Цитата:
Это можно - если не требуется установки драйверовЯ запустил установщик 7z920 в песочнице, но он не установился! Запись на диск запрещена - как же программа установится? Или я не так что-то делаю?
» Sandboxie
Цитата:
Anmawe
Он должен был установиться в песочницу.
Добавлено:
Запрещена лишь запись в реальную систему.
Он должен был установиться в песочницу.
Добавлено:
Запрещена лишь запись в реальную систему.
Народ!
Может кто подскажет, как "продырявить"
share\some-comp\Admin$
?
не пойму как заставить работать dameware 8 из sandboxie.
Может кто подскажет, как "продырявить"
share\some-comp\Admin$
?
не пойму как заставить работать dameware 8 из sandboxie.
\\comp\share = "NetBIOS" ("over TCPIP" в наше время) => tcp/udp 137-139,445
Поигрался с сабжем. Идея то сабжа хорошая, в отличии от реализации. Не знаю может быть это конечно проблема несовместимости с антивирусом, или с ОС, или особенность x64 версии, но это самая тормозная программа которую я видел за последние N лет. К тому же есть ощущение что она как то повлияла на другие программы запускаемые обычным способом (возможно из за драйвера который она ставит), они ощутимо стали медленнее работать.
Сабж удалил вообщем. Но осталось вот это.
Кто нибудь знает где это в реестре прописано? Как это удалить к чертям?
p.s. Разобрался
Сабж удалил вообщем. Но осталось вот это.
Кто нибудь знает где это в реестре прописано? Как это удалить к чертям?
p.s. Разобрался
Сабж обновился до версии 3.66
Новое
Цитата:
Новое
Цитата:
* This version is primarily a compatibility release which resolves a few recent issues:
o Improved compatibility with Google Chrome and Firefox plugin for Firefox version 11.
o Improved compatibility with Google Toolbar for Internet Explorer.
o Improved compatibility with SpyShelter, Kaspersky PURE
o Improved compatibility ASUS CapsHooks, UltraRecall, Wacom Tablet devices.
* New write-only feature:
o Files and registry keys outside the sandbox can be hidden, similar to the closed paths feature.
o Programs in the sandbox can create new files or registry keys within the write-only locations.
o For more information, please see Resource Access Settings.
* Improved compatibility with Windows 7 taskbar:
o Programs in sandbox will display the sandbox name when right-clicking the task bar button.
o Windows which belong to programs in different sandboxes will not be combined into the same task bar button.
o A middle-click on the task bar button will start a copy of the program in the same sandbox.
Была бы Sandboxie полиморфной, могла бы она работать со сторонними ветками реестра (HKLM и HKCC) и бы в ней был конструктор этих веток - цены бы ей не было.
Цитата:
Была бы Sandboxie полиморфно
пардон, а что понимается под этим понятием в контексте сабжа?
А насколько хорошо она справляется в 64 битных системах?
Gideon Vi
Цитата:
Исходя из того, что зловред может быть "заточен" на незапуск в среде с Sandboxie :
1.Отсутствие упоминания в реестре об инсталяции (или запуске) Sandboxie (упоминание конкретных имен исполняемых файлов, библиотек, службы Sandboxie), отсутствие в файловой системе файлов с соответствующими именами. Т.е. подмена имен файлов при инсталляции на другие.
Метод прост.
Зловред сканирует систему - не находит этих данных и спокойно запускается в среде Sandboxie.
Хотя в самом крайнем случае зловред может сканировать файлы на предмет наличия конкретной ЭЦП и делать сверку хешей.
2. Тогда надо еще и подменять (затирать) подписи для файлов и изменять хеш.
P.S. Было бы отлично если бы Sandboxie мог еще и работать с образом диска.
Цитата:
пардон, а что понимается под этим понятием в контексте сабжа?
