Sandboxie, Registery Daten auslesen. Einstellungen

[Firefox 1947]

Hi@all...

Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet?

Habe einen Film in " youtube " gesehen, danach soll das möglich sein, deshalb meine Frage hier im Forum an die Experten, der Link zu diesem Video:

http://www.youtube.com/watch?v=Sp9YcaLMpy4


MfG. Firefox 1947

[Rene-gad]

Hallo Firefox 1947,

Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet?

1. Ein Trojaner kann alles, was ein Mensch kann.
2. Wenn der momentan angemeldete User über keine Admin-Rechte verfügt und somit er selbst keinen Zugriff auf die Registry hat, ist auch die Chance eines Trojaners, Etwas daraus auszulesen, bedeutend geringer.
3. Was hat das Auslesen in der Registry mit Online-Banking zu tun?

[Habakuck]

Genrell kann ein Trojaner auf den Rechner zugreifen. Auch wenn er in der Sandbox läuft. Er kommt allerdings nicht aus der Sandkiste raus.
Man kann aber entsprechnde Einstellungen vornehmen, dass erst gar kein Trojaner in der Sandkiste starten darf. Dazu muss man dann aber manuell konfigurieren welche Progs in der Sandkiste starten dürfen. Da mir das immer zu umständlich war habe ich die Sandkiste so eingestellt, dass nur bestimmte Programme Internet Zugriff bekommen. Dann kann ein Trojaner zwar munter alles ausspinonieren was ich in der Browser Sitzung so mache aber kann die Sachen nicht versenden. Wenn ich den Browser schließe löscht sich die Sandkiste automatisch und dann ist eh alles weg. Ich denke das ist eine ganz gute Methode.

Der Beitrag wurde von Habakuck bearbeitet: 01.10.2009, 12:45

[subset]

Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet?

Mit einer nicht konfigurierten Default Box schon, mit entsprechenden Einstellungen aber nicht.

• Programmstart auf bestimmte Anwendungen begrenzen -> Trojaner darf nicht starten
• Internetzugriff auf bestimmte Anwendungen begrenzen - > Trojaner darf nicht hinaus senden
• Registrierungs-Zugriff verweigern (ClosedKeyPath) -> Trojaner darf auf Bereiche der Registrierung nicht zugreifen

MfG

[Peter 123]

• Registrierungs-Zugriff verweigern (ClosedKeyPath) -> Trojaner darf auf Bereiche der Registrierung nicht zugreifen

Wobei ich nicht weiß, welche konkreten Registrierungsschlüssel- bzw. pfade ich dafür eintragen müsste/sollte. Bei mir ist das entsprechende Feld deshalb leer; d.h. es sind bei mir keine Registrierungszugriffe untersagt:



Aber ich nehme an, dass auch die beiden anderen genannten Punkte schon ausreichend Schutz bieten:

• Programmstart auf bestimmte Anwendungen begrenzen -> Trojaner darf nicht starten
• Internetzugriff auf bestimmte Anwendungen begrenzen - > Trojaner darf nicht hinaus senden

[Firefox 1947]

Hallo subset...

Du schreibst folgendes: "Registrierungs-Zugriff verweigern (ClosedKeyPath) -> Trojaner darf auf Bereiche der Registrierung nicht zugreifen ".

Wird das unter --Ressourcenzugriff ---, --- Dateizugriff ---, --- Zugriff verweigern --- eingetragen und wenn ja, was muss hier genau eingetragen werden, um den Zugriff auf die --- Registery --- nicht zu zu lassen? Mein ist BS Vista.

Danke für deine Hilfe, habe davon O-Ahnung.



MfG. Firefox 1947

Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 14:50

[Peter 123]

Wird das unter --Ressourcenzugriff ---, --- Dateizugriff ---, --- Zugriff verweigern --- eingetragen

Wo es eingetragen wird, siehst du ja schon an meiner Abbildung oben, nämlich unter Ressourcenzugriff ---> Registrierungszugriff ---> Zugriff verweigern.

[Firefox 1947]

Hallo...

Stimmt habe es gerade in deinem Thread gesehen, wüsste aber gern ob hier noch etwas zusätzlich eingetragen werden muss, wir stellen beide die gleiche Frage.

Habe die Sandboxie so eingestellt wie in der Anleitung von " Subst " vorgeschlagen, ist für die Registery noch etwas zu ergänzen und wenn ja, wie hat dieser Eintrag auszusehen oder reichen die von dir genannten Bechränkungen ( Programmstart und Internetzugriff ) schon aus?


MfG. Firefox

Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 15:14

[Julian]

Sandboxie leitet standardmäßig alle Registrierungszugriffe in eine virtuelle Registry weiter, die Registry ist also geschützt.
Registrierungszugriff bezieht sich also nur aufs Auslesen.

Man muss halt selber wissen, wo die Programme Lizenzinformationen ablegen und sie dann eventuell mit dieser Option schützen.

Und das nicht nur auf die Registry bezogen: Dateien, die ganz normal im Windows Dateisystem abgelegt sind, können auch ausgelesen werden, die sollte man dann auch mit der entsprechenden Funktion schützen.

[rolarocka]

OT

Mal eine etwas andere Frage. Wie kann ich eigentlich diese "RegHive" Datei so auslesen dass ich verstehe was da geschrieben ist?
Würde mich beim testen von Programmen interessieren was in die Registry geschrieben werden würde

[Firefox 1947]

Sandboxie leitet standardmäßig alle Registrierungszugriffe in eine virtuelle Registry weiter, die Registry ist also geschützt.
Registrierungszugriff bezieht sich also nur aufs Auslesen.

