gjf
Чем больше информации, тем лучше - такое моё мнение.
Чем больше информации, тем лучше - такое моё мнение.
» Sandboxie
имхо надо дописать в шапку (пропустил)
Для работы с 64-битными ОС скачайте специальную версию программы - http://www.sandboxie.com/SandboxieInstall64.exe Обратите внимание: для того, чтобы программа работала в 64-разрядной Windows XP, необходимо перед инсталляцией Sandboxie удалить пакет обновлений Windows Update KB932596.
Добавлено:
чтоб не потерялось уже добавил и исправил опечатку
Цитата:
Для работы с 64-битными ОС скачайте специальную версию программы - http://www.sandboxie.com/SandboxieInstall64.exe Обратите внимание: для того, чтобы программа работала в 64-разрядной Windows XP, необходимо перед инсталляцией Sandboxie удалить пакет обновлений Windows Update KB932596.
Добавлено:
чтоб не потерялось уже добавил и исправил опечатку
Цитата:
Скачать полследнюю бета-версию
Есть Buster Sandbox Analyzer - довольно мощная тулза с оффсайтом. Есть AntiDelete - тоже довольно удобная штука для эмуляции удаления песочным программам с реальным сохранением удаляемых файлов. Ну и есть Block Process Access, который кое в чём дополняет функционал Buster'a, но и вызывает конфликты. Для предотвращения нужно всегда библиотеку Block Process Access инжектировать до Buster'a.
Если честно - просто не знаю, как в шапку загнать инфу по прикручиванию этих аддонов и их фукнкционалу. По Buster'у вообще можно отдельную ветку делать - очень многогранная утилита. Правда, мало кто её на РБ пользует, видимо...
Если честно - просто не знаю, как в шапку загнать инфу по прикручиванию этих аддонов и их фукнкционалу. По Buster'у вообще можно отдельную ветку делать - очень многогранная утилита. Правда, мало кто её на РБ пользует, видимо...
gjf
Цитата:
Недопонял в чем прелесть данной тулзы.
Без понимания сути отчета - она бесполезна, с пониманием отчета - кроме наглядности (и то не всегда) достоинств не заметил.
Что я недопонимаю ?
Цитата:
Buster Sandbox Analyzer
Недопонял в чем прелесть данной тулзы.
Без понимания сути отчета - она бесполезна, с пониманием отчета - кроме наглядности (и то не всегда) достоинств не заметил.
Что я недопонимаю ?
DSAndy 08:00 30-06-2010
Цитата:
исправил.
gjf надо бы сначало описать, кратко и понятно для всех, что эти программы делают и зачем их использовать совместно с сабжем. Если вы затрудняетесь с формулировками и по вашему это может затянуться, может открыть отдельную тему в тестирование?
Если не открывать тему, то тогда снова под тегом море выложим вариант поправки. А потом внесём в шапку.
[more=Buster Sandbox Analyzer] Buster Sandbox Analyzer – главная цель этой утилиты – проанализировать поведения утилиты, запущенной в песочнице (sandbox) и определить, не является ли ее деятельность вредной для системы.[/more] вот если, что поправьте. gjf пока напишите такое описани для всех этих плагов такое описание. Потом впишем в шапку что-то типа:
Полезные плагины для работы с программой:
Есть Buster Sandbox Analyzer - [more=подробней] Buster Sandbox Analyzer – главная цель этой утилиты – проанализировать поведения утилиты, запущенной в песочнице (sandbox) и определить, не является ли ее деятельность вредной для системы.[/more](тут будет описание утилит, а со временем, после того как обкатаем, лично я ещё не пользовался, так что как соединять и ставить не знаю, если вы можете сразу напишите рекомендации по установке.
Есть AntiDelete - подробней (и т.д.)
Block Process Access - подробней (и т.д.)
Цитата:
Нужно подправить шапку:
Sandboxie - программа, позволяющая позволяет повысить...
исправил.
gjf надо бы сначало описать, кратко и понятно для всех, что эти программы делают и зачем их использовать совместно с сабжем. Если вы затрудняетесь с формулировками и по вашему это может затянуться, может открыть отдельную тему в тестирование?
Если не открывать тему, то тогда снова под тегом море выложим вариант поправки. А потом внесём в шапку.