Исходя из того, что зловред может быть "заточен" на незапуск в среде с Sandboxie :
1.Отсутствие упоминания в реестре об инсталяции (или запуске) Sandboxie (упоминание конкретных имен исполняемых файлов, библиотек, службы Sandboxie), отсутствие в файловой системе файлов с соответствующими именами. Т.е. подмена имен файлов при инсталляции на другие.
Метод прост.
Зловред сканирует систему - не находит этих данных и спокойно запускается в среде Sandboxie.
Хотя в самом крайнем случае зловред может сканировать файлы на предмет наличия конкретной ЭЦП и делать сверку хешей.
2. Тогда надо еще и подменять (затирать) подписи для файлов и изменять хеш.
P.S. Было бы отлично если бы Sandboxie мог еще и работать с образом диска.
cdrom2
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов. Читайте мануал по сабжу, а также по компоненту HideDriver из пакета Buster Sandbox Analyzer.
По второму пункту - это уже получится виртуальная машина. Эта ниша уже давно занята другими программами.
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов. Читайте мануал по сабжу, а также по компоненту HideDriver из пакета Buster Sandbox Analyzer.
По второму пункту - это уже получится виртуальная машина. Эта ниша уже давно занята другими программами.
gjf
Цитата:
У меня не получилось
А у Вас ?
cdrom2
Цитата:
"Вживую"
sc query|find /i "sb"
Имя_службы: SbieSvc
в песочнице:
sc query|find /i "sb"
>dir "C:\Program Files\sand"*
Цитата:
>dir "C:\Program Files\sand"*
13.09.2011 13:24 <DIR> Sandboxie
"C:\Sandbox\nul\DefaultBox\drive\C\Program Files\Sandboxie"
Время создания: 23.05.1986 19:47:02,250
Содержимое папки C:\Program Files
Файл не найден
Цитата:
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов.
У меня не получилось
А у Вас ?
cdrom2
Цитата:
Отсутствие упоминания ... службы Sandboxie
"Вживую"
sc query|find /i "sb"
Имя_службы: SbieSvc
в песочнице:
sc query|find /i "sb"
>dir "C:\Program Files\sand"*
Цитата:
Отсутствие ... упоминание конкретных имен исполняемых файлов, библиотек, службы Sandboxie), отсутствие в файловой системе файлов с соответствующими именами. Т.е. подмена имен файлов при инсталляции на другие.
>dir "C:\Program Files\sand"*
13.09.2011 13:24 <DIR> Sandboxie
"C:\Sandbox\nul\DefaultBox\drive\C\Program Files\Sandboxie"
Время создания: 23.05.1986 19:47:02,250
Содержимое папки C:\Program Files
Файл не найден
ndch
Там не реестр скрывать надо, а сервисы. Хотя если проверяется внедрение библы... хм... ковырять надо
Образцы есть? В личку.
Там не реестр скрывать надо, а сервисы. Хотя если проверяется внедрение библы... хм... ковырять надо
Образцы есть? В личку.
gjf
Цитата:
Для кого написал:
в песочнице:
sc query|find /i "sb"
НИЧЕГО не находит !
Добавлено:
Цитата:
Это нормальная проверка, в отличии от проверки наличия файлов, службы и записей в реестре.
Цитата:
Там не реестр скрывать надо, а сервисы
Для кого написал:
в песочнице:
sc query|find /i "sb"
НИЧЕГО не находит !
Добавлено:
Цитата:
Хотя если проверяется внедрение библы
Это нормальная проверка, в отличии от проверки наличия файлов, службы и записей в реестре.
gjf
Цитата:
Сделал попытку сокрыть ветки реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
и другие
через "Доступ только для записи" и получил (при попытке запуска в этой песочнице "Запустить любую программу") либо ошибки или либо просто отсутствие окно для указания пути к объекту.
P.S. Ветки, конечно же специфические... буду изучать компоненту HideDriver из пакета Buster Sandbox Analyzer
Цитата:
По первому пункту - это легко настраивается запретом опросов определённых веток реестра и сокрытием служб/процессов.
