» Sandboxie

Sssvan

Цитата:

3. Пока существует "песочница", будет действовать и троян/шпион, попавший в нее из броузера? Получается защита от шпионов очень неполная?

Тут не всё так примитивно. Песочница - это лишь раздел/папка на диске. Всё, что запускается из песочницы - даже вручную, автоматически стартует в песочнице, то есть под защитой. Работать он ессно. будет пока ты не закроешь песочницу (необязательно её удалять), соотв. процессы запущенные в данной песочнице будут завершены. Вторая немаловажная вещь (это чтоб понятно было) - вредоносные бары/надстройки браузера и т.п. ПО... предположим ты установил бар в песочницу, но чтобы браузер IE с ним начал функционировать, браузер также нужно запускать в песочнице этой. В противном случае браузер будет просто ни сном - ни духом о том, что где-то есть бар который с ним желает "подружиться". =)

Спасибо за ответы. Просто "идеальная" прога.
А под действием шпиона я имел в виду, что он из песочницы прочтет любую инфу на компе и передаст её хозяину в инет. Но антивир и файер отключать ведь необязательно!?
Главное, что систему угрохать из песочницы ни зловред, ни криво вставшая (в Sandboxie и запущенная из-под Sandboxie) прога не сможет. Я правильно понимаю?

Sssvan

Цитата:

А под действием шпиона я имел в виду, что он из песочницы прочтет любую инфу на компе и передаст её хозяину в инет.

Смотря как передавать будет, может да, может нет. Тестировать нужно. Если троян передает через Gate (с пом. браузера IE), что и делают трояны нового поколения, то может и не удастся ему это сделать. В любом случае программа не для этого предназначается.


Цитата:

Но антивир и файер отключать ведь необязательно!?

Если конфликтовать не будут с драйвером Sandboxie, то не отключай.


Цитата:

Главное, что систему угрохать из песочницы ни зловред, ни криво вставшая (в Sandboxie и запущенная из-под Sandboxie) прога не сможет. Я правильно понимаю?

Правильно понимаешь, ещё бы правильней понимал, если бы скачал и посмотрел программку которая весит "копейки".

Цитата:

которая весит "копейки".

Дело не в весе, скачал сразу, как увидел.

Цитата:

Если конфликтовать не будут

В этом все дело. "Старый стал, ленивый" + наличие BSODфобии. Кстати, современные антивир и файер отключить практически невозможно - их драйвера и службы все равно продолжают какую-то работу.

Цитата:

Дело не в весе, скачал сразу, как увидел.

Скачать и не установить или установить и не попробовать разобраться, в-принципе одно и тоже.


Цитата:

"Старый стал, ленивый" + наличие BSODфобии.

Все старые, все ленивые и у всех есть фобии. =))) Это всё легко решаемо. К тому же есть программы восст. диск 1:1, например у Acronis.


Цитата:

Кстати, современные антивир и файер отключить практически невозможно - их драйвера и службы все равно продолжают какую-то работу.

Отключить можно, и из автозарузки удалить и сервис остановить и драйвер. Только конфликтовать они не должны на 90%, да и никто не будет совершать такие телодвижения из-за такой программы.

Цитата:

К тому же есть программы восст. диск 1:1, например у Acronis.

Нет таких прог для RAIDов (мой случай). Приходится расчитывать только на штатный откат системы, который не всегда может сработать. Много лет пользовался великолепным GoBack, а теперь подходит только половинчатые ShadowUser, Shadow Defender и Sandboxie. Вот 7 раз и отмеряю, чтоб не промахнуться.

Ну не будем так оптимистичны в плане что НИОДИН трой/вирь не угрохает вашу систему из под этой программы
В частности, специально написанный трой для песочницы вполне может выбраться из нее во внешнюю систему (имеются прецеденты), это раз, и кажется никто еще не отменял посекторной считание и запись на винт, в обход файловой системы и всего прочего Так что господа - доверяй, но проверяй, слишком злоупотреблять я все-таки несоветую

Вышла 3.28. [more=ченчлог]Released on 30 June 2008.

These are the changes to Sandboxie since version 3.26.

* New translations:
o нашей, ессно, нет

* Resolution for long-time problems and annoyances:
o SBIE1116 errors on Windows XP which prevented Sandboxie from starting.
o Sandboxed Outlook using incorrect account password.
o Sandboxed programs and Sandboxie Control immediately recognize new drive letters that appear (for example as a result of mounting a USB drive).

