» Sandboxie

Astra55

Цитата:

Никто не взял на себя труд пройти по указанным сайтам и поглядеть на результаты посещения

В том то и дело - я не могу найти сайты,которые заражают комп.
Весь ваш список,включая http://www.mscracks.com я проверил online drweb.com и все чисто.
http://online.us.drweb.com/?url=1

ed007

Цитата:

я проверил online drweb.com и все чисто

Вы что, держите хакеров за полных лохов? Если они были таковыми, то всем жилось бы вольготно и беспечно. Но к сожалению, преступный контингент весьма и весьма неглуп, поэтому проверки в онлайне никогда эффекта не дадут, заходите чистА кАнкретно браузером и тогда поймете разницу. Когда отымеют по полной программе Если не принять соответствующих мер, разумеется.

Цитата:

Не совсем понятно откуда такое безграничное доверие к Sandboxie, причем, вообще без всяких аргументов.

Не совсем понятно, а почему его быть не должно? Когда никаких аргументов и подтверждений опровергающих это доверие приведено не было.


Цитата:

Никто не взял на себя труд пройти по указанным сайтам и поглядеть на результаты посещения, зато с пеной у рта готовы оспаривать дырявость Песочницы.

Скромно... =))) Дать "простыню" ссылок и сказать "нате ищите, где-то тут". Я из-за принципа вообще-то прошёлся по всем этим ссылкам, ничего нет. Что ещё сделать? Ещё проверить шт. 200 ссылок или поставить IE 6?

Donatello
Делайте что хотите. Только не рекламируйте нервущиеся и негнущиеся презервативы. Таких не бывает. А мне надоело переливать из пустого в порожнее. Dixi.

Уморился я читать ваши религиозные войны!
Sandboxie самая охренительная штука из известных мне пока средств контрацепции при лазаньи в инете. Я работаю с несколькими сотнями компов с разными антивирями - Symantec, Nod32, Kaspersky, ни один из них не спасает от того говна которое попадает на комп через браузер, это ж просто жопа! Я чуть ли не каждый день отсылаю пачками новые вредоносные проги которые нахожу на компах (естественно не определяющиеся антивирусами) в антивирусные лаборатории.
А сандбокс, не дает этому говну вылезти и насрать в ральном компе, естественно это не панацея, но в комплексе с антивирусом, она покрывает 99% проблем лезущих на комп из инета, я не вникал насколько она эффективно справляется с червями, те. может из нее выбраться или пойти гулять дальше червь юзающий что-то типа глюков RPC или LSAS, но от всех деструктивных действий на уровне файловой системы и реестра она спасает а это решение 99% всех проблем из инета. Недавно в очередной раз звонят и говорят - у меня при запуске ИЕ виснет комп... я пришел, запустил в натуре такие тормоза... ничего с компом больше не сделать... лезу в папку с Sandboxie - там куча левых ехе, при том что на компе стоит антивирус! естественно при запуске ИЕ они все или пости все получали управление и подвещивали комп, я просто удалил все что там собралось, и браузер а вместе с ним и комп снова ожили и заработали как ни в чем не бывало !

Добавлено:
так что, как говорили в "Жмурках", только не надо гнать!

All, хорош холиварить!

Astra55, приведённый тобой "перевод" - это простое "сочинение на тему", и с заявлениями самого автора ничего общего не имеет. Подобного хлама на любом варезном/софтовом/новостном портале как грязи.
А сам автор говорит только
Цитата:

the key component of Sandboxie: a transient storage area, or sandbox. Data flows in both directions between programs and the sandbox. During read operations, data may flow from the hard disk into the sandbox. But data never flows back from the sandbox into the hard disk.

и никаких заяв о всяких "доступах к сети" и т.п.

Поэтому я тоже заинтересовался вопросом, на который ты так и не ответил: а куда оно пролезло-то? Тот ловкий троян записался-таки у тебя в саму систему или остался в песочнице?

