente il recinto alla sua chiusura(nel caso selezionare "automatically delete contents of sandbox"),possiamo decidere se salvare alcune opzioni dobbiamo selezionare ciò che ci interessa e poi spuntare "enable immediate recovery for these folders" e guarda lo screenshot sotto. |
Ehi ragazzi, sul sito ufficiale di Sandboxie mi sembra di aver intuito (purtroppo
l'inglese tecnico faccio fatica a interpretarlo correttamente!) che nel caso di installazione di programmi, il "recinto" di Sandboxie NON è inviolabile al 100% ma diciamo al 90% nel senso che alcuni servizi o driver correlati potrebbero riuscire ad oltrepassare la sandbox... :eek: Vi risulta qualcosa del genere?... Avete mai verificato di persona con qualche prova ad hoc? |
Quote:
|
Si la sandbox di sandboxie è meno efficace della sandbox di comodo.
Con i comodo leak test con sandboxie ottieni 200 su 340, con sandbox comodo 280/340, con doppia sandbox (indifferente, sandboxie eseguito in sandbox comodo con lancio di CLT.exe) 300/340 (ovvero 30 tipi di attacco prevenuti, senza qualsiasi sandbox solo 50/340) notte |
Quote:
Quote:
|
Quote:
|
ok, sorge una domanda visto che le sandbox iniziano ad essere presenti un po' dappertutto: esiste un test per accertare quale sia meglio?
:stordita: |
Quote:
Io con il mio Online Armor free versione 4.5.1 ho raggiunto il punteggio pieno, ovvero 340/340. Sandboxie serve a recintare un'applicazione avviata in essa per poi cancellare il tutto alla sua chiusura, quindi, non e' da considerarsi assolutamente come termine di paragone per il Comodo test sopra descritto. Io rimango del parere che la sandbox di sandboxie sia la migliore perche' e' nata per questo scopo e viene sviluppata ed aggiornata continuamente, mentre per altri prodotti, una volta scoperto un bug o sfruttata una falla, va a farsi benedire tutta la suite. Ad esempio: con OA c'e' la possibilita del monitoraggio del traffico internet e la conseguente protezione web. Questa funzione l'ho disattivata preferendo quella del mio antivirus, cioe' Avast. In Avast poi c'e' anche una similar sandbox della non ho la necessita' di appurare se funziona bene oppure no perche' preferisco di gran lunga la protezione offerta da sandboxie. E via dicendo.... Per la tua domanda, se vuoi chiedere lumi, prova qui -> http://www.hwupgrade.it/forum/showthread.php?t=1064733; anche se non e' il thread piu' adeguato, chi ne e' al timone ne sa moooooolto piu' di me e te messi insieme :D oltre che dal calibro degli altri utenti che intervengono con i loro post. |
fondamentalmente c'è poco da aggiungere rispetto a quello che avete detto poc'anzi visto che avete centrato il problema.
Il simulatore (in questo caso, CLT), nel momento in cui fa le sue prove (in particolare, quelle che coinvolgono il file system e il registro di sistema), crede di trovarsi di fronte al vero file system/registro e restituisce un esito che, nel ns/caso, è errato visto che il tutto è stato precedentemente reindirizzato nella zona protetta (il Sandbox, appunto)... [Quelle che sono invece alterazioni di altra natura, come ad es. comunicazioni tra processi, installazione di hook ecc, vengono scartate di default dalle restrizioni del Sandbox stesso, come per DefenseWall]... In effetti, xò, il post iniziale del thread "prevenire ecc ecc" può essere utile per capire meglio la logica di funzionamento di Sandboxie visto che il post affronta, se pur in modo molto amatoriale, anche quelle che sono le differenze rispetto ad altre soluzioni alternative... Sul capitolo confronti tra 1 soluzione e l'altra, sinceramente, ve ne sono poche: DefenseWall (che è sistematicamente testato da Malware Research Group) non canna 1 sample e, in via estensiva, direi che lo stesso ragionamento si può fare per Sandboxie che, indubbiamente, assieme a DW costituisce quanto di meglio si possa trovare attualmente in commercio... E' la storia cmq del programma che rappresenta sicuramente il miglior atestato sulla bontà dello stesso, dunque direi: vai tranquillo! :) |
Dubbio efficacia Sandboxie
Cari esperti, vi espongo un fatto che mi ha lasciato moolto perplesso per