* Firefox 3:
o Added default exclusion for the Firefox database of phishing sites, urlclassifier*.sqlite files, to improve start-up time of sandboxed Firefox, and reduce the time needed to recreate this database when the sandbox is deleted.

* Usability improvements in Sandboxie Control:
o Real paths are displayed instead of the %placeholder% notation.
o Hiding SBIE messages through Sandboxie Control hides the message only for the detail specified in the message.
o Desktop icons do not flicker when Sandboxie Control window is visible.
o For Windows Vista, added more requests for UAC elevation where necessary.

* Further improvements to the following issues:
o Improved support for network shares exposed by Windows computers (including Quick and Immediate Recovery, and Direct and Full Access)
o There remain some difficulties in accessing network shares exposed by some NAS devices
o Full support for programs installing and using WinSxS assemblies on both Windows XP and Windows Vista

* Collection of smaller changes:

* Default Copy Limit Kb increased to 48MB from 32MB.
* Fewer temporary files are kept in the sandbox.
* Fixed PATH environment variable in sandboxed programs.

* Partially resolved conflict with Rising Antivirus 2008. [/more]
Старая регистрация ("обновление") принята.

А возможно ли через эту «песочницу» (или какую другую) запустить ВСЮ систему? Чтобы не указанные программы/процессы запускать в «песочнице», а наоборот — ни одну программу нельзя запустить вне её?

Sham2
Например, см. здесь
http://forum.ru-board.com/topic.cgi?forum=35&topic=23060&start=300#6

Спасибо, понял.

Кстати, поставил я эту Sandboxie. Запустить Блокнот из-под неё получилось, а вот Ввод в нём работать отказался. И табуляция тоже.

Снёс нафиг. Пошёл искать «взрослые» программы.

Sham2

Цитата:

Кстати, поставил я эту Sandboxie. Запустить Блокнот из-под неё получилось, а вот Ввод в нём работать отказался. И табуляция тоже.

Я не знаю какой ты блокнот запускал, но notepad Windows, прекрасно запускается. И табуляция работает и ввод. А вообще, учитывая, что из под неё свободно запускается IE7 и многие другие программы, то да, программы типо блокнотов для неё это слишком, должно быть. =)))

Утомленный количеством зараженных сайтов, решил добавить Sandboxie в свой арсенал. Неплохо, очень неплохо, но есть еще лазейки, которые надо прикрыть, типа cmd.exe. Спецом ходил на те сайты, где заражают, там проблем не было. Но антивирус, фаер и AnVir все равно приходится держать включенными. Разве что полностью исчезла необходимость вручную удалять заразу с компа, все лежит в одом месте . Осталось детально проштудировать доку и можно переводить Sandboxie в разряд MustHave.

Astra55

Цитата:

Утомленный количеством зараженных сайтов

а не проще пользовать Mozilla? Практически все "зараженные" сайты - паранойя антивируса.

ed007
Может антивирус и параноик, только он их не определяет. У меня достаточный опыт, чтобы определить что есть зараза, а что нет. Поэтому Мозилла к реально зараженным сайтам отношения не имеет. Вот результаты из песочницы:
ww7hxg.exe Trojan.Rntm.6
25pd2d.exe Trojan.Rntm.6
cipxyo.exe Trojan.Fakealert.950
msn_0806_upd240818.exe BackDoor.Minirem.2
Насчет этого файла сами догадайтесь - зараза или нет
C\WINDOWS\winlogon.exe

Сегодня эксперименты были продолжены. Файл cmd.exe был защищен паролем, забавно смотреть как вирусы расталкивая друг друга локтями, позапускали штук пять cmd, а там окно ввода пароля и полный облом Сегодня пролез только один особо хитрый мерзавец, но был остановлен фаером. Резюме: на Песочницу полагаться НЕЛЬЗЯ! Идея хорошая, но реальная защита пока не получается. Как проверяют надежность сами девелоперы - не знаю, но хреново, изоляция от системы недостаточная. Название топика придумал тот, кто не пробовал софт в реальных условиях.

