Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Die wichtigste Neuerung: der Sandboxie Ordner ist in Zukunft versteckt, weil Leute immer mal wieder Dateien in den Ordner kopiert haben, in der irrigen Annahme, die wären dort gegen jede Feuersbrunst und Erdbeben geschützt.



MfG

[Julian]

Die wichtigste Neuerung: der Sandboxie Ordner ist in Zukunft versteckt

Ich dachte eher, die wichtigste Neuerung wäre, dass in der Sandbox gestartete Malware keine Treiber mehr auf dem richtigen System installieren kann

[subset]

Das sollte sie auch schon vorher nicht können...

MfG

[Julian]

Das sollte sie auch schon vorher nicht können...

MfG

Bei ganz bestimmer Malware ist das mit Version 3.38 wohl möglich:
http://www.sandboxie.com/phpbb/viewtopic.php?t=6123

Es lebe der x64 Windows-Kernelschutz

[Peter 123]

Ich habe eine Frage an die Benutzer/innen von Sandboxie:

Meine Sandbox ist so eingestellt, dass ihr Inhalt automatisch gelöscht wird:



Ist unter dieser Voraussetzung eine Konstellation denkbar, dass nach dem Herunterfahren und Neustart des Computers der (frühere) Inhalt der Sandbox weiterhin vorhanden ist?

Genau das ist mir nämlich gestern rätselhafterweise passiert, und ich würde vor allem gern abklären, ob das mit der Verwendung von Shadow Defender in Zusammenhang stehen könnte.

Soweit ich das rekonstruieren kann, war der Ablauf folgender:

- Ich war (innerhalb der Sandbox) im Internet, insbesondere auch hier im Forum (eingeloggt und postend).

- Ich habe dann zu Testzwecken Shadow Defender gestartet und bin in den Schattenmodus gegangen. (Das Internet und damit die Sandbox hatte ich zuvor mit 99%-iger Sicherheit geschlossen.)

- Ich habe dann im Schattenmodus wieder das Internet benützt, und zwar wieder innerhalb der Sandbox. Soweit erinnerlich, war meine letzte Aktion wieder ein Posten hier im Forum.

- Anschließend habe ich den Computer heruntergefahren (im normalen Weg über Start ---> Ausschalten). Auch hier hatte ich zuvor höchstwahrscheinlich den Browser geschlossen und damit Sandboxie verlassen. (Das ist mir zur Routine geworden. Ein Vergessen darauf ist möglich, aber ziemlich ausgeschlossen.)

- Ich verließ dann das Haus und startete nach meiner Rückkehr wieder den Computer. Und zu meiner Überraschung waren da (vermutlich nach dem Start des Browsers in der Sandbox) sofort Webseiten zu sehen, die ich zuvor besucht hatte: nämlich konkret eine Seite dieses Forums, in dem ich weiterhin eingeloggt war (obwohl ich mich vor dem Verlassen immer abmelde), und eine Seite von Wikipedia (die ich ebenfalls irgendwann vor dem letzten Herunterfahren besucht hatte).

Und ich frage mich: Wie kann das passieren, wenn man den Browser ausschließlich in der Sandbox geöffnet hatte und diese automatisch geleert wird?

Ich habe einen - allerdings nur völlig unbestimmten - Verdacht, dass das "irgendwie" mit der Benützung von Shadow Defender zusammenhängen könnte. Ich habe nämlich im dortigen (englischsprachigen) Forum einen langen Thread gefunden, in dem von einem (möglichen) Konflikt zwischen Sandboxie und den zwei letzten Versionen von Shadow Defender die Rede ist (darunter die von mir benutzte Version 1.1.0.320). Es handelt sich um diesen Thread:
http://www.shadowdefender.com/phpbb/viewto...p?f=3&t=106

Was ich dort (überblicksmäßig) gelesen habe, hat mich sofort an mein gestriges Vorkommnis erinnert.

Klarstellen muss ich allerdings auch, dass ich keinerlei Ordner in der "Exclusion List" von Shadow Defender eingetragen habe, und natürlich schon gar nicht irgendeinen Sandboxie-Ordner (wie das in dem Thread zumindest im Szenario des ersten Postings der Fall ist). Bei mir war es gestern einfach so, dass der Browser (in meinem Fall Firefox) und damit Sandboxie zunächst ohne Shadow Defender und dann noch ein Zeit lang mit Shadow Defender (also im Schattenmodus) liefen, bevor ich den Computer abschaltete.