quel che riguarda l'efficacia e la sicurezza di Sandboxie. L'altro giorno ho scaricato un giochino x mio nipote (Angry birds, che immagino conoscete pure voi) e per sicurezza ho preferito avviarlo prima in Sandboxie dove ha funzionato perfettamente e senza problemi. Dopo di che, visto che il gioco è simpatico e non richiede installazione, ho deciso di lanciarlo anke nel sistema reale dove però, con mio grande stupore, non riesce neanche ad avviarsi poichè appare un messaggio di errata configurazione....boh...:confused: :( :( Subito ho pensato che il problema fosse legato a Sandboxie, per cui ho provveduto a svuotare ed eliminare la sandbox relativa al gioco, ma...... non è cambiato nulla!!... Nel sistema reale il gioco non vuol saperne di partire!!! A questo punto la cosa più verosimile è che qualche valore e/o chiave di registro sia sfuggito al recinto di Sandboxie e si sia insediato nel sistema e che, facendo ancora riferimento alla sandbox cancellata, di fatto impedisce l'avvio corretto dell'eseguibile in reale... :rolleyes: Francamente non vedo altre spiegazioni in quanto se nel registro reale non ci fosse (come dovrebbe essere) nessunissima voce riconducibile al gioco, questo dovrebbe partire senza problemi. Inutile dire che la cosa mi preoccupa non poco poichè, se è vero che un banalissimo giochino portabile sia riuscito ad eludere la sandbox, tanto meglio potrebbe farlo un qualsiasi altro software piu corposo e magari di dubbia provenienza!!...:read: |
la probabilità che alcuni elementi riescano a scappare al di fuori del sandbox credo sia veramente trascurabile:
la stranezza che hai descritto è indubbia ma credo che la causa sia da imputare a qualche altra cosa... Provato a riscaricare l'installer o quello che è? Che errore preciso ti dava? |
Quote:
|
:mbe: se è stato eseguito in sandboxie e funziona, ed è sfuggito qualcosa, allora a maggior ragione funziona anche fuori esattamente come dentro sandboxie (questo perchè comunque sarebbe qualche file di configurazione o salvataggio creato da angry birds nella document and settings virtuale a far la differenza).
Un game come angry birds eseguito in sandboxie genera salvataggi nella directory virtuale non visibili all'esterno, per cui se eseguito all'esterno dovrebbe trovare tutto resettato alle condizioni base. L'alternativa sarebbe che AB si lancia e crea qualcosa per non eseguirsi :doh: , ma allora non ha senso imputare questo comportamento al sistema virtuale di sandboxie Casomai viene da pensare il contrario, ovvero il programma altera qualcosa in sandboxie senza che l'antivirus lo blocchi, mentre nel sistema reale l'AV blocca automaticamente l'operazione generando l'errore. Gioco di successo - versione portable infetta... non mi stupirei. In alternativa: windows, probabilmente 7, lancia l'exe di Angry Bird in modo diverso come confgurazione di compatibilità rispetto sandboxie. :D |
Bhè mi auguro anch'io che le probabilità che qualcosa possa sfuggire a Sandboxie
siano veramente poche (trascurabili?...speriamo!) però come si può verificare se Sandboxie è veramente a "tenuta stagna" oppure no??.... L'ipotesi che possa essere l'antivirus (KAV-2011) che in qualke modo blocchi l'avvio del gioco, è anke plausibile però.... bene o male, apparirebbe sempre un messaggio, cosa che invece non ho visto... inoltre l'avvio del gioco verrebbe bloccato anche nelle Sandbox! Quindi.... e comunque prima di tutto avevo fatto una scansione preventiva sia con KAV sia con Malwarebytes... tutto ok! :) Insomma il fatto che qualcosa possa essere sfuggito a Sandboxie mi sembra tuttora l'ipotesi piu credibile! Del resto, se il recinto di Sandboxie fosse completamente inviolabile, allora si potrebbe benissimo utilizzare le applicazioni in versione trial sandboxate, poi alla scadenza della trial si ripulisce la sandbox e si riavvia nuovamente la trial, e cosi' via... in barba alle software house!!! Sarebbe troppo bello!.... Quindi è ipotizzabile che Sandboxie sia stata resa volutamente "aggirabile" in alcuni punti proprio per non rischiare di essere malvista da qualke software house!...:mbe: :mbe: x chill-out: Il fatto che un'applicazione non richieda installazione, NON significa affatto che non possa generare chiavi o valori nel registro! :ciapet: |
Quote:
Quote:
Quote:
Sempre in attesa di http://www.hwupgrade.it/forum/showpo...&postcount=885 |
Con gli AV il comportamento in sandboxie potrebbe non essere del tutto certo e garantito (e se non è certo il comportamento dell'AV-Firewall, è piuttosto insicuro eseguire un tale sistema) questo perchè si radicano con l'avvio del computer ed in modo profondo con il sistema, in modi non noti (se fossero noti sarebbero sfruttati da chi crea virus).
