Ich werde teilweise immer wieder gefragt, was es mit Sandboxie auf sich hat
und wie man es richtiger einrichtet.
Sandboxie ist eigentlich recht einfach zu konfigurieren - Bilder dazu:
►
http://www.imagebanana.com/gallery/view/ej5ot6nq/
Unter "Anwendungen" ist
alles abgewählt, damit die Box nach aussen
hin keinen Kontakt bekommt, das ist wichtig. Ebenso ist ersichtlich, dass
Internet verboten ist*. Denn der Zugriff auf Dateien auf dem Host ist
immer noch möglich und die sollten nicht versendet werden dürfen!
* wird weiter unten noch mal angesprichen
Was bei Sandboxie aber noch wichtig ist, dass man auf dem letzten bzw.
neuesten Stand ist. Die aktuelle final 3.38 ist zB nicht mehr 100% sicher,
daher sollte man schon die 3.39 beta benutzen:
►
http://sandboxie.com/phpbb/viewtopic.php?t=6003
Thema dazu
►
http://sandboxie.com/phpbb/viewtopic.php?t=5440
(die 3.39 ist auch Win7 kompatibel)
Wichtig: 64-Bit Windows schaut in die Röhre, ihr solltet auf Sandboxie
ganz verzichten, weil es dafür keine aktuelle Version gibt, die dazu noch
sicher wäre - benutzt eine VM!
ob wirklich was in Software versteckt ist
Ist ohne Codeanalyse nicht machbar, würde auch den Rahmen des Themas
erheblich sprengen. Was machbar wäre, ist eine Einsicht in die Sandbox,
nachdem die Software ausgeführt wurde.
Ein Scan der unbekannten Software vor Nutzung ist Pflicht. Ich arbeite selbst
mit ESET im Hintergrund, prüfe aber diverse Dateien auf Bedarf noch mit:
a2usb (a-squared Notfall USB Stick Dateien, a2 benutzt die Ikarus-Engine)
►
http://www.emsisoft.de/de/software/download/
Oder auch
Avira
►
http://dlpro.antivir.com/down/windows/antivir_avcls_de.zip
mit
►
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip
(man muss dazu wissen, dass beide Zip zusammen einen aktuellen
vollwertigen Commandline Scan enthalten)
Wer sich nicht damit auskennt, geht online prüfen
►
http://www.virustotal.com/de/
►
http://virusscan.jotti.org/de/
►
http://virscan.org
Wie man die Registry nach der Ausführung einsieht, habe ich hier schon mal beschrieben
►
https://www.supernature-forum.de/811691-post8.html
Brummelchen schrieb:
Um nun die gewünschten Daten aus der Registry zu extrahieren, startet man den Editor
für die Systemregistrierung "Regedit.exe" (liegt normalerwise unter C:\Windows\)
Start - Ausführen - regedit.exe
Dort sieht man links eine Baumstruktur
Arbeitsplatz
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE <--
- HKEY_USERS <--
- HKEY_CURRENT_CONFIG
Der angesprochen Reghive kann dorthin importiert werden. Dazu klickt man
einen der rot markierten Äste an und wählt im Menü "Datei -> Struktur laden".
Anschliessend sucht man den Ordner mit der Datei "Reghive" und lädt diese ein:
XP C:\Dokumente und Einstellungen\{username}\Anwendungsdaten\Sandbox\DefaultBox\RegHive
Vista C:\Users\{username}\AppData\Sandbox\DefaultBox\RegHive
Man wird dann nach einem Schlüsselnamen gefragt, man gebe "Sandboxie" ein!
Anmerkung: Es kann auch sein, dass die erste Einrichtung die Sandbox hierhin legt:
C:\Sandbox\DefaultBox\
Die obigen Angaben sind von mir und noch aus den ersten Tagen mit Sandboxie.
Es gibt auch Software, die sich nicht in der Box starten lassen, aus verschiedenen
Gründen: Sei es, dass tiefgreifende Systemdateien nicht gestartet werden konnte
oder sogar Treiberdateien oder die Software mit dem aktuellen System gar nicht
klar kommt.
Bestimmte Malware zB hat auch solche Eigenschaften, die läuft einfach nicht.
Was nicht läuft, läuft nicht! Dann auch nicht wild rumexperiementieren! Besser: Fragen!
Andernfalls eine Alternative suchen - oder eine VM benutzen, um den Host
vor Schäden zu schützen.
Gewalt oder Brechstange sind NO GO! Auch um der Sicherheit willen.
Wenn Software erfolgreich ausgeführt wurde, lässt sich das Ergebnis aus der
Box herauskopieren, evtl dazu auch Einträge aus der Registry exportieren
(siehe oben). Anschließend den Inhalt der Sandbox löschen.
Wer ganz sicher gehen will, prüft mit dem Virenscanner auch das Ergebnis.
Was tun, wenn der Virenscanner vorher, beim Download, schon anschlägt?
a) in einen Ausnahmeordner herunterladen (empfohlen, weil es damit nicht bleiben wird)
b) als Ausnahme deklarieren
c) direkt in eine Sandbox herunterladen (Sandbox als Ausnahme deklarieren, schlechte Wahl)
d) ganz verzichten, wenn man unsicher ist, direkt löschen und nach Alternativen fragen
Soweit das Prozedere für diese speziellen Fälle.
* Internet nochmal
Die Defaultbox hier ist (wie auf den Bildern erkennbar) mit Rechten eingeschränkt
und darf kein Internet. Ich habe allerdings noch weitere spezielle Boxen, die nicht
eingeschränkt sind und einmal mit und ohne Internet sind. Es gibt Programme,
die für die Installation zwingend mehr Rechte benötigen, aber nicht ins Internet
sollen/dürfen. Dann welche, die soweit sicher sind und sogar Internet benötigen.
Ich kann so sauber und getrennt vom Host arbeiten und sogar mehrere Instanzen von
Firefox zu Testzwecken aufrufen (mit demselben Profil).
Was tun, wenn man keine VM (VirtualBox/VBox oder VMWare) benutzen möchte,
aber Sandboxie nicht so recht traut oder manchmal nicht nutzbar ist?
Es gibt Software, die zwischen System und Festplatte hängt und die über spezielle
Freigaben nur gezielt Dateien zurückschreiben lässt, alles andere wandert ins Nirwana
beim Neustart. Darunter fallen diese Programme:
►Returnil:
http://www.returnilvirtualsystem.com/ (Freeware für privat)
►Deep Freeze:
http://www.faronics.com/
►Shadow Defender:
http://www.shadowdefender.com/
Hinweis: diese Anleitung hat kein Anrecht auf Vollständigkeit und Richtigkeit.
Es gibt wesentlich mehr Einstellungen und nicht für jeden sind diese Einstellungen
richtig. Sandboxie bietet für diverse Programme vorgegebene Einstellungen,
die können aktiviert werden, damit das entsprechende Programm auch korrekt
funktioniert. Die Liste der Vorgaben findet sich unter "Anwendungen".