Ich habe heute noch mehrmals versucht, das Szenario von gestern zu reproduzieren; aber dieses merkwürdige Phänomen, dass nach dem Computerneustart früher besuchte Webseiten am Bildschirm waren, trat bisher nicht mehr auf.

Der Beitrag wurde von Peter 123 bearbeitet: 25.01.2010, 11:56

[SLE]

@Peter: Um ein genaues Urteil zu fällen sind mir zu viele "vielleicht" und "wahrscheinlich" im Post.

Zu dem im ShadowDefender Forum geschilderten Problem: Dies ist eine ziemlich merkwürdige (weltfremde?) Konstellation die dort geschildert wird: Einerseits nutzt man Sandboxie und ShadowDefender, andererseits erstellt man eine Ausnahme für den Sandbox Ordner. Das "Problem" ist reproduzierbar, die praktische Relevanz aber für mich nicht unbedingt ersichtlich. Bei dir scheint dieses Problem aber nicht der Fall zu sein.

Ist es in deinem Fall möglich, dass der Browser in der Sandbox schon lief und währenddessen Shadow Defender gestartet wurde? Dann wärst du nach einem Neustart nämlich wieder exakt an diesem Punkt: Das löschen der Sandbox durch Sandboxie geschah im Schattenmodus und wird selbstverständlich rückgängig gemacht. Andernfalls müsstest du versuchen das Problem zu reproduzieren.

[Peter 123]

Zu dem im ShadowDefender Forum geschilderten Problem: Dies ist eine ziemlich merkwürdige (weltfremde?) Konstellation die dort geschildert wird: Einerseits nutzt man Sandboxie und ShadowDefender, andererseits erstellt man eine Ausnahme für den Sandbox Ordner.

Natürlich, das sehe ich auch so. Auf so eine Idee würde ich nie kommen, und das ist, wie erwähnt, nicht mein Fall.

Um ein genaues Urteil zu fällen sind mir zu viele "vielleicht" und "wahrscheinlich" im Post.

Seriöserweise musste ich manches so vorsichtig formulieren, weil ich mich im Nachhinein nicht mehr an jedes Detail meiner gestrigen Computernutzung erinnern konnte. Wenn ich geahnt hätte, dass das geschilderte Phänomen auftritt, hätte ich natürlich viel mehr darauf geachtet.

Ist es in deinem Fall möglich, dass der Browser in der Sandbox schon lief und währenddessen Shadow Defender gestartet wurde?

Ja, das könnte sein. In diesem Fall hätte ich vergessen, den Browser zu schließen, bevor ich Shadow Defender startete - denn absichtlich mache ich so etwas nicht: Ich schließe immer den Browser, bevor ich eine Virtualisierung mit Shadow Defender oder Returnil starte. Aber als Versehen ist es durchaus denkbar, dass er (in der Sandbox) offen blieb.

Jetzt muss ich noch deine Schlussfolgerung durchdenken:

Dann wärst du nach einem Neustart nämlich wieder exakt an diesem Punkt: Das löschen der Sandbox durch Sandboxie geschah im Schattenmodus und wird selbstverständlich rückgängig gemacht.

Hmmm. Aber es wurde ja der Computer "real" heruntergefahren. Und hätte nicht allein dieser Umstand dazu führen müssen, dass das "letzte Programm in der Sandbox beendet wurde und die Sandbox unbenutzt wurde"? (Das sind ja die Kriterien für das automatische Löschen des Inhalts der Sandbox [s. Abbildung in meinem vorigen Posting].)
Also anders formuliert: Sobald ich den Computer herunterfahre (egal, ob aus dem Schattenmodus heraus oder aus dem "echten" Modus), müsste das doch zu einem Löschen des Sandboxinhalts führen (natürlich immer unter der Voraussetzung, dass die automatische Löschung aktiviert ist) - nämlich deshalb, weil der "Sandboxbetrieb" damit beendet wird.

Oder habe ich da jetzt einen Denkfehler??

Aber jedenfalls danke für deine Antwort. Was du schreibst, scheint mir im Moment die plausibelste Erklärung zu sein.

