Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[flachbrot]

Das ist in dem Fall egal, da es sich um einen Bug/eine Inkompatibilität handelt.


Nicht wirklich, denn auch vorher konnte doch Chrome machen, was er wollte, weil er als sicher eingestuft war.
Außerdem läuft er ja in Sandboxie.

Okay, dann lass ich das mal so laufen.
Vielen Dank für Deine Hilfe !

[hwfx]

Habe mir jetzt auch Sandboxie installiert. Bin mit dem Programm recht zufrieden, würde jedoch gerne die Funktion nutzen, ausgwählte Programme automatisch in der Sandbox starten zu lassen, damit ich Schadprogramme nicht ausversehen außerhalb starte.

Möchte mir eine lifetime Lizenz kaufen, jedoch ist diese mir etwas zu teuer. Ist es möglich sich die Lizenz mit jemanden zu teilen, sodass beide diese parallel nutzen können und sich die kosten teilen?

Der Beitrag wurde von hwfx bearbeitet: 08.06.2011, 20:34

[SLE]

Möchte mir eine lifetime Lizenz kaufen, jedoch ist diese mir etwas zu teuer. Ist es möglich sich die Lizenz mit jemanden zu teilen, sodass beide diese parallel nutzen können und sich die kosten teilen?

Lizenzrechtlich auf keinem Fall. Spare etwas, dann hast du für ca. 35 Euro ein Programm was ständig gewartet wird, wofür du nur einmal zahlen musst und was du auf allen deinen Rechnern nutzen darfst.

[hwfx]

Aber technisch ist es möglich ohne das es verhindert wird? Bei anderen Programmen zb darf ich meine Lizenz ja zeitgleich nur auf einem PC benutzen. Finanziell gesehen ist es natürlich für den Entwickler besser wenn jeder seine eigene Lizenz kauft. In meinen Augen, als Schüler jedoch besser wenn ich mir das mit einem Freund teilen kann.

[Clap]

Hallo,

gibt jetzt die neue Version 3.56

http://www.sandboxie.com/

[SLE]

Sandboxie Version 3.56 wurde heute endlich veröffentlicht
...mit einigen spannenden neuen Features

Changelog:

Wichtigste Verbesserungen:

• experimenteller Schutz für 64bit Versionen von Sandboxie (Im Kernelmodus, d.h. analoger Schutz zu x86)
• Programmgruppen können jetzt auf andere Programmgruppen verweisen und entsprechend in den Ausführungs-/Zugriffseinstellungen verwendet werden
• 16bit Programme werden in der Sandbox geblockt
• cmd.exe in Sandboxie ermittelt den richtigen Pfad
• Neue CLI-Option: Start.exe /wait

Usability Verbesserungen:

• Der Dialog "in der Sandbox starten" enthält eine Erklärung der DropMyRights Option
• Desktop.ini Dateien erscheinen nicht in den Wiederherstellungsassistenten (Schnelle und sofortige Wiederherstellung)
• Verbesserungen bei der Funktion die Sandbox umzubenennen
• Einstellungen einer existierenden Sandbox können auf eine neu erstellte übertragen werden!

Behobene Probleme:

• Probleme bei der Hardwarebeschleunigung in einigen Browsern
• Probleme beim Drucken auf Netzwerkdruckern
• Probleme mit dem verweilen des SandboxieCrypto Prozesses in der Sandbox
• Probleme das Sandboxie Control nach der Installation nicht starten konnte, falls die UAC aktiv war
• Probleme bei der Installation von ActiveX Komponenten wenn der IE unter Sandboxie lief
• Probleme bei der Installation auf einigen x64 Systemen
• Probleme bei der sofortigen Wiederherstellung in zu lange Pfade

Kompatibilitätsverbesserungen mit:

• Office 2010 Protected Mode.
• Media Playern: The KMPlayer, PotPlayer, Media Player Classic - Home Cinema.
• Security Software: F-Secure 2011, McAfee Total Protection, Sophos Anti-Virus, Trend Micro Browser Guard 2011, Trusteer Rapport, Vipre Antivirus, WehnTrust HIPS for 2000/XP/2003.
• Anderer Software: Babylon, DragonSaga, File-Ex, Nitro PDF 6.

Der Beitrag wurde von SebastianLE bearbeitet: 17.06.2011, 16:27

[Gast_Ricard_*]

[*]experimenteller Schutz für 64bit Versionen von Sandboxie (Im Kernelmodus, d.h. analoger Schutz zu x86)

Danke für die Info. Heißt das jetzt, dass mein Rechner eine Beta-Version aushalten muss oder wie ist das zu verstehen?