VitRom
Он запустился в песочнице и пытался получить доступ в Инет, иначе как бы его засек фаер? Менее прыткие трояны упали в песочницу и лежали там тихо и мирно. Насчет cmd - запускается реальный процесс в самой системе, в песочнице его нет. Поэтому все рассуждения на эту тему идут лесом, налицо явная дыра в Sandboxie. Если бы не пароль на cmd, то была бы куда более печальная картина.
Erazer

Цитата:

не дает этому говну вылезти и насрать в ральном компе

Если бы не давал, то и разговору бы не было. А то начинается выяснение, что браузер не IE6, а cmd должен запускаться в песочнице и т.д. Должен, да не обязан. Что зря опровергать реальные факты? Лучше бы в техсаппорт написали про дыры, глядишь и поправили бы что-то.

Цитата:

Он запустился в песочнице и пытался получить доступ в Инет, иначе как бы его засек фаер?

Столько флудили-флудили, а вернулись к тому с чего начинали... Вообщем всё понятно, я закончил обсуждения. Это очевидно бесполезно.


Цитата:

Насчет cmd - запускается реальный процесс в самой системе, в песочнице его нет.

Сделать файл, который запускает cmd и запустить его в песочнице - дело минуты. Я не знаю конечно, у кого он где запускается, но у меня где должен - в песочнице.

Donatello, я понял так, что речь идёт о форке/детаче

Astra55, т.е. реальные файлы остались-таки живы, как и обещалось

Собсно, сейчас, поглядывая в ProcessExplorer, попробовал такое:
- Run Any Program
(дерево процессов SbieCtrl.exe - Start.exe - SandboxieRpcSs.exe, ну и WaitForUserInput)
- cmd <enter>
(дерево закрыто, SandboxieRpcSs.exe и cmd.exe детачатся)
Окно cmd без "решёток", окружение процесса "стандартное" (как при "чистом" запуске).
В консоли делаю
- echo 123 > %systemroot%\system32\explorer.exe
вокруг cmd появляются "решётки"
процесс cmd.exe (и SandboxieRpcSs.exe) с теми же PID уже в списке песочницы
- type %systemroot%\system32\explorer.exe
вижу 123
защита файлов молчит.
выхожу из консоли, оба процесса закрываются.
смотрю содержимое песочницы - 4-байтовый "эксплорер" лежит в Х:\Sandbox\DefaultBox\drive\C\WINNT\system32

Да господи ты боже мой... Вот видео сделал. Запуск файла в песочнице, который через 10 сек. запускает cmd.exe, а потом запускаются ещё несколько интерпретаторов и закрываются. Всё наглядно, всё видно - http://rapidshare.com/files/129658526/video.rar
Вот наглядное удаление explorer.exe и сравнение с окном интерпретатора, запущенного вне песочницы - http://rapidshare.com/files/370110108/video2.rar
Кодек, кому нужен - CamStudio Lossless Codec

VitRom

Ну правильно, решётки появляются не сразу, а по нажатию мышки например. В любом случае она сразу запускается в песочнице - это видно в окне Sandboxie, я уж не буду говорить о том, что всё легко проверить - попробовать файл удалить/переименовать и т.п. Чего тут ещё обсуждать-то, когда человек просто не слушает, что ему говорят. Мало того, что столько нафлудили, так вернулись к тому с чего начинали. Файл запущенный в песочнице проявил сетевую активность - это значит песочница дырявая.

В песочнице баг - неправильный переход по одному из адресов, вот и кажет, что вирей куча.

Не знаю подходит такой эксперимент или нет:
Запустил в песочнице два установочных файла - всё установилось внутри песочницы т.е. в C:\Sandbox\User\DefaultBox\drive\C\Program Files\XXX
Больше нигде ничего нет. После перезагрузки компа, следов от одной установки нигде нет (кроме как в песочнице), а от другой установки появилось всё в C:\Program Files\XXX и в C:\Windows и записи в реестре.
Так что песочницу "чистить" надо перед выключением/перезагрузкой. Но не знаю поможет ли это. Надо снова попробовать - после "чистки" и дальнейшей перезагрузки посмотреть что останется.