Der Beitrag wurde von Peter 123 bearbeitet: 25.01.2010, 15:02

[SLE]

Also anders formuliert: Sobald ich den Computer herunterfahre (egal, ob aus dem Schattenmodus heraus oder aus dem "echten" Modus), müsste das doch zu einem Löschen des Sandboxinhalts führen (natürlich immer unter der Voraussetzung, dass die automatische Löschung aktiviert ist) - nämlich deshalb, weil der "Sandboxbetrieb" damit beendet wird.
Oder habe ich da jetzt einen Denkfehler??

Alles was im Schattenmodus an Schreib- und Löschvorgängen erfolgt ist danach hinfällig. Demzufolge ist der PC nach einem Reboot wieder exakt in dem Zustand, an dem er vor dem Eintritt in den Schattenmodus war. (außer bei irgendwelchen Ausnahmen bzw. einer Übernahme bestimmter Änderungen)

Sandboxie hat also beim schließen/herunterfahren den Inhalt der Sandbox gelöscht. Da du aber im Schattenmodus warst wurden diese Änderungen "umgeleitet" in die Datei von ShadowDefender und waren nach Systemreboot hinfällig. Und wenn irgendwas (z.b. eine Browsersitzung/ein browserprofil) zum Zeitpunkt des Startes von ShadowDefender in der Sandbox war, sollte es nach Reboot wieder exakt in dieser Form vorhanden sein.

Der Beitrag wurde von SebastianLE bearbeitet: 25.01.2010, 15:16

[Peter 123]

Ja, genau so ist es!

Ich habe das Szenario soeben reproduziert, und es spielt sich genau wie von dir beschrieben ab:

- Firefox läuft in der Sandbox
- Ich öffne Shadow Protect und gehe in den Schattenmodus, ohne vorher Browser/Sandbox zu schließen.
- Ich surfe zunächst im Internet weiter, schließe dann den Browser.
- Die Sandbox leert sich (zu erkennen am roten Kreuz, das rechts unten kurz anstelle des Sandboxie-Symbols erscheint).
- Ich fahre den Computer herunter.

- Neustart
- Ich öffne Firefox innerhalb der Sandbox und gelange wieder zu genau jener Seite, die ich zuletzt geöffnet hatte, bevor ich in den Schattenmodus ging.

---> So war das dann auch gestern: Ich hatte vergessen, den Browser (und damit die Sandbox) zu schließen, bevor ich in den Schattenmodus wechselte.

Alles von dir messerscharf erkannt und analysiert! Vielen Dank, Sebastian.

[Habakuck]

Wie kann ich das Sandboxie Control Fenster immer im Vordergrund anzeigen lassen?

[Habakuck]

Ich frage das mal hier weil es wie ich finde am besten passt und ich nicht wüsste wie ich einen eigenen Thread nennen sollte.

Gibt es eine Lösung/Programm für folgendes Vorhaben:

Einen Brwoser so abschotten, dass kein nicht legitimiertes Programm von außerhalb auf den Browser zugriefen kann und auch keine Daten empfangen kann.
Also sozusagen einen sicheren Browser in dem man bedenkenlos Online Banking betreiben kann ohne das evtl. installierte Keylogger oder Screengrabber die Daten abgreifen können?

Ich weiss ich rede da grade quasi von PrevX Safe Online aber mich interessiert ob es eine andere Lösung dafür gibt.

An Safe Online nervt mich nämlich so einiges. Mal damit angefangen, dass es immer läuft und zum Beispiel verhindert, dass ich meine e-Bay Transaktionsbestätigng ausdrucken kann... *gnaa*

Diesen sicheren Browser könnte man dann ja nur zum online Banken öffnen und danach wieder schließen... so meine Überlegung.

[Peter 123]

Gibt es eine Lösung/Programm für folgendes Vorhaben:

Einen Brwoser so abschotten, dass kein nicht legitimiertes Programm von außerhalb auf den Browser zugriefen kann und auch keine Daten empfangen kann.
Also sozusagen einen sicheren Browser in dem man bedenkenlos Online Banking betreiben kann ohne das evtl. installierte Keylogger oder Screengrabber die Daten abgreifen können?
[....]
Diesen sicheren Browser könnte man dann ja nur zum online Banken öffnen und danach wieder schließen... so meine Überlegung.

