Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[diddsen]

kann nur sagen --- mega beitrag wieder

nur ein klitzekleines problem:
At this time, Sandboxie does not support Windows Vista 64-bit
für mich also unbrauchbar

[subset]

Danke, danke

Ja, die Systemvoraussetzungen, die vergesse ich manchmal...
Also Sandboxie läuft mit Windows 2000, XP, 2003 und Vista, jeweils 32-bit.
Zusätzlich noch mit XP 64-bit wenn man das Update KB932596 deinstalliert.

Mit Vista 64-bit läuft es wegen des PatchGuard nicht, der auch schon die AV Hersteller gesammelt auf die Barrikaden brachte.
Ausführlich hier nachzulesen:
http://www.sandboxie.com/index.php?WindowsVista64

MfG

[Caimbeul]

Ich hätte noch ein paar allgemeine Fragen zu Sandboxie.

Wie sicher ist das System? Sprich, was passiert wenn jemand einen Malwaredatei mit Sandboxie ausführt? Findet sich alles in der Sandbox oder im RegHive oder doch auf dem System? Kann man so Malware "untersuchen", kann Malware eine Sandboxie-Ausführung erkennen und "schlummern"?

Wie lese ich am besten das Reghive aus? Bisher hab ich das in einen seperaten Schlüssel in die Registry importiert angeschaut und dann gelöscht, aber irgendwie erscheint mir das nicht so sinnvoll.

[rolarocka]

Du kannst Malware ausführen und es bleibt in Sandboxie "gefangen". Die Malware hat dabei nur eingeschränkte rechte also wirst auch kein rootkit installieren können. Sandboxie selber erkennt nichts. Es lässt halt alles in einer isolierten Umgebung stattfinden die du dann manuell oder automatisch problemlos löschen kannst. Dabei wird alles gelöscht, dateien und reghive egal was. Ich benutze Sandboxie fürs browsen und um neue Software auszuprobieren. Dadurch wird das eigentliche System nicht "verschmutzt" und alles bleibt flott wie beim ersten Tag.

Der Beitrag wurde von rolarocka bearbeitet: 05.06.2008, 11:29

[Caimbeul]

Klingt gut, ich hab nämlich öfters meine Eltern die mir ihre "tolle neue kostenlose Sharewaresoftware" zeigen wollen die sie runtergeladen haben und da bin ich meist skeptisch

[rolarocka]

Mit Sandboxie wirst du viel risikofreudiger werden hehe.

Der Beitrag wurde von rolarocka bearbeitet: 05.06.2008, 11:42

[Caimbeul]

Ich nicht meine Eltern und das ist das wichtige Bischen spielen muss erlaubt sein, ich hab ja zur not nen Image. Wobei die Frage ist ob VM-Ware nicht ggf. die Sichere alternative wäre.

Der Beitrag wurde von Caimbeul bearbeitet: 05.06.2008, 11:51

[Heike]

Es gibt einige Malware die eine Detection für solche Sachen haben. Wird so etwas entdeckt, verhält sie sich anders.
Sandboxie ist sicherlich ok, um "saubere" Sachen zu testen um sich sein System nicht zu zumüllen, zu mehr würde ich es in keinem Fall benutzen. (das gilt ähnlich für alle anderen Sachen, die ein virtuelles System erstellen)

Ein saubere Image ist wichtig.

[Caimbeul]

Ok, ich werd das dann wie gewohnt nur auf meine Testsystem machen und für Nummer sicher weitherhin auf vt vertrauen.

Danke für Eure Einschätzungen.

[subset]

Hi,

Sandboxie ist wie ein Zoo, natürlich kann auch aus einem Zoo mal etwas ausbrechen, aber dann sind bei mir immer noch Avira und Online Armor da.
Die Wahrscheinlichkeit ist aber sehr gering, dass etwas rauskommt, bei mir war das noch nicht der Fall.
Vor allem auch weil die Sandbox beim Schließen des Browsers automatisch gelöscht wird.

Diese ganzen Web AV Bremsen können mir somit gestohlen bleiben, Browser mit Sandboxie laufen lassen und vom AV nur der Datei Scanner in Echtzeit und gut is.

Den Gedanken Malware damit zu testen, halte ich für abwegig.
Wieder der Zoo Vergleich: wie soll das funktionieren, das Tierchen ist ja eingesperrt, kann sich nicht frei entfalten.
Da nehme ich lieber Returnil oder FD-ISR, da kann sich Malware frei entfalten und man bekommt brauchbarere Ergebnisse als in einer VM.

MfG

[Caimbeul]

Hast Du für eins der beiden Produkte zufällig ein how-to, auch auf Englisch als Link parat?

[subset]

Hi,

solche Programme sind meist sehr simple in der Handhabung, trotzdem verwendet sie niemand...

Sehr wichtig bei Returnil:
- es schützt nur die Systempartition.
Sind also mehrere Partitionen vorhanden, kann ein Schadprogramm möglicherweise überspringen.
Auf dem Testrechner habe ich deswegen nur eine Partition.
- beim Neustart geht jede Veränderung der Systempartition verloren.
Programme und Malware, die einen Neustart brauchen, sind also mit Returnil nicht zu testen.

