Sandboxie, Registery Daten auslesen. |
Willkommen, Gast ( Anmelden | Registrierung )
Sandboxie, Registery Daten auslesen. |
01.10.2009, 10:45
Beitrag
#1
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
Hi@all...
Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet? Habe einen Film in " youtube " gesehen, danach soll das möglich sein, deshalb meine Frage hier im Forum an die Experten, der Link zu diesem Video: http://www.youtube.com/watch?v=Sp9YcaLMpy4 MfG. Firefox 1947 -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 12:28
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Hallo Firefox 1947,
ZITAT Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet? 1. Ein Trojaner kann alles, was ein Mensch kann. 2. Wenn der momentan angemeldete User über keine Admin-Rechte verfügt und somit er selbst keinen Zugriff auf die Registry hat, ist auch die Chance eines Trojaners, Etwas daraus auszulesen, bedeutend geringer. 3. Was hat das Auslesen in der Registry mit Online-Banking zu tun? -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
01.10.2009, 12:44
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Genrell kann ein Trojaner auf den Rechner zugreifen. Auch wenn er in der Sandbox läuft. Er kommt allerdings nicht aus der Sandkiste raus.
Man kann aber entsprechnde Einstellungen vornehmen, dass erst gar kein Trojaner in der Sandkiste starten darf. Dazu muss man dann aber manuell konfigurieren welche Progs in der Sandkiste starten dürfen. Da mir das immer zu umständlich war habe ich die Sandkiste so eingestellt, dass nur bestimmte Programme Internet Zugriff bekommen. Dann kann ein Trojaner zwar munter alles ausspinonieren was ich in der Browser Sitzung so mache aber kann die Sachen nicht versenden. Wenn ich den Browser schließe löscht sich die Sandkiste automatisch und dann ist eh alles weg. Ich denke das ist eine ganz gute Methode. Der Beitrag wurde von Habakuck bearbeitet: 01.10.2009, 12:45 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
01.10.2009, 13:25
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Ist es möglich, dass ein Trojaner Daten der Registery ausliest, ( Online-Banking ), und diese dann nach aussen weiterleitet? Mit einer nicht konfigurierten Default Box schon, mit entsprechenden Einstellungen aber nicht.
-------------------- |
|
|
01.10.2009, 14:27
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
Wobei ich nicht weiß, welche konkreten Registrierungsschlüssel- bzw. pfade ich dafür eintragen müsste/sollte. Bei mir ist das entsprechende Feld deshalb leer; d.h. es sind bei mir keine Registrierungszugriffe untersagt: Aber ich nehme an, dass auch die beiden anderen genannten Punkte schon ausreichend Schutz bieten:
|
|
|
01.10.2009, 14:47
Beitrag
#6
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
Hallo subset...
Du schreibst folgendes: "Registrierungs-Zugriff verweigern (ClosedKeyPath) -> Trojaner darf auf Bereiche der Registrierung nicht zugreifen ". Wird das unter --Ressourcenzugriff ---, --- Dateizugriff ---, --- Zugriff verweigern --- eingetragen und wenn ja, was muss hier genau eingetragen werden, um den Zugriff auf die --- Registery --- nicht zu zu lassen? Mein ist BS Vista. Danke für deine Hilfe, habe davon O-Ahnung. MfG. Firefox 1947 Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 14:50 -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 15:04
Beitrag
#7
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
|
|
|
01.10.2009, 15:12
Beitrag
#8
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
Hallo...
Stimmt habe es gerade in deinem Thread gesehen, wüsste aber gern ob hier noch etwas zusätzlich eingetragen werden muss, wir stellen beide die gleiche Frage. Habe die Sandboxie so eingestellt wie in der Anleitung von " Subst " vorgeschlagen, ist für die Registery noch etwas zu ergänzen und wenn ja, wie hat dieser Eintrag auszusehen oder reichen die von dir genannten Bechränkungen ( Programmstart und Internetzugriff ) schon aus? MfG. Firefox Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 15:14 -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 15:15
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Sandboxie leitet standardmäßig alle Registrierungszugriffe in eine virtuelle Registry weiter, die Registry ist also geschützt.
Registrierungszugriff bezieht sich also nur aufs Auslesen. Man muss halt selber wissen, wo die Programme Lizenzinformationen ablegen und sie dann eventuell mit dieser Option schützen. Und das nicht nur auf die Registry bezogen: Dateien, die ganz normal im Windows Dateisystem abgelegt sind, können auch ausgelesen werden, die sollte man dann auch mit der entsprechenden Funktion schützen. -------------------- |
|
|
01.10.2009, 15:32
Beitrag
#10
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.173 Mitglied seit: 11.06.2007 Wohnort: Whitelist Mitglieds-Nr.: 6.272 |
OT
Mal eine etwas andere Frage. Wie kann ich eigentlich diese "RegHive" Datei so auslesen dass ich verstehe was da geschrieben ist? Würde mich beim testen von Programmen interessieren was in die Registry geschrieben werden würde |
|
|
01.10.2009, 15:55
Beitrag
#11
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
Sandboxie leitet standardmäßig alle Registrierungszugriffe in eine virtuelle Registry weiter, die Registry ist also geschützt. Registrierungszugriff bezieht sich also nur aufs Auslesen. Man muss halt selber wissen, wo die Programme Lizenzinformationen ablegen und sie dann eventuell mit dieser Option schützen. Und das nicht nur auf die Registry bezogen: Dateien, die ganz normal im Windows Dateisystem abgelegt sind, können auch ausgelesen werden, die sollte man dann auch mit der entsprechenden Funktion schützen. Ja, das verstehe ich, nur beantwortet das meine Frage nicht, was ich wo genau eintragen muss, um das zu unterbinden. Auch weiss ich nicht wo die Lizenzinformationen im System abgelegt sind, bin PC Neuling, mir fehlt dein wissen. MfG. Firefox 1947 Der Beitrag wurde von Firefox 1947 bearbeitet: 01.10.2009, 15:59 -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 16:08
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Wie kann ich eigentlich diese "RegHive" Datei so auslesen dass ich verstehe was da geschrieben ist? Die werden automatisch ausgelesen, man muss nur RegEdit öffnen und unter HKEY_USERS\Sandbox_"Name"_"Sandbox" nachsehen. @ Firefox 1947 Die Registrierung von Vista wird unter den Pfaden gespeichert: C:\Users\*\NTUSER.DAT C:\Windows\System32\config\* Das Herumspielen mit Regeln für diese Dateien kann aber Nebenwirkungen haben. MfG -------------------- |
|
|
01.10.2009, 17:01
Beitrag
#13
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
@ Subset...
Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht. Grüsse ins schöne Östereich, Firefox 1947. -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 17:48
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
@ Subset... Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht. Grüsse ins schöne Östereich, Firefox 1947. Mach es doch wie ich es gemacht habe. Das ist easy und gut. -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
01.10.2009, 17:52
Beitrag
#15
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 583 Mitglied seit: 16.06.2008 Wohnort: Deutschland Mitglieds-Nr.: 6.917 Betriebssystem: Windows 10 Pro x64 Virenscanner: F-Secure Anti-Virus Firewall: weich & hart |
Danke für die Info, von der Registy lass ich die Finger, das kann voll in die Hose gehen, da sollte man schon ganz genau wissen was man macht. Dann beschränke dich auf diese zwei Punkte, die subset in Beitrag 4 genannt hat:
Gruß |
|
|
01.10.2009, 18:42
Beitrag
#16
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
Man kann aber entsprechnde Einstellungen vornehmen, dass erst gar kein Trojaner in der Sandkiste starten darf. Dazu muss man dann aber manuell konfigurieren welche Progs in der Sandkiste starten dürfen. Da mir das immer zu umständlich war habe ich die Sandkiste so eingestellt, dass nur bestimmte Programme Internet Zugriff bekommen. Dann kann ein Trojaner zwar munter alles ausspinonieren was ich in der Browser Sitzung so mache aber kann die Sachen nicht versenden. (Zusätzlich) die Startbeschränkungen vorzunehmen ist aber auch nicht umständlicher als die Beschränkungen für den Internetzugriff. In meiner Standard-Sandbox sieht das so aus: A) Internetzugriff: Er ist bei mir beschränkt auf 2 Browser (Firefox, Internet Explorer) und 3 Messenger (Skype, Windows Messenger, Yahoo Messenger). Das entspricht den Dateien firefox.exe, iexplore.exe, skype.exe, msnmsgr.exe, yahoomessenger.exe: B) Startbeschränkungen in der Sandbox: Starterlaubnis haben (logischerweise) dieselben Programme wie unter A). Dazu kommen nur noch: - Start.exe - SandboxieDcomLaunch.exe - SandboxieRpcSs.exe ---> Diese 8 (= 5 + 3) Dateien wären also (in meinem Fall) unter Beschränkungen ---> Start/Ausführen Zugang einzutragen. (Dort, wo in der folgenden Abbildung <restricted1> steht. Ich hatte die 8 Dateien schon in einer früheren Version von Sandboxie direkt in der Sandboxie-ini eingetragen. Deshalb sind sie hier nicht unmittelbar zu sehen.) Der Beitrag wurde von Peter 123 bearbeitet: 01.10.2009, 18:58 |
|
|
01.10.2009, 19:54
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Die Start Erlaubniss habe ich absichtlich nicht gesetzt. Warum auch? Das fand ich immer umständlich wenn ich Medien Dateien oder pdfs Brwoser extern öffnen wollte hat das Sandboxie logischer Weise nicht zugelassen.
Ich sehe ja genau was läuft und wenn der Trojaner starten sollte ohne das ich es bemerke kann er eh nichts anrichten weil er keinen Internet Zugriff bekommt. -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
01.10.2009, 21:37
Beitrag
#18
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 411 Mitglied seit: 31.12.2008 Wohnort: Deutschland Mitglieds-Nr.: 7.302 Betriebssystem: Windows 10 64-Bit Virenscanner: Emisoft/NOD 32 - Sboxie Firewall: Windows /NAT |
@Habakuck
Die Einstellungen von dir hatte ich schon konfiguriert. MfG. Firefox 1947 -------------------- Erst denken, dann handeln.
|
|
|
01.10.2009, 21:46
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall |
Ebenfalls @ Habakuck :
Die Start Erlaubniss habe ich absichtlich nicht gesetzt. Warum auch? Das fand ich immer umständlich wenn ich Medien Dateien oder pdfs Brwoser extern öffnen wollte hat das Sandboxie logischer Weise nicht zugelassen. Ach so, du meintest mit "umständlich" die praktische Benützung; ich dachte, es wäre dir um die Konfiguration gegangen. |
|
|
01.10.2009, 22:48
Beitrag
#20
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Mit der Vollversion kann mehrere Programme in verschiedenen Sandboxen gleichzeitig starten bzw. offen haben.
Das macht die Konfiguration mit Starten, Internetzugriff, Dateizugriff usw. viel einfacher, da man praktisch für jedes gewünschte Programm eine eigene Sandbox konfigurieren kann. MfG -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 25.04.2024, 04:45 |