Also wenn ich dein Anliegen richtig verstehe, dann bietet dir Sandboxie mit entsprechender Konfiguration genau diese Möglichkeit. Diverse allgemeine Konfigurationshinweise findest du an mehreren Stellen hier in diesem (zugegeben schon sehr umfangreichen) Thread. Ich erinnere mich außerdem dunkel, dass subset einmal eine Konfigurationsanleitung genau für jenen Fall gegeben hat, dass man in einer Sandbox nur Online-Banking machen will. Ich bin mir aber nicht sicher, ob das auch in diesem Thread steht. Irgendetwas habe ich mir einmal dazu notiert. Ich werde mal recherchieren und mich mit weiteren Informationen melden, wenn ich fündig werde.*

*) Na also. Dank meiner sorgfältigen Notizen habe ich es schon gefunden:
http://www.rokop-security.de/index.php?showtopic=18150
("Online-Banking mit Sandboxie")

[Wenn du die von subset in dem Thread angegebene bebilderte Anleitung bei ImageShack länger sehen willst [die Bilder laufen dort in kurzem Abstand hintereinander durch], dann kannst du mir das mitteilen. Ich habe die Bilder abgespeichert und würde sie in dem verlinkten Thread hochladen.]

Der Beitrag wurde von Peter 123 bearbeitet: 27.01.2010, 19:14

[Habakuck]

Sau cool! Danke Peter!

Nur bringt das eigentlich alles überhaupt nichts oder? =)

Ich hatte mir das auch mal so überlegt aber dann festegestellt, dass die sandboxie ja nur den realen Zugriff aufs System verhindert. Nicht aber den Zugriff vom System auf die Sandbox.
Also hindert sandboxie einen Keylogger doch nicht die Bohne daran die Daten mitzuschneiden oder liegt da ein Denkfehler vor?

Der Beitrag wurde von Habakuck bearbeitet: 28.01.2010, 19:39

[Julian]

Also hindert sandboxie einen Keylogger doch nicht die Bohne daran die Daten mitzuschneiden oder liegt da ein Denkfehler vor?

Leider nein. Aber das PDM und die Programmkontrolle von KIS können diese Lücke auf x64 ganz gut füllen.

[Peter 123]

Hmmm, ich glaube es ist ein Denkfehler, Habakuck. Subset kann dir das sicher alles besser erklären. Aber soweit ich das durchblicke, ist es doch so: Du "kommunizierst" mit deiner Bank über die speziell konfigurierte Sandbox. In dieser darf nur dein Browser starten und laufen:



Und weiters hat nur er (= dieser Browser) Zugriff auf das Internet:



Also könnte ein Keylogger (selbst wenn er sich theoretisch in der Sandbox befände) keinen Schaden anrichten.

So steht es auch auf der Sandboxie-Seite selbst:

Another protection measure against a key-logger is to configure Sandboxie to deny access to the Internet for anything other than your Web browser, in an attempt to prevent the key-logger from sending out the recorded information.

(http://www.sandboxie.com/index.php?DetectingKeyLoggers)

---> Also ich denke, bei entsprechender Konfiguration der Sandbox brauchst du dir wegen Keyloggern keine Gedanken zu machen.

PS:
Das hat sich mit Julians Posting überschnitten. Dann steht jetzt Aussage gegen Aussage.

Der Beitrag wurde von Peter 123 bearbeitet: 28.01.2010, 20:18

[Julian]

Das hat sich mit Julians Posting überschnitten. Dann steht jetzt Aussage gegen Aussage.

Nein.
Sandboxie erkennt keine Keylogger. Es kann nur die Starterlaubnis für Programme einschränken, nach dem Motto: "Was nicht startet, kann auch nicht keyloggen."
Ob ein Programm außerhalb, oder gezielt innerhalb der Sandbox gestartet, keylogt, weiß Sandboxie nicht. Ich würde wegen dem Aufwand, der zur Verfügung stehenden sichereren Alternativen (HBCI, Anti-Keylogger-Software) nicht auf eine "Banking-Sandbox" zurückgreifen.

Der Beitrag wurde von Julian bearbeitet: 28.01.2010, 20:25

[SLE]

Also könnte ein Keylogger (selbst wenn er sich theoretisch in der Sandbox befände) keinen Schaden anrichten.