[more=Buster Sandbox Analyzer] Buster Sandbox Analyzer – главная цель этой утилиты – проанализировать поведения утилиты, запущенной в песочнице (sandbox) и определить, не является ли ее деятельность вредной для системы.[/more] вот если, что поправьте. gjf пока напишите такое описани для всех этих плагов такое описание. Потом впишем в шапку что-то типа:
Полезные плагины для работы с программой:
Есть Buster Sandbox Analyzer - [more=подробней] Buster Sandbox Analyzer – главная цель этой утилиты – проанализировать поведения утилиты, запущенной в песочнице (sandbox) и определить, не является ли ее деятельность вредной для системы.[/more](тут будет описание утилит, а со временем, после того как обкатаем, лично я ещё не пользовался, так что как соединять и ставить не знаю, если вы можете сразу напишите рекомендации по установке.
Есть AntiDelete - подробней (и т.д.)
Block Process Access - подробней (и т.д.)
Мне вот такого хватает:
--sandboxie reg export.cmd--
REG LOAD HKLM\uuusandboxuuu C:\Sandbox2\ndch\DefaultBox\RegHive
REG EXPORT HKLM\uuusandboxuuu sandbox.reg
REG UNLOAD HKLM\uuusandboxuuu
--sandboxie reg export.cmd--
Просмотр файлов:
C:\Sandbox2\user\DefaultBox\
Для мониторинга сетевой активности:wireshark
С wifi не игрался.
В "bsa" пункт view log api - недоступен. Почему ?
--sandboxie reg export.cmd--
REG LOAD HKLM\uuusandboxuuu C:\Sandbox2\ndch\DefaultBox\RegHive
REG EXPORT HKLM\uuusandboxuuu sandbox.reg
REG UNLOAD HKLM\uuusandboxuuu
--sandboxie reg export.cmd--
Просмотр файлов:
C:\Sandbox2\user\DefaultBox\
Для мониторинга сетевой активности:wireshark
С wifi не игрался.
В "bsa" пункт view log api - недоступен. Почему ?
Nimbussr откоректируй в шапке ссылку на офф. сайт. у мя что-то не получилось.
regist123
Вышеприведенное BSA описание считаю в корне неверным.
Buster Sandbox Analyzer – создает отчет о подозрительных/вредоносных изменениях, основанных на следах работы программы, запущеной в sandboxie.
Две разные вещи: активный и пассивный мониторинг.
Пример: filemon (Russinovich) и dir /s /a /ogn c:\ >log1 ; dir /s /a /ogn c:\ >log2 ; fc log1 log2 > diff
Добавлено:
Process Monitor никто не отменял.
И вот если бы BSA использовала и его в том числе - было бы гораздо интереснее.
Из простого можно было Autoruns добавить. Хотя уже вроде что-то сделано.
Вышеприведенное BSA описание считаю в корне неверным.
Buster Sandbox Analyzer – создает отчет о подозрительных/вредоносных изменениях, основанных на следах работы программы, запущеной в sandboxie.
Две разные вещи: активный и пассивный мониторинг.
Пример: filemon (Russinovich) и dir /s /a /ogn c:\ >log1 ; dir /s /a /ogn c:\ >log2 ; fc log1 log2 > diff
Добавлено:
Process Monitor никто не отменял.
И вот если бы BSA использовала и его в том числе - было бы гораздо интереснее.
Из простого можно было Autoruns добавить. Хотя уже вроде что-то сделано.
regist123
Сделано. Надо добавлять http:// перед www
Сделано. Надо добавлять http:// перед www
ndch
я же не спорю и в шапку как неоспоримое не засовываю, как разобрался так и написал. уже писал, что этим пока не пользовался. так что не знаю, что там к чему. Если можете напишите своё описание.
Astra55
я же не спорю и в шапку как неоспоримое не засовываю, как разобрался так и написал. уже писал, что этим пока не пользовался. так что не знаю, что там к чему. Если можете напишите своё описание.
Astra55
regist123
Buster Sandbox Analyzer – создает отчет о подозрительных/вредоносных изменениях, основанных на следах работы программы, запущеной в sandboxie.
При этом "Anti Delete" действительно удобная штучка:
Предотвращает удаление файлов "внутри песочницы" программами запущенными "внутри песочницы".
Полезна для исследования деятельности вредоносных программ.
Buster Sandbox Analyzer – создает отчет о подозрительных/вредоносных изменениях, основанных на следах работы программы, запущеной в sandboxie.
При этом "Anti Delete" действительно удобная штучка:
Предотвращает удаление файлов "внутри песочницы" программами запущенными "внутри песочницы".
Полезна для исследования деятельности вредоносных программ.
Из прочитанного я делаю вывод, что никто даже не потрудился пройти по ссылкам, которые я указал для аддонов. Хорошо, сделаю это для Вас.