Ricordo di aver provato a sandboxare Prevx e Returnil, entrambi danno ovviamente problemi in sandboxie. Prevx dà problemi anche solo in scansione di una cartella virtuale. Mentre altri software apparentemente sembrano funzionare, ma di certo provare ad infettarsi come prova non è consigliabile :doh: |
Quote:
|
Non so il perche', ma negli ultimi interventi si tende a snaturalizzare la funzione di sandboxie; installazione di programmi trial, prova varie di software diversi ecc. ecc.
Come ho gia' detto in un post precedente, la sabbiera serve ad isolare uno specifico programma fatto partire in essa (nel 99% dei casi il browser) dal resto del sistema operativo. Se qualcosa entra o viene scaricato, automaticamente viene cancellato alla chiusura della sabbiera se non vi e' un diniego al riguardo. Non capisco perche' ultimamente si tende a cercare di far fare cose diverse a questo software. Io ad esempio lo utilizzo anche per recintare (a volte) delle cartelle dove ho scaricato materiale da internet per poterlo provare in sicurezza oltre che facendo i controlli di rito con antivirus ed antispyware. Ma tornando a noi: in primis volevo chiedere a k@rletto se nella versione recintata utilizza firefox e/o internet explorer ed invece opera nella versione normale, ovvero, non sandboxata. Il perche' e' semplice: nella versione free del programma puo' partire un solo browser sandboxato che non per forza di cose e' quello che si utilizza normalmente. A me succede che alcuni siti di giochi funzionino perfettamente con firefox e non con opera. Quindi il succo della domanda e': usi sempre lo stesso browser per il gioco di cui sopra? Altra cosa: mai e poi mai sandboxare software di sicurezza, perche' si finisce col limitare il loro "campo d'azione" e quindi di metterli nell'impossibilita' di funzionare ed operare liberamente. Tempo addietro avevo messo in modalita' protetta (funzione di OA) alcuni software di sicurezza col risultato che mi si era impallato tutto ed ho dovuto reinstallarli daccapo; quindi occhio a quello che fate. Ultima cosa (devo andare a nanna, sveglia presto :( ) anche sandboxato, in caso di rilevazione di virus, si attiverebbero le funzioni di protezione dell'antivirus e quindi, si avrebbero i pop up di allarme in caso di infezione rilevata/presunta. Notte a tutti ed a presto :) Ciaoooo |
si può non usare più la parola sabbiera per descrivere la "gabbia" creata da Sandboxie per isolare operazioni sul File System ecc? :flower: (la trovo insopportabile :stordita: ...)