[SLE]

Danke für die Info. Heißt das jetzt, dass mein Rechner eine Beta-Version aushalten muss oder wie ist das zu verstehen?

Nein. Es heißt das M$ offiziell keinen Bypass für PatchGuard anbietet, Tzuk aber einen Weg gefunden hat.
Experimentell deshalb: Ein PatchGuard Update seitens M$ könnte dies zunichte machen, von daher kannst(musst) du es in den Optionen aktivieren.

Der Beitrag wurde von SebastianLE bearbeitet: 17.06.2011, 17:44

[Julian]

Interessant ist auch diese Aussage von tzuk:

You should generally enable the Experimental Protection mode, unless there is some reason not to do this.

Quelle
Zu Deutsch: Feature einschalten, so lange es keinen Grund dagegen gibt.
Den gibt es bisher IMO nicht, bei den letzten umfangreichen Patches für den Windows-Kernel gab es keine Probleme mit dem experimentellen Schutz. Und wahrscheinlich wird Microsoft auch nicht gerade morgen ein Update für Patchguard raushauen, das tzuks Methode wieder zu nichte macht.

Das Programm ist einfach das sicherste seiner Art.

[Gast_Ricard_*]

Das Programm ist einfach das sicherste seiner Art.

Das gilt aber auch für die ganze TDL-4/5-Generation dann auch, oder? Ich freue mich zwar über den Fortschritt von Tzuk, aber irgendwie hoffe ich dennoch auf das nächste Update von Patchguard!

[SLE]

Das gilt aber auch für die ganze TDL-4/5-Generation dann auch, oder? Ich freue mich zwar über den Fortschritt von Tzuk, aber irgendwie hoffe ich dennoch auf das nächste Update von Patchguard!

Tzuk geht nicht in den MBR und spielt dann mit Filtertreibern
Dennoch - auch ich bin gespannt ob sich bezüglich PG irgendwas tut und M$ die Haltung ändert - mehrere Rootkits stören sich immerhin nicht mehr daran, warum andere Hersteller "auf Krampf" ausschließen?

[Gast_Ricard_*]

Dennoch - auch ich bin gespannt ob sich bezüglich PG irgendwas tut und M$ die Haltung ändert

Ist es denn die Haltung, oder das technische Know-How? Eine ernstgemeinte Frage und nicht rhetorisch zu verstehen.

[Julian]

Patchguard funktioniert doch.
Es geht um die Erzwingung von signierten Treibern, die TDSS bia bcdedit abschaltet. Da gab es aber ein Sicherheits-KB von MS. Mit dem installiert, hab ich in meiner VM noch kein TDSS-Sample unter x64 wieder zum Laufen gekriegt.
Hinsichtlich Patchguard muss also nichts geändert werden, nur gegen das Umgehen der Treiber-Signaturerzwingung via MBR.
Wenn es irgendwann wieder vermehrt auf x64 lauffähige TDSS-Samples geben wird, würde MS bestimmt wieder nachbessern.

In der von mir verlinkten Quelle steht übrigens auch:

Version 3.56 of Sandboxie introduces the Experimental Protection feature, which can provide the missing kernel functionality through semi-official kernel interfaces. This is very similar to what the 32-bit edition of Sandboxie does, and does not circumvent Kernel Patch Protection or diminish its protection in any way.

[Gast_Ricard_*]

and does not circumvent Kernel Patch Protection or diminish its protection in any way.

Und wie soll das funktionieren? Bypass ist bypass. Da macht MS keine Ausnahmen zwischen gut oder böse. Selbst namhaftere IT-Unternehmen nutzen User-Hooks auf x64-Systemen.

[Julian]

Und wie soll das funktionieren? Bypass ist bypass.

Vielleicht eignet sich die Methode nicht für Rootkit-Funktionalität.
Vielleicht funktioniert es nicht, ohne gleichzeitig die Treibersignaturerzwingung zu umgehen.
Vielleicht...
Keine Ahnung, frag tzuk. Ob er über die Frage begeistert sein wird, wage ich aber zu bezweifeln.

Da macht MS keine Ausnahmen zwischen gut oder böse. Selbst namhaftere IT-Unternehmen nutzen User-Hooks auf x64-Systemen.

