» Sandboxie

Если это кому-нибудь интересно

Кряк для какого-то TMPEnc -а, запущеный в Sb с правами administrator-a, "писанул" в общую Registry. То есть, нашлась запись в Registry host-системы, после запуска в Sb.

Win 7-32b, Sb version 3.52.

Что-то где-то как-то. Может быть кому-то пригодится ?

Цитата:

Что-то где-то как-то. Может быть кому-то пригодится ?

Смысл моего продыдущего поста в том, что для програм, выходящим в "кернел моде", Sb не помеха, к моему сожалению. Это автоматичаски ограничевает для меня его применение.
Сори за оффтоп

где этот мистический exe-шник ?

Цитата:

где этот мистический exe-шник ?

Если напишете "Куда", вечером отправлю. Работа...

ykvb

Цитата:

Если напишете "Куда", вечером отправлю. Работа...

http://rghost.ru

to <b>ndch & gjf</b>
-------------

http://rghost.ru/35557865

Sorry за задержку. Для эксперимента прогнал тот же пакет на чистой виртуальной Win7+SP1 с последним Sandboxie.
Эффект сохранился:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\c982a47a_0]
@="{0.0.0.00000000}.{46c64640-68d7-4d0a-b979-1429a8fb1a46}|\\Device\\HarddiskVolume1\\Program Files\\Pegasys Inc\\TMPGEnc 4.0 XPress\\keygen.exe%b{00000000-0000-0000-0000-000000000000}"

так же появилась в реальной среде.


-------------------------------------

PS. На WinXP+SP3 Эффект отсутствует, но ничего похожего keygen не создает и без Sandboxie

PPS. NAV ругается на keygen.exe: Trojan.Gen.2

ykvb
Дабы избежать паники - не нажимайте в следующий раз mute для отдельного application. ;)

Из песочницы теоретически можно выбраться, но на практике не верится что в кейгене , для записи в реестр не будут использоваться функции библиотек, не сплайснутые-хукнутые sandbox-ей.

Про руткит какой-нибудь ещё могу поверить, но вот про кейген... Не смешите мои тапочки.

to ndch


Цитата:

Дабы избежать паники - не нажимайте в следующий раз mute для отдельного application.

честно говоря не понял Ваш сленг

и эту ситуацию я не придумал, про руткит я тоже подумал и прогнал на чистой системе (у меня сохранился образ первичной установки с лицензией) с последним, ! не "ломаным" sandbox v362. Если sandbox перекрывает только "User mode" то пробить его можно, а драйвера он позволяет ставить без проблем.

ndch (14:22 23-12-2011)
Цитата:

Из песочницы теоретически можно выбраться

Только если играть с настройками доступа низкого уровня. Если всё по умолчанию - это невозможно.
ykvb
Я скачал Ваш огромный пакет - и что мне с ним делать? Если все проблемы связаны с keygen.exe - он безвредный. Если с инсталлятором - он тоже.

Прежде всего спасибо за файлообменник.


Цитата:

Я скачал Ваш огромный пакет - и что мне с ним делать? Если все проблемы связаны с keygen.exe - он безвредный. Если с инсталлятором - он тоже.

... Я установил этот пакет в среде Sandboxie (Sb не "ломаный"), по инструкции, которая там находится. Зарегил его keygen-ом. проверил на работоспособность.
Вышел из среды Sb, те с десктопа запустил regedit и дал несколько поисков. Был неприятно удивлен, когда увидел вышеприведенную строку из регистра. По результатам последующих проверок, я сделал вывод, что запись в регитре реальной системы появляется после моих манипуляций в среде Sandboxie. Я не считаю это правильным. Наверное обращение к Вам было не корректным, просто Вы откликнулись на мою переписку с "ndch". Прошу прощения за беспокойство.

ykvb
В папке Windows у Вас есть файл sandboxie.ini. Выложите его на тот же файлообменник и ссылку - в студию. Посмотрим Ваши настройки. Описанная ситуация не должна быть, если настройки нормальные.

Посоны! Песошница софсем дырявая!
запустил mpc, а после этого наружу вырвалось следующее:
[HKEY_USERS\S-1-5-21-375814235-2458335279-4075798640-1000\Software\Microsoft\Internet Explore
r\LowRegistry\Audio\PolicyConfig\PropertyStore\6266ea5b_0]
@="{0.0.0.00000000}.{167b1642-2e58-4254-94c4-039cd084d36f}|\\Device\\HarddiskVolume1\\bin\\a-
v\\play\\mpc-homecinema\\mpc-hc.exe%b{00000000-0000-0000-0000-000000000000}"

ААААА!!!

to gjf


Цитата:

В папке Windows у Вас есть файл sandboxie.ini.

http://rghost.net/35570056

конфиг от моей рабочей 346. Почти все default

------------------------------------------------------------------

to ndch

Так и я про то же. Моя строка чем-то похожа на Вашу

К стати, Shadow Defender не пробивают, по крайней мере в этих местах. Проблема не в "бяках" из "Kernel mode". Просто bug, и bug не новый...

ykvb
Специально импортировал Ваши настройки в новую песочницу. Запустил там setup. Потом после установки запустил там keygen. Всё работает. Никаких описанных Вами добавлений в реестре не увидел. Ни на WinXPx32Pro, ни на W7x32Ultimate.