Per il resto, cmq, hai ragione... * |
:flower: "il recinto degli animaletti" starebbe meglio di "sabbiera"
Rimane il curioso malfunzionamento di angry birds segnalato. Se si sandboxa con un software terzo sandboxie, nel quale si esegue un programma od una installazione (con tutte le accortezze del caso per entrambe le sandbox) è possibile valutare se da sandboxie esce qualcosa? Può essere sensato come test? |
no, non è molto sensato e ti spiego perchè (secondo me, ovviamente):
in 1° luogo, perchè in questo caso 2 non è assolutamente meglio di 1.... Se si parlasse di gelati, infatti, un bel cono con 2 gusti sarebbe sicuramente più piacevole di uno con un solo sapore: in questo caso, invece, la faccenda si complica perchè siamo di fronte a prodotti estremamente complessi che, solitamente, rischiano di funzionare in modo diverso rispetto a quanto reso possibile se installati singolarmente (in sostanza, 2 Sandbox - cosi come 2 HIPS o 2 Antivirus, o 2 Firewall - rischiano di creare solo casino)... Direi pertanto che questo aspetto è già di per se sufficiente per evitare un test come quello da te suggerito. :) In effetti, xò (e anche se al 99,9999% periodico sono sicuro che nulla sia scappato dal Sandbox nel caso di quel giochino di cui parlava il nostro amico e che dunque la causa della mancata installazione fosse dovuta ad altri fattori [è venuto fuori peraltro che aveva anche KIS per cui la causa potrebbe essere tranquillamente quella..]), può essere interessante indagare le modifiche al FS/Registro (ma non solo...) indotte da un processo Sandboxato. A tal fine mi viene allora in mente un tool di 3 parti, Buster Sandbox Analizer che, oltretutto, restituisce anche un "verdetto di bontà" in merito al file analizzato... Ecco, questo può essere ad es. un valido aiuto per capire "cosa fa" un file in Sandboxie... http://bsa.isoftware.nl/ |
Quote:
|
Quote:
|
Quote:
lo trovo più appropriato :D .... |
Ragazzi, perdonatemi se insisto, ma sinceramente non capisco perchè continuate
a ribadire che Sandboxie non è adatta x testare programmi!!??!!??:confused: ... infatti anche sul sito ufficiale non viene riportata nessuna controindicazione in merito, neanche dal creatore stesso. Quindi vorrei capire se questo vostro "scetticismo" sia dovuto al fatto che, un programma installato sandboxato possa funzionare male o non funzionare affatto (cosa assai probabile, e sulla quale mi trovo d'accordo) oppure se sia dovuto al timore che nell'installazione di software, Sandboxie non sia altrettanto efficace e che magari qualke driver, o file di servizio possa bypassare il recinto. Infatti i due aspetti sono ben diversi, poichè nel primo caso se il programma installato non funziona.... pazienza! non succede nulla di grave.... mentre nel secondo caso se Sandboxie dovesse dimostrarsi vulnerabile a determinate operazioni che avvengono durante l'installazione di un software, beh.... diciamo allora che la faccenda cambia radicalmente!! :eek: Quindi quale dei due è il vero motivo per cui sconsigliate sempre l'uso di Sandboxie x testare programmi??....d'accordo, si può sempre ricorrere a Returnil che probabilmente è piu adatto allo scopo però, volete mettere la semplicità e la snellezza di Sandboxie rispetto a Returnil? Anzi, riguardo a Returnil avrei bisogno di un piccolo chiarimento e chiedo SCUSA ai moderatori se ne faccio richiesta qui, però purtroppo il thread dedicato a Returnil mi sembra ormai abbandonato da tempo.:( :( Allora la domanda è molto semplice: Una volta eseguita l'installazione di un programma sotto Returnil, è possibile conservarlo installato x tutto il tempo che si vuole oppure allo spegnimento (o riavvio) del pc tutto viene sempre ed inesorabilmente perduto???... in caso mi dareste qualche spiegazione sul come fare? Questo secondo me è molto importante perchè a volte x testare un programma sono necessari parecchi giorni o anke settimane! :cool: Grazie in anticipo per le risposte e mi scuso ancora per il "fuori tema". |
è ovvio che il motivo è del 1° tipo,
"un programma installato sandboxato possa funzionare male o non funzionare affatto".... |
@ karletto:
anche se a breve ti rimando ad un altro software, prova a leggere questo post: link + o -, infatti, il discorso è simile (nell'es. le modifiche al FS/Registro rimangono su HD se pur come se fossero "disattivate", in Sandboxie vengono eliminate alla chiusura della sessione sandboxata ma il concetto, ripeto, è quello dell'esempio che ti ho portato)... PS: hai provato a leggere (magari velocemente) almeno il 1° post del thread + specifico sugli HIPS/Sandbox, C L I C C A M I? Credo sarebbe opportuno... |
Non e' che ne sconsigliamo l'uso, semplicemente non e' adatto.