Все аддоны являются инжектируемыми в песочный процесс библиотеками.
AntiDelete - уже описал уважаемый ndch.
Block Process Access - осуществляет перехват следующих функций:
- NtOpenProcess
- NtQuerySystemInformation
- NtReadVirtualMemory
- CreateToolhelp32Snapshot
- BlockInput
- InternalGetWindowText
- GetWindowTextA/W
- SendMessageA/W
> WM_GETTEXT
В результате:
- песочный процесс не может определить другие процессы и потоки, запущенные на системе вне песочницы (включая функции Toolhelp32 и PSAPI)
- блокируется доступ к процессам вне песочницы, включая чтение их памяти
- песочные процессы не могут заблокировать клавиатуру и мышь с помощью функции BlockInput
- не даёт песочным процессам читать заголовки и текст других окон
Зачем это нужно и когда полезно - догадаетесь.
Buster Sandbox Analyzer - серьёзный и достаточно мощный инструмент исследования поведения неизвестных программ. Используется для оценки зловредности, включает встроенный автоматический анализатор, но куда более интересный лог API-вызовов, журнал сетевой активности и т.д. Очень удобен и зачастую позволяет заменить вирлаб на собственные мозги, но безусловно требует определённого уровня знаний и подготовки. Весь функционал подробно изложен в мануале на оффсайте.
Все аддоны являются инжектируемыми в песочный процесс библиотеками.
AntiDelete - уже описал уважаемый ndch.
Block Process Access - осуществляет перехват следующих функций:
- NtOpenProcess
- NtQuerySystemInformation
- NtReadVirtualMemory
- CreateToolhelp32Snapshot
- BlockInput
- InternalGetWindowText
- GetWindowTextA/W
- SendMessageA/W
> WM_GETTEXT
В результате:
- песочный процесс не может определить другие процессы и потоки, запущенные на системе вне песочницы (включая функции Toolhelp32 и PSAPI)
- блокируется доступ к процессам вне песочницы, включая чтение их памяти
- песочные процессы не могут заблокировать клавиатуру и мышь с помощью функции BlockInput
- не даёт песочным процессам читать заголовки и текст других окон
Зачем это нужно и когда полезно - догадаетесь.
Buster Sandbox Analyzer - серьёзный и достаточно мощный инструмент исследования поведения неизвестных программ. Используется для оценки зловредности, включает встроенный автоматический анализатор, но куда более интересный лог API-вызовов, журнал сетевой активности и т.д. Очень удобен и зачастую позволяет заменить вирлаб на собственные мозги, но безусловно требует определённого уровня знаний и подготовки. Весь функционал подробно изложен в мануале на оффсайте.
Знатоки, извините, что отвлекаю:
Sandboxie - предназначена только для использования в on-line передвижении
или и для тестирования какой-то неизвестной программы, запуск
которой производится при выключенном выходе в Сеть?
Sandboxie - предназначена только для использования в on-line передвижении
или и для тестирования какой-то неизвестной программы, запуск
которой производится при выключенном выходе в Сеть?
Ladir
А что такое
Цитата:
Sandboxie заставляет программу думать, что она вносит изменения в систему, но на самом деле не позволяет ей этого делать. С результатом работы программы можно впоследствии ознакомиться - все файлы лежат, но не в системных папках, а в специально отведённом для этого месте с сохранением структуры. То же касается и реестра. Выходли невыход в сеть в данном случае роли не играет - можно давать, а можно и нет.
А что такое
Цитата:
в on-line передвижении
Sandboxie заставляет программу думать, что она вносит изменения в систему, но на самом деле не позволяет ей этого делать. С результатом работы программы можно впоследствии ознакомиться - все файлы лежат, но не в системных папках, а в специально отведённом для этого месте с сохранением структуры. То же касается и реестра. Выходли невыход в сеть в данном случае роли не играет - можно давать, а можно и нет.
gjf
Цитата:
Объясните как пользоваться с толком: видимо я что-то делала не так, но
Цитата:
Цитата:
но куда более интересный лог API-вызовов
Объясните как пользоваться с толком: видимо я что-то делала не так, но
Цитата:
В "bsa" пункт view log api - недоступен. Почему ?
ndch
Цитата:
Цитата:
Весь функционал подробно изложен в мануале на оффсайте.
Ladir
Ladir, попробую объяснить немного проще чем gjf:
sandboxie изначально задумывалась как песочница для ie. Этот функционал остался.
Но! В sandboxie можно запрещать доступ к сети, а также можно его разрешать.