Добавлено:
Кстати, таких изменений у меня и в самой песочнице нет - смотрите реестр.

ykvb

Цитата:

Так и я про то же. Моя строка чем-то похожа на Вашу

Человек, тебе совсем разжевать ?
Ты выключил громкость для определённой программы.
этой фишки в хр нет.
громкость выклчал из несендбокснутого регулятора громкости.
потому такие результаты.

Хорош шланговать уже. Уже не смешно.

Цитата:

Посоны! Песошница софсем дырявая!
запустил mpc, а после этого наружу вырвалось следующее

рыдал, качественный подкол

По поводу "наружу вырвалось":
Печатаю в "файл" из седбокснутого приложения.
Файл сразу же оказывается в реальной среде.

Хотя спорно, где должно оказаться и нужно ли с этим бороться :)

Цитата:

Хотя спорно, где должно оказаться и нужно ли с этим бороться

Нужно, если итоговая папка заранее не объявлена в настройках песочницы.

Gideon Vi
Получилось как-то так:
When I run sandboxed notepad and printing into file (for example, C:\BUG\SAND\file.prn ), then the file is saved in the real environment.

Именно spoolsv.exe "сохраняет файл", а не сам notepad. Видно в "process monitor", и натурально "net stop spooler".
Про сложность со службами tzuk писал.
Действительно непонятно как можно сендбокснуть службы.

2All:
С автором кто общался ? Результативно ? Он без особых заморочек ?

Почитал tzuk

При печати из "сендбокснутого блокнота" создаются нулевого_размера C:\Sandbox\ndch\DefaultBox\drive\C\BUG\SAND\file.prn
По-нормальному так и должно быть (проверка успешности создания файла).
Не уверен что программа должна эта проверять, а не спулер с обратной связью, но это уже мысли вслух. Да и само диалоговое окно выбора пути "печати в файл" навевает ностальгию, а воспоминания об удобстве и унифицированности и наличая системного интерфейса при дуплексной печати полностью возвращают в реальность.

Надеюсь ещё лет через 20 это дело допилят.

ndch (09:57 03-01-2012)
Цитата:

С автором кто общался ? Результативно ? Он без особых заморочек ?

Я общался. Он без особых заморочек. Хотя создалось впечатление, что некоторые части его программы писал не он, а ему

Цитата:

С автором кто общался ? Результативно ? Он без особых заморочек ?

оставлял баг-репорт на падающий в песочнице download master - исправил оперативно.

Добавлено:

Цитата:

С автором кто общался ? Результативно ? Он без особых заморочек ?

оставлял баг-репорт на падающий в песочнице download master - исправил оперативно.

Написал на нечеловеческом языке багрепорт, посмотрим на результат инициативы ;)

Gideon Vi

Цитата:

Нужно, если итоговая папка заранее не объявлена в настройках песочницы.

Проведу аналогию: звук, изображение, сетевые пакеты из песочницы так же попадают в "реальность".
By design, использование службы печати и должно привести к "выходу из песочницы".
На "родном" форуме задали вопрос "что не так, создание в песочнице файла нулевого размера ?"
Честно говоря с самого начала я предполагал что ответ будет в этом духе.
Не могли бы помочь сформулировать вопрос/оформить багрепорт ?


С другой стороны samba/"сеть windows" (или как это там правильно называется) нормально сендбоксится.


Писал я это в надежде что кто-то на логичном, русском, человеческом сможет описать всю эту ситуацию со службами... "Перемыть косточки" песочнице и занести результат обсуждения в шапку, в описание/ньюансы функционирования программы.
Вопрос/предположения близкие этому возникали неоднократно: раз, два, три

Вот такие высказывания немного расстраивают ибо очень похожи либо на глюки в программе, либо на недостаточную осведомлённость от оратора, причём ораторы порой далеко не новички (это вдвойне расстраивает, субъективно)

Была дыра при работе cmd, другого "выползания" (на уровне POC) не припомню.
С тех пор программа изменилась.

Ни кто не подскажет как заставить работать ее через прокси ? К примеру в связке с Advor - что бы программы добавленные в пункт (Ограничения-Доступ в интернет) работали через прокси

Zadrimtius
Вы представляете как это реализуемо ?

Цитата:

Вы представляете как это реализуемо ?

Выходить что не как ? А жаль ..

Zadrimtius
Прозрачный прокси.
Слишком мало исходных данных.

Zadrimtius 14:17 05-01-2012
Цитата:

Ни кто не подскажет как заставить работать ее через прокси ? К примеру в связке с Advor - что бы программы добавленные в пункт (Ограничения-Доступ в интернет) работали через прокси

настраивать не саудбокси, а сами программы - прокси надо прописывать в их настройках, в песочнице просто можно ограничить список программ которые выходят в инет.

Здравствуйте. Столкнулся сегодня с такой проблемой: при старте Sandboxie в трее на иконке программы появляется восклицательный знак, и выскакивает pop-up окошко с сообщением:

Цитата:

SBIE2331 Запуск службы не удался: [22/5] Отказано в доступе

При этом моргает кпопка Помощь, после нажатия которой появляется сообщение с предложением зайти на этот сайт либо в песочнице, либо без песочницы. При запуске в песочнице (любой из доступных) появляется сообщение "Ошибка параметра песочницы: ее название". Ходил по ссылке, приведенной в сообщении, но так и не понял, как решается такая проблема.
Кто-нибудь сталкивался с похожим? Какие есть мнения?
Спасибо.