In primis... se ad installazione di un nuovo programma questo abbisogna del riavvio della macchina, cosa fai? Come ti comporteresti al riguardo? Idem con patate con returnil sotto questo aspetto. Secondo: se sandboxie viene impostato a dovere e mi riferisco in particolar modo alla limitazione dei diritti flaggando la relativa casellina, molti software non potranno funzionare correttamente o non gireranno per nulla poiche' verra' a mancare la liberta' d'azione (parlo terra terra eh? ;) )... stessa cosa quando pongo ad esempio qualche programma in modalita' protetta dentro online armor oppure utilizzando lo UAC al massimo con win 7. Terzo: uso anche returnil versione 2008 su xp e l'ultima release senza antivirus su seven; la domanda puoi benissimamente postarla nel thread a lui dedicato poiche' ti risponderei io o altri che utilizzano questo software. Considerazioni finali e personali: sandboxie e' un ottimo programma (imho) per la protezione passiva (come dico io), nel senso che non abbisogna di interventi attivi dell'utilizzatore finale come quando l'antivirus o l'hips chiedono cosa fare.... io lo utilizzo per il 99% per i browser e sporadicamente per testare file scaricati da internet. Se devo cimentarmi in altre prove, utilizzo returnil e sandboxie (nei rispettivi limiti) sia per non sporcare il registro e sia per non aver timori che qualcosa vada male (come quando ho utilizzato emet e tutto l'ambaradan che ho dovuto scaricare per renderlo operativo), ergo, del software in questione puoi farne l'utilizzo che piu' ti aggrada senza pero' insistere (piu' di tanto) che qualcosa possa uscire fuori dal recinto/buca/antro/anfratto ecc. ecc e quindi sfuggire al controllo del software stesso. P.s. Sto ancora aspettando risposta al mio quesito e chill-out il link della notizia che riportavi qualche post addietro..... :rolleyes: |
Quote:
La multi-definizione, inoltre, mi fa ritornare in mente il Benigni dei tempi andati e le sue mitiche definizioni (patatina per quella cosetta, [...], mazza per lo strumento, ecc) :ciapet: |
Quote:
|
Per k@rletto
Per returnil ti ho risposto nel topic adeguato. |
Domanda: ma se sandboxie non blocca sicuro al 100% le chiavi di registro, ci si rende conto dell'inserimento con un seplice programma manager di registro che segnala dopo una installazione sabbia-based-ie, che sono stati inseriti nuovi valori nel registro.
Fatto questo, il programma eseguibile che spesso connota un server trojan si trova nella sandbox, magari svuotata prima di riavviare; quindi viene a mancare l'auto-esecuzione del programma e la possibilità per il client di connettersi al server trojan. Diverso è forse il caso di quei programmini (99% keymaker o trainer per game) che funzionano da server trojan e magari incautamente vengono eseguiti in sandboxie con la connessione ad internet aperta. Eseguiti in sandbox hanno accesso a tutte le risorse in lettura, se non vengono fermati dall'AV, mentre eventuali modifiche apportate dall'eseguibile nel sistema non è sicuro al 100% che vengano contenute nella "directory virtuale" Questo è forse il caso d'esempio per indicare la flebilità del programma contro certe minacce. EDIT: Post Scrittum Quote:
es: installo virtuale -> sandbox/C/programmi/provainstall/ file vari installazione Apro dir contenitore di sandboxie, simulo da C trascinando la directory nella console di sandboxie ed ho una simulazione del C "vergine" de del C sandboxato. Lancio il programma e parte sandboxato. |
Quote:
se può servire come info con Try & Decide (parte di Acronis True Image) è possibile restare "in virtual" anche dopo riavvio/riavviiii  dalla guida Quote:
 così non mi serve nessun altro programma di virtualizzazione adesso sotto T&D sto' provando Avira 10 poi proverò Kis 2012 è faro' la scelta ;) secondo me' i migliori 30 euro che si possono spendere per il proprio Pc ;) Quote:
|
?