Сделал попытку сокрыть ветки реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
и другие
через "Доступ только для записи" и получил (при попытке запуска в этой песочнице "Запустить любую программу") либо ошибки или либо просто отсутствие окно для указания пути к объекту.
P.S. Ветки, конечно же специфические... буду изучать компоненту HideDriver из пакета Buster Sandbox Analyzer
cdrom2
Цитата:
Зачем всё целиком то ?
Цитата:
Сделал попытку сокрыть ветки реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
Зачем всё целиком то ?
ndch
Цитата:
В указанных ветках огромное множество вложенных. А как угадать какую одну (а может и совсем не одну) именно из вложенных веток не следует читать? Не перебирать же их по одной... И не угадывать же конкретную комбинацию из неизвестного количества подветок...
....#
Цитата:
Зачем всё целиком то ?
В указанных ветках огромное множество вложенных. А как угадать какую одну (а может и совсем не одну) именно из вложенных веток не следует читать? Не перебирать же их по одной... И не угадывать же конкретную комбинацию из неизвестного количества подветок...
....#
cdrom2
Вы что в результате получить хотели ?
Добавлено:
cdrom2
Цитата:
В чём заключается неработа на данный момент ?
Вы что в результате получить хотели ?
Добавлено:
cdrom2
Цитата:
Была бы Sandboxie ... могла бы она работать со сторонними ветками реестра (HKLM и HKCC) и бы в ней был конструктор этих веток - цены бы ей не было.
В чём заключается неработа на данный момент ?
ndch
Цитата:
Пока абсолютно ничего. Это чисто теоретические изыскания, которые могли бы помочь выявлять узкоспециализированные зловреды.
Цитата:
Может может быть мое предположение не совсем корректно.
Как, перенеся (потом не импортируя их в реальный реестр) экспортированные ветки реестра с одной машины (без Sandboxie) на другую машину (с Sandboxie), запускать тестируемый софт, для которого перенесенная часть реестра будет "как бы реальной"?
Я осознаю, что данные действия имет признаки частичной виртуаилизации...
Цитата:
Вы что в результате получить хотели ?
Пока абсолютно ничего. Это чисто теоретические изыскания, которые могли бы помочь выявлять узкоспециализированные зловреды.
Цитата:
В чём заключается неработа на данный момент ?
Может может быть мое предположение не совсем корректно.
Как, перенеся (потом не импортируя их в реальный реестр) экспортированные ветки реестра с одной машины (без Sandboxie) на другую машину (с Sandboxie), запускать тестируемый софт, для которого перенесенная часть реестра будет "как бы реальной"?
Я осознаю, что данные действия имет признаки частичной виртуаилизации...
Ну Вы для себя писали или для другого человека ?
Я понимаю что это не brainfuck и не prolog, но очень похоже на write-only.
Из того что понял, Вы хотите:
Реестр одной машины
перенести в Sandboxie другой машины
Так ?
Тогда:
regedit /e full_dump.reg
и
на другой машине
в Sandboxie запустите full_dump.reg
С некоторой долей вероятности - заработает.
C:\Sandbox\*\DefaultBox\RegHive по сути - "разностный реестр".
так что само Sandboxie "имет признаки частичной виртуаилизации"
Я понимаю что это не brainfuck и не prolog, но очень похоже на write-only.
Из того что понял, Вы хотите:
Реестр одной машины
перенести в Sandboxie другой машины
Так ?
Тогда:
regedit /e full_dump.reg
и
на другой машине
в Sandboxie запустите full_dump.reg
С некоторой долей вероятности - заработает.
C:\Sandbox\*\DefaultBox\RegHive по сути - "разностный реестр".
так что само Sandboxie "имет признаки частичной виртуаилизации"
ndch
Цитата:
Нет.
#
Цитата:
Реестр одной машины
перенести в Sandboxie другой машины
Так ?
Нет.