Sorry, ich versteh den Zusammenhang zwischen dem ersten und dem zweiten Satz nicht.

[Gast_Ricard_*]

Sorry, ich versteh den Zusammenhang zwischen dem ersten und dem zweiten Satz nicht.

Ich spreche davon:

Sandboxie driver hooks in kernel to protect resources from sandboxed processes

Ich meine, Sandboxie muss doch Kernel-Hooks setzen, um die Container zu erstellen. Und wie soll das gehen mit PG-NTC-Schutz?

Der Beitrag wurde von Ricard bearbeitet: 18.06.2011, 00:37

[Julian]

Ich meine, Sandboxie muss doch Kernel-Hooks setzen, um die Container zu erstellen. Und wie soll das gehen mit PG-NTC-Schutz?

Es gibt ja seit Vista SP1 APIs, die schon einiges an Kontrolle im Kernelmode möglich machen.
tzuk hatte bei Erklärungen nicht wirklich weit ausgeholt, aber das oder eines der Hauptprobleme ist wohl, Zugriffe auf den Service Control Manager zu kontrollieren. Über den lassen sich Dienste steuern. Wenn der Zugriff auf den also nur im Usermode erfolgt, ist es für Malware unter Umgehung der Usermode-Hooks möglich, Dienste außerhalb der Sandbox zu erstellen und zu starten -> breakout.
Das ist jetzt mit dem expirementellen Schutz nicht mehr möglich, weshalb tzuk wohl so sehr empfiehlt, diesen zu nutzen. Es ist also sehr gut, dass tzuk diesen Weg gegangen ist.

Die Möglichkeit, die tzuk genutzt hat, ist auch anderen Experten bekannt.
Es ist allerdings keine Malware bekannt, die die Methode von tzuk nutzt.

Wenn tzuk sagt, die Methode ist kein Sicherheitsrisiko, dann wird da wohl was dran sein.
Wo ist das Problem?
Freu dich lieber für den Moment, dass Sandboxie x64 so sicher ist.

Aber wer weiß, wie sich das noch entwickelt.

[Gast_Scrapie_*]

Hallo

Versuche gerade in Sandboxie den eigenen Programmordner (D:\Sandboxie\) für Programme in der Sandbox zu sperren. Leider quitiert Sandboxie dann mit der Fehlermeldung, dass sein Dienst "RpcSs" nicht gestartet werden kann. Daher meine Frage an die Profis hier:

- Macht das überhaupt Sinn, den Sandboxie-Programmordner (nicht den Ordner, in dem die Dateien gespeichert / emuliert werden) zu sperren?
- Wenn ja, wie krieg ich das hin, ohne die besagte Fehlermeldung?


Cheers,
Scrapie

[SLE]

Du sprichst also vom Sandboxie Installationsordner? Dann erhalte ich auch diese Fehlermeldung, die denke ich normal ist. Die Dateien die zur Emulation der Dienste verwendet werden befinden sich ja in diesem Ordner, gerade RPCSS (SandboxieRpcSs.exe) und DCOMLaunch (SandboxieDcomLaunch.exe) ermöglichen es ja Programmen erst in der Sandbox zu laufen und andere Programme zu starten. Also sollte zumindest Lesezugriff für diese bestehen.

Wenn du den Sandboxie Installationsordner für Programme in Sandboxie wirklich zusätzlich einschränken willst (Mehrwert ist IMO nur theoretisch), gehe nicht komplett über "Zugriff verweigern", sondern wähle "Nur Lese Zugriff, dann müsste es funktionieren.

Edit: btw. habe vorhin deine Frage im BSA-Thread (Sbxie Forum) gesehen. Noch aktuell? Hier alles aktiviert?:
 bsa.jpg ( 68.9KB ) Anzahl der Downloads: 28


Der Beitrag wurde von SebastianLE bearbeitet: 18.06.2011, 23:29

[Gast_Scrapie_*]

Hi SebastianLE

Okay, hab's jetzt auf "Nur Lese-Zugriff" stehen, wobei ich mir fast sicher bin, früher einmal D:\ komplett gesperrt zu haben - und Sandboxie ist auf D:\ installiert. Egal ...
Jupp, alle Haken gesetzt in BSA, trotzdem ist in der INI alles auf "False" und ich krieg die Hashes einfach nicht in der Report.txt. Werde Alles nochmal neu aufsetzen. Da ist irgendwo der Wurm drinne denke ich.


Danke für deine Hilfe,
Scrapie