Astra55
Дайте plz ссылку на сайт где столько вирусов - тоже хочу поиграться. Как защитить паролем cmd.exe?
P.S. топик назвал я,прогу не пробовал.

ed007
А кто его знает, какой именно сайт, я вычислил только один, поэтому дам список, в нем далеко не все вирусосажатели, кто именно - надо разбираться детально. Сегодня посещал такие сайты:
2BakSa.Net http://www.2baksa.net/
LugaRus    http://www.lugarus.com/
Soft-Best.ru    http://www.soft-best.ws/
Strelec    http://strelec.ucoz.ru/index/
РЕГИОН 59    http://www.region59.net/welcome.html
NNM    http://www.nnm.ru/
PHILKA.RU    http://www.philka.ru/news.php
SOFT-FOR...    http://soft-forum.ru/
CWER.ru    http://www.cwer.ru/
DREAMPR...    http://dreamprogs.ru/
Soft-hard....    http://www.soft-hard.net/ - этот точно с заразой
NETZ.ru    http://netz.ru/
kpnemo.ru    http://www.kpnemo.ru/
SoftPlanet    http://softoplanet.ru/
SoftoRoom    http://softoroom.net/
SoftWeb    http://softweb.ru/
PC News    http://pc-soft.ru/category/soft/
ANTIDOT    http://www.antidot.ws/index.php
LavTeaM    http://www.lavteam.com/index.php
9down    http://www.9down.com/
Samlab    http://www.samlab.ws/
700MB.RU    http://700mb.ru/
LEM news    http://www.lemnews.com
RL-Team    http://rl-team.net/
eXnews    http://exnews.org/index.php
NETzor.ORG    http://netzor.org/
Nht    http://nht-team.ru/
qiq.ru    http://qiq.ru/
DARIM.INFO    http://darim.info/
AvaxHome    http://avaxsphere.com/software
еще mscrаcks тоже заражает.
Пароль на экзешник ставил Exe Password v7.114, второй софт того же плана Eltima EXE Password Protector v1.1.6.214, после пароля отправил на вирустотал, так там десять из 33-х антивирусов сказали, что в файле троянец

Цитата:

http://www.soft-hard.net/ - этот точно с заразой

Др веб говорит все ок
http://online.us.drweb.com/?url=1

Astra55

Цитата:

Сегодня пролез только один особо хитрый мерзавец, но был остановлен фаером. Резюме: на Песочницу полагаться НЕЛЬЗЯ!

Куда пролез-то он? =)
Ессно. если исполняемый файл загрузился, он может начать вести сетевую активность. Sandboxie не антивирус и не файерволл.

Donatello

Цитата:

Sandboxie не антивирус и не файерволл.

Я догадываюсь Но заявленная изоляция от системы таковой не является. Иначе фаер не срабатывал бы, как это имеет место быть с более простыми вирусами, они прсто падают в виртуальные папки, аналогичные реальным, но сделать ничего не могут. Если виртуальные приложение влияет на реальную систему, то смысла в нем нет, и рекламируемые фичи по изоляции, безопасности и всему прочему, пока что просто колочение понтов.
ed007
У меня остались те экзешники и дллки, которые раздавались с этого сайта. Может сейчас владельцы уже забили дыру, но зараза перла с него, проверял не один раз. Суть проблемы в том, что антивирусы бесполезны в таких ситуациях. Зараза мутирует быстрее, нежели успевают пополнять базы. После неудовлетворительных результатов с Песочницей, буду пробовать другие способы, благо их есть у меня .

Astra55


Цитата:

Но заявленная изоляция от системы таковой не является. Иначе фаер не срабатывал бы

Кто заявлял такую изоляцию, что запущенные исполняемые файлы не могут соединяться с интернетом??? Всё, что заявляли, показано на этой картинке и дано в описании > http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=32930#1


Цитата:

Иначе фаер не срабатывал бы

Он срабатывает на сетевую активность, что тут непонятного-то? Браузер запущен в песочнице, файлы которые попали через него оседают в песочнице. Далее они могут запуститься (потому что Sandboxie не антивирус и не файерволл, хотя ты об этом догадываешься) в песочнице, запустить ещё что-нибудь в песочнице, скачать что-нибудь в песочницу и запустить в песочнице и затребовать доступ в сеть. О какой изоляции идёт речь? Программа обещает, что пока приложение запущено в песочнице - оно или запущенные им приложения не совершат никаких манипуляций с физическим диском (за исключением песочницы) - удаление/создание + некоторые ограничения на пароли браузера.