#
Спрятано... #
cdrom2
Сюда то зачем писать ? Пиши автору.
Сюда то зачем писать ? Пиши автору.
ndch
Цитата:
Вся проблема в том, что он наверняка не поймет мой английский...
P.S. Если никому не интересно тогда прячу свои посты...ИМХО, функционал выявления узкоспециализированных зловредов - вещь полезная (Конечно, если под рукой нет исходного кода и нет экспертного оборудования...)
Добавлено
Можно ли как-то вручную отредактировать изменения в реестре внутри песочницы (т.е. непосредственно в RegHive)?
... и еще.
сама по себе Sandboxie создает в RegHive множество записей еще до запуска в ней какой-либо программы.
#
И возможно ли как-то выделить полезную информацию, т.е. записи про активность самой программы запущенной в Sandboxie?
Цитата:
Сюда то зачем писать ? Пиши автору.
Вся проблема в том, что он наверняка не поймет мой английский...
P.S. Если никому не интересно тогда прячу свои посты...ИМХО, функционал выявления узкоспециализированных зловредов - вещь полезная (Конечно, если под рукой нет исходного кода и нет экспертного оборудования...)
Добавлено
Можно ли как-то вручную отредактировать изменения в реестре внутри песочницы (т.е. непосредственно в RegHive)?
... и еще.
сама по себе Sandboxie создает в RegHive множество записей еще до запуска в ней какой-либо программы.
#
И возможно ли как-то выделить полезную информацию, т.е. записи про активность самой программы запущенной в Sandboxie?
такой вопрос, от непонимания.
имею mbrlock, тут брал, в вирусах
http://rghost.ru/37349866 -стандартный
прошмыгивает мимо песочницы 3.58(х86) и все тут.
первый раз на дефолтных настройках пускал, вторым разом открутил все что откручивается.
оба раза пришлось bootrec /fixmbr
хотя пускается в песочнице. уже и на мышь с ее даблкликами пенял, думал, что случайно прокатил вне.
вобщем, знаю что не должна из клетки вырываться, но прям мистика. вернее непонимание происходящего.
ставлю песочницы одну на другую, gif'вскую тоже лепил. они чего-то настройки контексного меню не поделили, пришлось оставить 3.58
вроде больше никаких дров не наломал.
ну не смертельно, но непонятно.
имею mbrlock, тут брал, в вирусах
http://rghost.ru/37349866 -стандартный
прошмыгивает мимо песочницы 3.58(х86) и все тут.
первый раз на дефолтных настройках пускал, вторым разом открутил все что откручивается.
оба раза пришлось bootrec /fixmbr
хотя пускается в песочнице. уже и на мышь с ее даблкликами пенял, думал, что случайно прокатил вне.
вобщем, знаю что не должна из клетки вырываться, но прям мистика. вернее непонимание происходящего.
ставлю песочницы одну на другую, gif'вскую тоже лепил. они чего-то настройки контексного меню не поделили, пришлось оставить 3.58
вроде больше никаких дров не наломал.
ну не смертельно, но непонятно.
folta
Не воспроизводится.
Не воспроизводится.
ndch
спасибо.
тогда я просто в осадке.
надо снести, подмести и начисто песочницу выставить.
это чую адекватнее будет, чем искать причину, которая и некритична. условия-то, искуственные.
спасибо.
тогда я просто в осадке.
надо снести, подмести и начисто песочницу выставить.
это чую адекватнее будет, чем искать причину, которая и некритична. условия-то, искуственные.
folta
Позвольте полюбопытствовать, как у вас винда активирована ?
Позвольте полюбопытствовать, как у вас винда активирована ?
ndch
windows loader 1.9.4.exe
оба раза пришлось "доактивировать"
windows loader 1.9.4.exe
оба раза пришлось "доактивировать"
folta
Не подтверждаю, всё в песочнице.
Не подтверждаю, всё в песочнице.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344
Предыдущая тема: Параметр запуска ACDSee
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.