дабы попытаться положить конец всем спорам о 100% безопасности программы, сваял небольшой краш-тест, демонстрирующий как используя стандартный cmd.exe можно легко вырваться из песочницы и легко манипулировать файлами и реестром:

http://rapidshare.com/files/130811890/POC_For_Sandboxie_-_v.x.xx.zip.html

В данной сборке все действия безобидны, в нашем случае просто создается текстовый файл на диске C: с текстом внутри. Файлик помещаем в песочницу, и запускаем его там. Многие моменты и мини-пояснение находятся внутри архива в текстовом описании.

Думаю будет понятно, что если реально создать файл, легко его также удалить. переиментовать, получить доступ к реестру.

Johnson Finger

Цитата:

дабы попытаться положить конец всем спорам о 100% безопасности программы, сваял небольшой краш-тест, демонстрирующий как используя стандартный cmd.exe можно легко вырваться из песочницы и легко манипулировать файлами и реестром:

Я особо не тестировал, т.к. мне это ерунда уже надоела, но пред. версии, в частности 2.64, драйвер просто не реагирует на прямой запуск из песочницы (и нет в контекстном меню) - на файлы типо .cmd. В последней версии в контекстном меню уже есть Запустить в Sandboxie на этот тип файлов. Последнюю версию протестировать не могу, т.к. она у меня толком не работает из-за User Name на русском, менять/создавать ради этого я не буду. Поэтому я просто взял и добавил cmd в Forced Programs и хоть обзапускайся, вот и всё. Проверил и на 2.64, также всё работает замечательно. Поэтому вся "уникальность" примера в том, что драйвер никак не реагирует на прямой запуск этого типа файла (конечно же мы корректно умолчим, что это имеет мало общего с реальностью). Возникает вполне справедливый вопрос... вы ребят, вообще настройки-то смотрели? Прежде чем ставить пароли на cmd и делать """сборки""", в которых не хватает разве, что копирайтов. В последней версии появился целый раздел - Resource Access, например.

Все эти разговоры "теоретиков" уже утомили, даже если и теоретически предположить это, то практически, найдите сначала такой троян/вирус, который будет спец. выбираться из песочницы. Саму программу пользует ничтожный процент пользователей, поэтому никто в здравом уме не будет под неё спец. писать и создавать.

Donatello - по дефолтным настройкам и при ручном ОБЫЧНОМ запуске мой ликтест прекрасно работает, т.е. ент форсированного перехвата процесса CMD. А если спецолм выбирать "Запустить в Сэндбокси" или форсировать в настройках CMD, чтобы он всегда запускался там, то безусловно тест терпит неудачу, версия сэндбокси самая последняя на данный момент. так что все таки баг имеет место быть...

Johnson Finger

А что ты ещё хотел-то? Драйвер просто не реагирует на прямой запуск этого типа файла, вот и всё. Точно также как и не реагирует на .txt, .jpg и т.п. Не нужно никаких
Цитата:

ликтест

, достаточно создать любой файл c этим расширением, чтобы это увидеть.


Цитата:

А если спецолм выбирать "Запустить в Сэндбокси" или форсировать в настройках CMD

Ну так... А настройки для чего в программах вообще? С таким же успехом можно поставить файерволл и думать почему "тебя имеют". Очевидно, что автор не глупый человек, и такая ситуация практически нереальна в реальных условиях. В любом случае есть настройки, хочешь даже исключить такую ситуацию нереальную или вообще хочешь чтобы окно интерпретатора всегда запускалось в песочнице - пож. есть опция позволяющая это сделать. В последней версии вообще поле для действий благодатное.