Donatello
Вот это не мой перевод:
"Sandboxie - небольшая, но достаточно интересная программа, которая расценивается как дополнение для веб-браузеров, призванное повысить безопасность ПК при работе с "неблагонадежными" сайтами. Sandboxie защищает компьютер ото всех нежелательных изменений, которые могли бы быть совершены активным содержимым сайтов (например, установка нежелательного ПО)."
1. Каким образом можно "повысить безопасность ПК при работе с "неблагонадежными" сайтами", учитывая реалии?
2. Как соотносится с вирусами и троянцами высказывание, что "Sandboxie защищает компьютер ото всех нежелательных изменений, которые могли бы быть совершены активным содержимым сайтов (например, установка нежелательного ПО).""
Или вирусы и троянцы не относятся к нежелательному ПО и активному содержимому сайтов?

Поскольку никакого заявленного "повышения безопасности" не происходит, тогда какой смысл в этом софте, кроме громких заявлений? Виртуал только тогда виртуал, когда он полностью изолирует приложение от реальной системы. Песочница только частично выполняет эту задачу, а должна бы на любое поплзновение в рамках запущенной под ней программы, подсовывать виртуальные изменения. Почему то запущенный по ссылке из браузера в Песочнице ФлэшГет все действия совершает в виртуале, а вирус вырывается на свободу, в реал. Больше эту тему обсуждать не имеет смысла, поскольку практика опровергает рекламу. Пусть работают дальше, может чего и выйдет.

Astra55

Цитата:

1. Каким образом можно "повысить безопасность ПК при работе с "неблагонадежными" сайтами", учитывая реалии?
2. Как соотносится с вирусами и троянцами высказывание, что "Sandboxie защищает компьютер ото всех нежелательных изменений, которые могли бы быть совершены активным содержимым сайтов (например, установка нежелательного ПО).""
Или вирусы и троянцы не относятся к нежелательному ПО и активному содержимому сайтов?

Toolbar'ы - бары, Adware/Spyware, трояны/вирусы. Ключевые слова здесь - изменений и установка. Изменений которые могут произойти в системе после их установки. Удалить и уж тем более найти, то, что они наставили, для большинства не представляется возможным. К тому же многие трояны, активируются после перезагрузки системы, для этого они должны прописаться в автозагрузку ессно. От этого гимора она и избавляет. Это что-то типо Унинсталлера.


Цитата:

а должна бы на любое поплзновение в рамках запущенной под ней программы, подсовывать виртуальные изменения.

Цитата:

Почему то запущенный по ссылке из браузера в Песочнице ФлэшГет все действия совершает в виртуале, а вирус вырывается на свободу, в реал.

То есть он у тебя качает очевидно из "виртуала"? А браузер или его BHO/надстройки также лазиют по "виртуалу"... Давай уж "муму-то не будем мучать." Если у тебя менеджер качает файлы с твоего же диска, а браузер вместо того чтобы соединяться с узлами в интернете, соединяется с твоими локальными папками, то тебе действительно эта программа не нужна.

Donatello
Ключевое слово - частично зараза ложится в виртуальные папки и ничего сделать не может. А частично пролезает в реальную систему. Если бы не это "частично", то и предмета для обсуждения не было бы. Либо это ацтой, либо это панацея Пока что смесь из того и другого. ФлэшГет качает реальные файлы. НО! Все эти файлы и его собссные файлы остаются в виртуале. Кстати, мне это не нужно, но пока не нашел способа заблокировать такую фичу.
Девелоперам надо сделать один маленький шаг - абсолютно все файлы, попадающие на комп из песочного приложения, обязаны оставаться в виртуале, возможно с настойкой опциями. Допустим, через браузер на комп попадает файл winlogon.exe и пытается прописаться в автозагрузку, запуститься и т.д. По хорошму, ему все это должно быть позволено, только в виртуальной системе, папки которой находятся в C:\Sandbox, как это сейчас есть. Только не до конца продумано и доделано. Вот тогда и будем рассуждать о безопасности, которую дает применение Sandboxie. Обратим внимание на такую фишку - если попытаться проверить антивирусом файл заведомо известного троянца в Sandbox при запущенной Песочнице, то антивирус его не видит! Это хорошее доказательство моих вишесов.

Astra55

Цитата:

Ключевое слово - частично зараза ложится в виртуальные папки и ничего сделать не может. А частично пролезает в реальную систему.