Т.о. можно изолировать браузер от системы. (одна из функций)
Например помогает от модных "вирусов"
Но также можно использовать для тестирования какой-то неизвестной программы, запуск
которой производится как при выключенном выходе в Сеть, так и с доступом в сеть.
Измененые "файлы" и изменения в "реестре" хранятся в директории "C:\Sandbox" по умолчанию.
Некоторые громоздкие программные пакеты (например фотошоп цс3-цс5) не функционируют должным образом из-за того что не все удается "загнать в песочницу с сохранением функционала".
Но очень многое отлично работает.
Я таким образом накопил для себя достаточно большое количество программ, не требующих установки.
Т.е. заархивировал и перенёс на другой комп. Всякие настройки/регистрации довольно неплохо копируются посредством "экспорта изменений реестра".
Одно время тут упоминали что страшно в абже запускать вирусы-может теоретически вылезти, но я например этого особо то и не боюсь. Бэкап-страшная сила
Ladir, попробую объяснить немного проще чем gjf:
sandboxie изначально задумывалась как песочница для ie. Этот функционал остался.
Но! В sandboxie можно запрещать доступ к сети, а также можно его разрешать.
Т.о. можно изолировать браузер от системы. (одна из функций)
Например помогает от модных "вирусов"
Но также можно использовать для тестирования какой-то неизвестной программы, запуск
которой производится как при выключенном выходе в Сеть, так и с доступом в сеть.
Измененые "файлы" и изменения в "реестре" хранятся в директории "C:\Sandbox" по умолчанию.
Некоторые громоздкие программные пакеты (например фотошоп цс3-цс5) не функционируют должным образом из-за того что не все удается "загнать в песочницу с сохранением функционала".
Но очень многое отлично работает.
Я таким образом накопил для себя достаточно большое количество программ, не требующих установки.
Т.е. заархивировал и перенёс на другой комп. Всякие настройки/регистрации довольно неплохо копируются посредством "экспорта изменений реестра".
Одно время тут упоминали что страшно в абже запускать вирусы-может теоретически вылезти, но я например этого особо то и не боюсь. Бэкап-страшная сила
ndch
Цитата:
Не может. Я уже выше писал максимум "страшного", что может произойти, и как этого избежать.
Цитата:
страшно в абже запускать вирусы-может теоретически вылезти
Не может. Я уже выше писал максимум "страшного", что может произойти, и как этого избежать.
Да, ndch, ты прав на счёт фотошопа. Я общался с разработчиком, он говорит что не собирается отлаживать песочницу под это приложение (что-то мне про лицензирование втирал). Очень жаль, ведь много софта работает в sandboxie, я и компас запихал и офис 2010 (автокад... ну никак...). А главное, что всё это добро, можно так сказать - "портабельно".
ndch
gjf
А что же пинчи? разве песочница поможет если уведут все пароли и ключи?
Аналогично и всякие шадовдефендеры бесполезны тут.Вывод,совсем без антивируса нельзя.
gjf
А что же пинчи? разве песочница поможет если уведут все пароли и ключи?
Аналогично и всякие шадовдефендеры бесполезны тут.Вывод,совсем без антивируса нельзя.
Вы, господа, льете из пустого в порожнее и ломитесь в открытую дверь 
Сандбокси не что иное, как разновидность виртуального контейнера, такого же как ThinApp и иже с ним. Несколько иначе реализованный функционал не должен вводить в заблуждение, основные принципы остаются незыблемыми. Что может быть портабелизировано, будет работать и в Сандбокси. И наоборот. Разница лишь в том, что Сандбокси является временной оболочкой, а тот же ThiApp представляет собой незыблемый контейнер, изменить которой невозможно в принципе, хотя с другой стороны, можно внести временные изменения в любую его составляющую. Поэтому не питайте иллюзий насчет
Цитата:
Сандбокси не что иное, как разновидность виртуального контейнера, такого же как ThinApp и иже с ним. Несколько иначе реализованный функционал не должен вводить в заблуждение, основные принципы остаются незыблемыми. Что может быть портабелизировано, будет работать и в Сандбокси. И наоборот. Разница лишь в том, что Сандбокси является временной оболочкой, а тот же ThiApp представляет собой незыблемый контейнер, изменить которой невозможно в принципе, хотя с другой стороны, можно внести временные изменения в любую его составляющую. Поэтому не питайте иллюзий насчет Цитата:
можно так сказать - "портабельно"Коренное отличие ThinApp в том, что есть инструменты воздействия на виртуальный контейнер в процессе сборки, а у Сандбокси это находится на очень низком уровне, можно сказать, ориентация на полных "чайников". There is a difference!