Für ein komplettes Rollback beim Neustart habe ich Returnil mit der "Use memory caching for the Virtual System Engine" Option installiert.
Damit kann man dann auch die Erstellung eines virtuellen Laufwerks bei der Installation ignorieren.
D. h. aber: ich kann auf der Systempartition keine Ordner mit dem Filemanager ausnehmen.
Die kostenlose Version (Returnil Virtual System Personal Edition) bietet nur die memory caching Option.
Die Premium Version bietet auch die "Use disk caching for the Virtual System Engine" Option, da kann man dann mit dem Filemanager Ordner ausnehmen.
Anmerkung... die aktuelle Premium Version 2.0.0.5007 funktioniert mit dem giveawayoftheday.com Schlüssel (vorhanden)

Zur Handhabung selbst gibt es nur zu sagen: für den Schutz "Session Lock" aktivieren, mehr is da nicht.

Das offizielle Forum ist hier: http://www.castlecops.com/f288-Returnil_Vi...em_Release.html
Coldmoon ist aber auch oft bei Wilders.

Mit FD-ISR (FirstDefense-Immediate System Recovery) ist das eine andere Sache...
Die Version, die ich benutze, gibt es nicht mehr.
Die ist von Raxco (Version 3.20.202), XP und Vista kompatibel und man kann damit bis zu zehn Snapshots machen, auch mit verschiedenen OS, also z. B. fünf mit Vista und fünf mit XP.

FD-ISR wird inzwischen von Horizon DataSys vertrieben und heißt FirstDefense-ISR Rescue.
http://www.horizondatasys.com/253715.ihtml

Das Problem damit ist, man kann nur einen Snapshot machen, für die Wiederherstellung des Systems.
Das ist natürlich witzlos im Vergleich zu meiner Version, ich habe derzeit fünf verschiedene Snapshots mit Comodo v3, EQSecure, KIS2009, Online Armor und Twister AV.
Beim Booten kann ich wie mit einem Bootmanager zwischen den Snapshots wählen und jeden Snapshot ähnlich wie mit Returnil auch einfrieren.
Das Praktische ist aber natürlich, dass man über mehrere Neustarts hinweg die Veränderungen verfolgen kann.
Und im Notfall (Bluescreen, Absturz) kann man einfach einen anderen Snapshot booten und den Verseuchten löschen.

Aktuelle Alternativen für das alte FD-ISR wären z. B. EAZ-FIX Professional (EAZ Solution), GoBack (Symantec) , Rollback Rx (Horizon DataSys).

MfG

[Caimbeul]

Sehr lieb von Dir da les ich mich morgen mal in Ruhe ein wenn ich aus der Uni zurück bin.

[drei-finger-joe]

Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien. Für die Lesezeichen:

OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html

Mein erster Beitrag in diesem Form: Hallo allerseits!

Hat jemand die oben stehende Sandboxie-Einstellung mit Firefox 3.0 ausprobiert? Bei mir funktioniert es nicht und ich konnte die zuständige(n) Datei(en) bisher nicht ermitteln - vielleicht muß man auch zwei oder mehr Dateien in Sandboxie eintragen. Wenn man den Profile-Ordner einträgt funktioniert es.

Gruß

[subset]

vielleicht muß man auch zwei oder mehr Dateien in Sandboxie eintragen.

Hi und willkommen hier.

Hab zwar schon den 3er in Verwendung, aber das mit den Bookmarks ist mir noch gar nicht aufgefallen.
Aber jetzt... die neuen Dateien.

Bookmarks:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\places.sqlite
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\places.sqlite-journal

Chronik:
Die history.dat wird nicht mehr verwendet, die Chronik befindet sich bei Firefox 3 mit den Bookmarks in der places.sqlite (siehe oben).

Cookies:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\cookies.sqlite
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\permissions.sqlite

Download-Chronik
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\downloads.sqlite

Passwörter:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\key3.db
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\signons3.txt

Seiteneinstellungen: (z.B. Schriftgröße)
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\content-prefs.sqlite

Weitere auf Bestellung

MfG

[drei-finger-joe]

Hi subset,

danke für deine Hilfe! Wie hast du das so schnell herausgefunden? Durch hartnäckiges Ausprobieren (bin ich zu ungeduldig?) oder gibt es eine Dokumentation zu den Dateien?

Gruß

[subset]

Wie hast du das so schnell herausgefunden?

Schnell
Schnell nicht, aber durch herumschnüffeln in den richten Seiten, wie z.B.
http://www.firefox-browser.de/wiki/Hauptseite
http://wiki.mozilla.org
http://kb.mozillazine.org/
http://developer.mozilla.org/
http://www.mozdev.org/

MfG

[drei-finger-joe]

Jau: http://kb.mozillazine.org/Bookmarks.html ist z.B. genau die richtige Adresse für das Bookmark-"Problem". Man muß es nur wissen!

Gruß

[blubber]

Was muss ich anstellen, damit die kleine Sandbox nach einem Download nachfragt, ob ich die Datei Wiederherstellen möchte oder nicht?!? (also aus der Sandbox rauslasse)