So steht es auch auf der Sandboxie-Seite selbst:

(http://www.sandboxie.com/index.php?DetectingKeyLoggers)

M.W. bezieht sich dies nur auf Keylogger die in der Sandbox laufen - nicht auf solche, die auf dem realen System ihr Unwesen treiben.

Der Beitrag wurde von SebastianLE bearbeitet: 28.01.2010, 20:30

[Gast_Solaris_*]

Hi

Ich habe im letzten Spätsommer einige Keylogger-Tests (und auch andere) mit Sandboxie durchgeführt. Ja, die Programme können in der Sandbox mitloggen, es aber nicht verschicken, da entsprechend der Konfiguration (ein Eintrag), nur der Webbrowser auf das Internet zugreifen darf. Sandboxie generiert Fenster, auf denen sinngemäß steht: XY wurde der Zugriff auf das Internet nicht gestattet.

Bis auf wenige Ausnahmen sind die gängigen AV-Programme mit Keyloggern maßlos überfordert, Mir persönlich reicht die Absicherung über Sandboxie (paid) beim Browsen völlig aus. Ansonsten ist man breitflächiger natürlich mit den Lösungen, wie @Julian sie genannt hat, besser bedient. Man führt ja nicht jedes Programm in der Sandbox aus.

EDIT: Jepp, @Sebastian LE hat es schon vorher gepostet

Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 28.01.2010, 20:34

[Peter 123]

M.W. bezieht sich dies nur auf Keylogger die in der Sandbox laufen - nicht auf solche, die auf dem realen System ihr Unwesen treiben.

O.k., ich bin davon ausgegangen, dass man Online-Banking ohnedies nur dann betreibt, wenn man ein (nach menschlichem Ermessen) sauberes und daher auch von Keyloggern freies System hat.

Und dazu:

Ich habe im letzten Spätsommer einige Keylogger-Tests (und auch andere) mit Sandboxie durchgeführt. Ja, die Programme können in der Sandbox mitloggen, es aber nicht verschicken, da entsprechend der Konfiguration (ein Eintrag), nur der Webbrowser auf das Internet zugreifen darf. Sandboxie generiert Fenster, auf denen sinngemäß steht: XY wurde der Zugriff auf das Internet nicht gestattet.

Damit ist der (Schutz-)Zweck der Sandbox ja erfüllt.

Das habe ich allerdings noch nicht ganz verstanden:

Ja, die Programme können in der Sandbox mitloggen, [...]

Nur dann, wenn sie auch in der Sandbox drinnen sind, oder auch solche (Keylogger), die sich im realen System festgesetzt haben? (Das wäre dann der von SebastianLE angesprochene Fall.)


Der Beitrag wurde von Peter 123 bearbeitet: 28.01.2010, 20:50

[Julian]

Ich habe im letzten Spätsommer einige Keylogger-Tests (und auch andere) mit Sandboxie durchgeführt. Ja, die Programme können in der Sandbox mitloggen, es aber nicht verschicken, da entsprechend der Konfiguration (ein Eintrag), nur der Webbrowser auf das Internet zugreifen darf. Sandboxie generiert Fenster, auf denen sinngemäß steht: XY wurde der Zugriff auf das Internet nicht gestattet.

Auch wieder war. Aber wenn man sowieso schon darauf bedacht ist, dass dann keine weiteren Programme als der Browser in der Banking-Sandbox laufen, also auch keine in einer anderen, was für die wasserdichte Sicherheit dieses Konzepts notwendig wäre (Schwachstelle: menschliches Versagen), dann kan man auch mal eben die Sandboxen leeren bzw. sollte das eh Standard für eine Browser-Sandbox sein, und dann ruft man eben direkt, ohne Umwege, die Bankseite auf. Klingt vielleicht nicht komfortabel, ist aber eine Sache von wenigen Klicks und Sekunden.

Etwas OT: Zum Herumexperimentieren mit Keyloggern braucht man IMO kein großes Keylogger-Arsenal. Der AKLT scheint alle öffentlich bekannten Methoden abzudecken. Hab noch keine Malware gesehen, die sich an einem HIPS , was alle Methoden von AKLT erkennt (Das sind auf x32 praktisch alle.), vorbeimogelt.

Edit: Nettes Technikgespräch, Spielkinners unter sich.

Der Beitrag wurde von Julian bearbeitet: 28.01.2010, 20:53