Господа, означает ли прекращение этого полезного обсуждения (на 2-х последних страницах), что всем стало ясно - Sandboxie малоэффективен или даже вреден от действия пееполняющих "песочницу" зверей: зависание компа, передача считанных с диска секретов, рассылка спама и т.д..
Я увидел такие гвозди для гроба Sandboxie (это неопровергнутые цитаты из постов):
1. "если попытаться проверить антивирусом файл заведомо известного троянца в Sandbox при запущенной Песочнице, то антивирус его не видит!"
(так вот откуда радостное сообщение "лезу в папку с Sandboxie - там куча левых ехе, при том что на компе стоит антивирус!")
2. "запущенный по ссылке из браузера в Песочнице ФлэшГет все действия совершает в виртуале, а вирус вырывается на свободу, в реал"
3. "если исполняемый файл загрузился, он может начать вести сетевую активность."
(т.е., заходи - кто хочет, бери - что хочет)
4. "Запустил в песочнице два установочных файла - всё установилось внутри песочницы т.е. в C:\Sandbox\User\DefaultBox\drive\C\Program Files\XXX
Больше нигде ничего нет. После перезагрузки компа, следов от одной установки нигде нет (кроме как в песочнице), а от другой установки появилось всё в C:\Program Files\XXX и в C:\Windows и записи в реестре."
Кто может вытащить эти гвозди?

Вопрос к юзерам Sandbox:
После установки Sandbox, как будет происходить выход в инет, если сейчас так
"IE6 - вебэкран антивиря - файер - инет" и "любая прога - файер - инет"?

Sssvan, насчёт опровержений -- вспомни "Неуловимого Джо".

Цитата:

"если попытаться проверить антивирусом файл заведомо известного троянца в Sandbox при запущенной Песочнице, то антивирус его не видит!"

кому он нах нужен проверять его, если он в песочнице?!
Цитата:

"если исполняемый файл загрузился, он может начать вести сетевую активность."

Ну да! Поясню ещё раз на пальцах (хотя ты и говоришь, что тему читал): это НЕ файрвол, НЕ виртуалка, НЕ антивирь и НЕ ХИПС.
Автором заявлена только не-запись на реальную ФС. Кроме того, как правильно было сказано где-то раньше, всё зависит от настроек. Надеюсь, это не открытие

Цитата:

Кто может вытащить эти гвозди?

"Неуловимый Джо"

Цитата:

как будет происходить выход в инет

Может быть, "прога - сандбоксер - фаер - инет", а?
Хотя ты очень грамотно и логично рассуждаешь, поэтому для тебя ИМХО лучше взять да попробовать самому

Sssvan
Свежий взгляд со стороны бывает полезен, поскольку натолкнул меня на одну любопытную мыслю. Попробую реализовать ее на досуге - хитрый браузер без Сандбокси. Если выйдет нечто заслуживающее внимания в плане защиты от лезущих вирусов - сообщу.

А мне пришло в голову еще более параноидальное.
Куча народа, поверившая в герметичность "песочницы", будет пользовать прогу даже без антивиря и файера. А хозяйва проги из "песочницы" смогут вытянуть с их компов всю секретную инфу (пароли, кредитки и т.п.). Тем более им будут известны адреса покупателей их проги.
Как сказал VitRom, зачем же искать вирусы в песочнице, они же не могут изменять реальные файлы!
Но для того чтоб спizditь пароли и номера счетов, на надо менять файлы.
Получается, что Sandboxie это не просто слабая защита, а сознательная дверь для воров.

Цитата:

Получается, что Sandboxie это не просто слабая защита, а сознательная дверь для воров

Ну, в общем-то -- да, особенно если
Цитата:

пользовать прогу даже без антивиря и файера

а также хранить пароли в Май Документс\Май пассвордс.док и номера счетов где-то рядом примерно так же Но тут уж антивирь не поможет -- только лоботомия

Цитата:

зачем же искать вирусы в песочнице

если её можно просто регулярно "вытряхивать"?!