Sarà che in questo preciso momento non sono lucidissimo ma non ho capito una mazza, in particolare il discorso di TheQ...:mbe: |
Quote:
|
Quote:
http://www.hwupgrade.it/forum/showpo...&postcount=403 ed in ogni caso si fa sempre riferimento al 3D dedicato. |
Quote:
|
Quote:
Ok, provo a riscrivere: Sandboxie non sicuro al 100%, le chiavi di registro non vengono bloccate. Se così fosse con un semplice regcleaner od altro programma che traccia l'inserimento di nuove chiavi nel registro, si vedrebbe se effettivamente, con un'installazione sandboxata, vi sono modifiche nel registro di sistema. Esperienza mia: no. Posso garantire su qualunque programma: no. trojan classico Ammettiamo di eseguire in sandboxie un software non sicuro (per esempio uno dei falsi setup di game piratati che i cracker mettono in giro ultimamente :fagiano: ... quelli che creano i file TDU.exe per esempio). A questo punto il programma è stato installato nella directory contenitore di sandboxie ed il file TDU.exe si trova lì. TDU.exe è un server trojan che apre una porta e consente una connessione al pc da remoto per il cracker. Il falso setup magari mette la chiave nel registro per l'auto-avvio di TDU.exe nel percorso previsto ad ogni apertura di Windows; ciò permette di lanciare l'eseguibile che permette di tenere aperta la porta e di fare da server di connessione remota al cracker. Ma se io pulisco la directory contenitore di sandbox prima di uscire, al riavvio non c'è più il TDU.exe da lanciare. Sperimentare software connessi ad internet Mettiamo di essere masochisti e di lanciare TDU.exe in sandboxie per vedere cosa fa. A questo punto il software viene eseguito e non rilevato dall'AV (ammettiamo che non susciti l'intervento dell'euristica dell'AV, nè del firewall, nè spyware, ecc...). Sandboxie cosa fa con l'execuzione dei programmi? Da quanto ne so permette di accedere a tutto il sistema, ma qualsiasi modifica la circoscrive alla directory contenitore (sempre che ci riesca :Prrr: ) ingannando il software stesso. Quindi a livello teorico una qualsiasi operazione di keylogging o lettura del sistema da remoto con il client da parte dell'hacker ed il "server" trojan eseguito in sandboxie nel PC dall'incauto utente, non viene impedito, invece qualsiasi operazione di modifica che passa dall'hacker via internet al file trojan eseguito in sandboxie potrebbe essere inserita nella directory contenitore di sandboxie. Es: l'hacker dà comando di cancellare un file via trojan TDU sul pc infettato ma circoscritto in sandboxie; comunque è un'azione paragonabile all'utente reale che cancella un file nella sandbox. In altre parole forse è pericoloso sperimentare software in sandboxie connessi ad internet. Post Scrittum: installare un programma che chiede il riavvio Programmi che installano driver in windows o document and setting vengono sandboxati creando una directory nel "contenitore" di sandboxie. Andando nella directory contenitore di sandboxie si possono infatti vedere le cartelle create: i driver C, Q, ...; le directory documents and setting sotto USERS; e le sottodirectory di "installazione-lavoro". Una volta installato un programma non serve riavviare. Basta dire di aprire la directory contenitore di sandboxie, dove è stato installato il programma ed eseguirne il contenuto (si prende la finestra e la si trascina dentro la console di sandboxie). Questo verrà simulato nel sistema come se fosse integrato in tutte le sue componenti. Esempio pratico: se si installa un programma in sandboxie e si sceglie di porre l'icona sul desktop, questa non appare nel desktop reale. Se si simula la directory contenitore (appare segnata con la # ) ed in questa si cerca il desktop, invece appare l'icona del programma installato. A questo punto lanciare il programma è semplice: exe di avvio (o l'icona del desktop simulato) facendo attenzione di lanciarlo da directory # e non dalla directory normale. |
ti confesso che mi risulta arduo seguire il ragionamento visto che trovo tuttora nebulosi molti aspetti del tuo intervento...
Forse sarà il caldo che anche dalle mie parti si fa sentire impietosamente...:stordita: |
| Tutti gli orari sono GMT +1. Ora sono le: 13:13. |
Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.