Ах, вот уже о чём "песня". Ну так... если я у тебя сейчас спрошу примеры/док-ва, ты их сможешь предоставить? Я даже не уверен, что ты сможешь объяснить своими словами "технологию" этого вероломного проникновения. =)


Цитата:

Допустим, через браузер на комп попадает файл winlogon.exe и пытается прописаться в автозагрузку, запуститься и т.д. По хорошму, ему все это должно быть позволено, только в виртуальной системе, папки которой находятся в C:\Sandbox, как это сейчас есть.

Ну это так и сейчас реализовано. Я тебе больше скажу, что одна из самых монстровидных вещей которые я видел, типо бара - Hotbar, инсталлируется и потом работает, каждый раз при запуске браузера в этой песочнице.


Цитата:

Только не до конца продумано и доделано.

Ну реальные примеры-то где? Когда приведёшь пример "зловреда", который повстречался на просторах сети и выбрался из песочницы на диск, тогда и =):


Цитата:

будем рассуждать о безопасности

Цитата:

Ну реальные примеры-то где?

Trojan-Downloader.Win32.Mutant.amd 02u3if.exe, размер 15 360
Вот эту штуку поймал только фаер, когда оно полезло в реальную систему и Инет. Насчет доказательств и технологии - разговор беспредметный, это мне нужно опять шарить по куче сайтов, найти тот сайт, где раздают этого трояна, записать на видео, как оно заставляет сработать фаер, проанализировать и т.д. Я не антивирусный центр, если моего слова недостаточно, то не имеет смысла продолжать. За компом сижу третий десяток лет, в Инете второй десяток, далеко не чайник, реальных вирусов и троянцев у меня на компе в запущенном виде не было с прошлого века. Поэтому замечания вполне конкретны, а разбираться в деталях, почему десятко троянов остался в песочнице, а один пролез, не мое дело. Скажу больше, если бы не пароль на cmd.exe, то был бы не один троянец, а штук пять минимум.

Astra55

Я тоже не со вчерашнего дня в интернете и на слово никому не верю, пока сам это не увижу и не проверю. Ибо наслушался достаточно: о магии, чудесах, я ничего не делал и т.д. и т.п., но в основном всё банально оказывается. Вот у человека в начале странице в блокноте не работает ввод и табуляция. Я ему тоже должен был на слово поверить? =))) Записывать на видео не нужно, достаточно дать ссылку. А как ты думал? Сначала ты мне пишешь вот такие умозаключения:

Цитата:

Но заявленная изоляция от системы таковой не является. Иначе фаер не срабатывал бы

А потом уже оказывается вражеский агент выбирается из песочницы.


Цитата:

Скажу больше, если бы не пароль на cmd.exe, то был бы не один троянец, а штук пять минимум.

cmd.exe, если её запустил файл из песочницы, запустится в песочнице. От форматирования это не спасёт, но от элементарного копирования/удаления/запуска - да. В любом случае, программа не претендует на 100% защиту (и не рассчитана на это), в противном случае были бы упоминания о вирусах и троянах, как минимум. Со своей ролью - полезное дополнение для браузеров и проводника Windows, вполне справляется. Если и не на 99%, то на 90% точно. Поэтому проводить серьёзные исследования, типо: "А что будет если я из под неё запущу супер-пупер крутой вирус?" считаю смешными и лишними. Особенно в свете того, что и файерволлы и антивирусы обходятся, а это программы призванные защищать компьютер.

Цитата:

Я тоже не со вчерашнего дня в интернете и на слово никому не верю, пока сам это не увижу и не проверю.

+1

Мне в принципе, по барабану, верите или нет. Я высказал вполне практические выводы, желаете проверить самостоятельно - флаг в руки! Не совсем понятно откуда такое безграничное доверие к Sandboxie, причем, вообще без всяких аргументов. "Оно хорошее и правильное, потому что я начал эту тему" - так что ли? Никто не взял на себя труд пройти по указанным сайтам и поглядеть на результаты посещения, зато с пеной у рта готовы оспаривать дырявость Песочницы.
ed007

Цитата:

С включенной Sandboxie не нужны никакие антивирусы и брандмауэры. Никто и ничто не сможет причинить никакой вред вашему компьютеру. Абсолютный презерватив.

Мои комментарии были для того, чтобы народ не развешивал эту лапшу на свои уши и не верил (как вы сами) в некие магические свойства Sandboxie, потому как с таким "презервативом" отымеют по полной во все дырки и надуют такой живот, что за два года не родишь .