Astra55
Вы правы. Потому как ThinApp - совершенно другой продукт и для других целей. Вы ещё с VMWare сравните
ChronoAngel
Не поможет. Об этом я и писал. И антивирь не поможет, если пинч свежеупакованный А вот файервол с подозрительной отсылкой данных на хост Васи Пупкина - поможет
Вы правы. Потому как ThinApp - совершенно другой продукт и для других целей. Вы ещё с VMWare сравните
ChronoAngel
Не поможет. Об этом я и писал. И антивирь не поможет, если пинч свежеупакованный
А вот файервол с подозрительной отсылкой данных на хост Васи Пупкина - поможет gjf
Цитата:
Для других целей, говорите? Это само собой. Вот не сам ThinApp, а продукт на его основе: http://narod.ru/disk/22339385000/%20Pablo3.rar.html
Виртуальный двухпанельный менеджер файлов Pablo. Попробуйте на досуге, сравните изоляцию. Все очень просто - запускаете Pablo и все делаете в его среде, то есть, в виртуале. У меня Сандбокси нет, поэтому сравнивать затруднительно.
Цитата:
ThinApp - совершенно другой продукт и для других целей
Для других целей, говорите? Это само собой. Вот не сам ThinApp, а продукт на его основе: http://narod.ru/disk/22339385000/%20Pablo3.rar.html
Виртуальный двухпанельный менеджер файлов Pablo. Попробуйте на досуге, сравните изоляцию. Все очень просто - запускаете Pablo и все делаете в его среде, то есть, в виртуале. У меня Сандбокси нет, поэтому сравнивать затруднительно.
Astra55
У каждого свой вкус - сказал индус и женился на обезьяне.
У каждого свой вкус - сказал индус и женился на обезьяне.
ChronoAngel
Цитата:
Если зарываться - от аппаратного кейлоггера софтовый антивирус не спасет.
Цитата:
совсем без антивируса нельзя
Если зарываться - от аппаратного кейлоггера софтовый антивирус не спасет.
Astra55
Sandboxie - не программа для виртуализации приложений. Вы предлагаете сравнить бегемота с котёнком, потому что у обоих четыре лапы.
Sandboxie - не программа для виртуализации приложений. Вы предлагаете сравнить бегемота с котёнком, потому что у обоих четыре лапы.
gjf
Цитата:
Как интересно! А что же это такое, как не временная виртуализация? Я же не утверждаю, что Сандбокси - эквивалент ThinApp, но принцип действия у них один и тот же. Только у ThinApp контейнер постоянный, а у Сандбокси временный.
Цитата:
Sandboxie - не программа для виртуализации приложений
Как интересно! А что же это такое, как не временная виртуализация? Я же не утверждаю, что Сандбокси - эквивалент ThinApp, но принцип действия у них один и тот же. Только у ThinApp контейнер постоянный, а у Сандбокси временный.
Astra55
Вы в ThinApp много отследите вызовов? И как вы там ограничите права и доступ в сеть? Как организуете автоматическое (не путать с ручным просмотром контейнеров) сравнение файловых и реестровых изменений?
Sandbox - программа для исследований и безопасности, ThinApp - для портабелизации. Это - не одно и то же, иначе VMWare - тоже среда портабелизации приложений! Только не отдельных - а сразу вместе с системой в одном БААААЛЬШОМ контейнере!
Всё, прекращаю этот
Учите матчасть.
А если честно - поставьте Sandboxie и сами всё поймёте. А так - разговор слепого с глухим.
Вы в ThinApp много отследите вызовов? И как вы там ограничите права и доступ в сеть? Как организуете автоматическое (не путать с ручным просмотром контейнеров) сравнение файловых и реестровых изменений?
Sandbox - программа для исследований и безопасности, ThinApp - для портабелизации. Это - не одно и то же, иначе VMWare - тоже среда портабелизации приложений!
Только не отдельных - а сразу вместе с системой в одном БААААЛЬШОМ контейнере! Всё, прекращаю этот
Учите матчасть. А если честно - поставьте Sandboxie и сами всё поймёте. А так - разговор слепого с глухим.
gjf
Цитата:
Уже
Цитата:
Эт-та верно. Вы так и не поняли о чем шла речь. Ну да ладно, переживем.
Цитата:
Учите матчасть.
Уже
Цитата:
А так - разговор слепого с глухим.
Эт-та верно. Вы так и не поняли о чем шла речь. Ну да ладно, переживем.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344
Предыдущая тема: Параметр запуска ACDSee
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.