Man muss halt selber wissen, wo die Programme Lizenzinformationen ablegen und sie dann eventuell mit dieser Option schützen.

Und das nicht nur auf die Registry bezogen: Dateien, die ganz normal im Windows Dateisystem abgelegt sind, können auch ausgelesen werden, die sollte man dann auch mit der entsprechenden Funktion schützen.

Ja, das verstehe ich, nur beantwortet das meine Frage nicht, was ich wo genau eintragen muss, um das zu unterbinden. Auch weiss ich nicht wo die Lizenzinformationen im System abgelegt sind, bin PC Neuling, mir fehlt dein wissen.


MfG. Firefox 1947

Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 15:59

[subset]

Wie kann ich eigentlich diese "RegHive" Datei so auslesen dass ich verstehe was da geschrieben ist?

Die werden automatisch ausgelesen, man muss nur RegEdit öffnen und unter
HKEY_USERS\Sandbox_"Name"_"Sandbox" nachsehen.

@ Firefox 1947

Die Registrierung von Vista wird unter den Pfaden gespeichert:
C:\Users\*\NTUSER.DAT
C:\Windows\System32\config\*

Das Herumspielen mit Regeln für diese Dateien kann aber Nebenwirkungen haben.

MfG

[Firefox 1947]

@ Subset...

Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht.

Grüsse ins schöne Östereich, Firefox 1947.

[Habakuck]

@ Subset...

Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht.

Grüsse ins schöne Östereich, Firefox 1947.

Mach es doch wie ich es gemacht habe. Das ist easy und gut.

[drei-finger-joe]

Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht.

Dann beschränke dich auf diese zwei Punkte, die subset in Beitrag 4 genannt hat:

• Programmstart auf bestimmte Anwendungen begrenzen -> Trojaner darf nicht starten
• Internetzugriff auf bestimmte Anwendungen begrenzen - > Trojaner darf nicht hinaus senden

Gruß

[Peter 123]

Man kann aber entsprechnde Einstellungen vornehmen, dass erst gar kein Trojaner in der Sandkiste starten darf. Dazu muss man dann aber manuell konfigurieren welche Progs in der Sandkiste starten dürfen. Da mir das immer zu umständlich war habe ich die Sandkiste so eingestellt, dass nur bestimmte Programme Internet Zugriff bekommen. Dann kann ein Trojaner zwar munter alles ausspinonieren was ich in der Browser Sitzung so mache aber kann die Sachen nicht versenden.

(Zusätzlich) die Startbeschränkungen vorzunehmen ist aber auch nicht umständlicher als die Beschränkungen für den Internetzugriff.

In meiner Standard-Sandbox sieht das so aus:

A) Internetzugriff:
Er ist bei mir beschränkt auf 2 Browser (Firefox, Internet Explorer) und 3 Messenger (Skype, Windows Messenger, Yahoo Messenger).

Das entspricht den Dateien firefox.exe, iexplore.exe, skype.exe, msnmsgr.exe, yahoomessenger.exe:




B) Startbeschränkungen in der Sandbox:
Starterlaubnis haben (logischerweise) dieselben Programme wie unter A). Dazu kommen nur noch:
- Start.exe
- SandboxieDcomLaunch.exe
- SandboxieRpcSs.exe

---> Diese 8 (= 5 + 3) Dateien wären also (in meinem Fall) unter Beschränkungen ---> Start/Ausführen Zugang einzutragen. (Dort, wo in der folgenden Abbildung <restricted1> steht. Ich hatte die 8 Dateien schon in einer früheren Version von Sandboxie direkt in der Sandboxie-ini eingetragen. Deshalb sind sie hier nicht unmittelbar zu sehen.)



Der Beitrag wurde von Peter 123 bearbeitet: 01.10.2009, 18:58

[Habakuck]

Die Start Erlaubniss habe ich absichtlich nicht gesetzt. Warum auch? Das fand ich immer umständlich wenn ich Medien Dateien oder pdfs Brwoser extern öffnen wollte hat das Sandboxie logischer Weise nicht zugelassen.
Ich sehe ja genau was läuft und wenn der Trojaner starten sollte ohne das ich es bemerke kann er eh nichts anrichten weil er keinen Internet Zugriff bekommt.

[Firefox 1947]

@Habakuck

Die Einstellungen von dir hatte ich schon konfiguriert.


MfG. Firefox 1947

[Peter 123]

Ebenfalls @ Habakuck :

Die Start Erlaubniss habe ich absichtlich nicht gesetzt. Warum auch? Das fand ich immer umständlich wenn ich Medien Dateien oder pdfs Brwoser extern öffnen wollte hat das Sandboxie logischer Weise nicht zugelassen.

Ach so, du meintest mit "umständlich" die praktische Benützung; ich dachte, es wäre dir um die Konfiguration gegangen.

[subset]

Mit der Vollversion kann mehrere Programme in verschiedenen Sandboxen gleichzeitig starten bzw. offen haben.
Das macht die Konfiguration mit Starten, Internetzugriff, Dateizugriff usw. viel einfacher, da man praktisch für jedes gewünschte Programm eine eigene Sandbox konfigurieren kann.

MfG