ЗЫ. И, кстати, для той же Песочницы -- настройки, настройки, и ещё раз...

VitRom

Цитата:

"Неуловимый Джо"

ТАТУ - "Нас не догонят..." =)))



14 июля оставил на форуме Sandboxie сообщение о том, что все послед. версии после v2.64 не корректно работают (а попросту не работают), если User Name содержит символы отличные от английских... Думал забил автор, уже даж обиделся. =))) Вчера ответил:

Цитата:

Please try version 3.29.14.

Проверил, действительно всё работает теперь. [more=Changes from version 3.28]IMPORTANT: A bug in versions 3.29.10 and 3.29.11 may cause them to crash the entire system some time after the Sandboxie is de-activated during the upgrade to a newer version. To mitigate this risk, please restart your system immediately after upgrading from version 3.29.10 or 3.29.11.

Changes from version 3.28:

* Fixed a problem with sandboxed installations incorrectly using DLLs located outside the sandbox, even if the installation deploys a newer DLL within the sandbox.

* Support for NetNanny 5. (3.29.05)

* File and folders (but probably not any other kind of object) can be dragged from a regular window and dropped into a sandboxed window. (3.29.07)

* Right-clicking "Properties" on file in a sandboxed Windows Vista Explorer should no longer create a copy for that file in the sandbox. (3.29.07)

* Eliminate some cases of a SBIE2306 message (3.29.07)

* Resolved problem with choppy audio on Windows Vista (3.29.10)

* New Resource Access Monitor in File Menu can help to identify resource exclusions (3.29.13)

* Fixed problem when user account contains non-English characters (3.29.14)

* Revised Internet Access restrictions/exclusions to include UDP (3.29.14)

* Fixed a small bug in how the sandboxed registry was handled (3.29.14)

* Added support for sandboxing storage devices (3.29.14)[/more]
Бегло посмотрел настройки - раздел Доступ... Доступ в интернет можно запретить всем программам или разрешить браузеру одному, не считая других ограничений в этом разделе. Хотя этот раздел был как минимум ещё в версии 3.28.

Хм, а где взять 3,29?

Цитата:

Хм, а где взять 3,29?

These are not official releases, but should be stable. Feel free to download and use.

Version 3.29.14
http://www.sandboxie.com/SandboxieInstall-329-14.exe

Цитата:

* Added support for sandboxing storage devices (3.29.14)

Если это то, о чём я подумал, то вещь архиполезная

VitRom

Цитата:

Если это то, о чём я подумал, то вещь архиполезная

Уж не знаю о чём ты подумал... Это выбор для местаположения папки-контейнера. Добавили просто выбор разных драйвов. Фактически одну опцию видоизменили и автоматизировали немного, вот и всё. Раньше же тоже можно было задать любое местаположение для "Sandbox Top-Level Folder".

Больше всего в посл. версиях, после 2.64, мне нравится, что не нужно с драйвером заморачиваться - вручную запускать. Захотел удалил из автозагрузки, захотел - завершил процесс... Когда нужно сам запустится.

Хм-м, а я понял было как "поддержка [автоматического] "запесочивания" [съёмных] устройств хранения данных", типа автоизоляция флешек и т.п. Хотя сейчас проглядел -- уже есть оно, только через пути.

(ветки в форуме пока нет)
Недавно заметил такую штуку как GeSWall (ещё не юзал). Описывают себя занятно, мол, это не сандбокс, это не фаер, это ничего не изолирует, а только реализует MAC (mandatory access control) и ограничивает доступ к ресурсам. В общем, нечто типа улучшенного Вистовского UAC, только для не-Висты.

VitRom


Цитата:

Хм-м, а я понял было как "поддержка [автоматического] "запесочивания" [съёмных] устройств хранения данных", типа автоизоляция флешек и т.п. Хотя сейчас проглядел -- уже есть оно, только через пути.

Там путь один задаётся в этой опции, где будет храниться папка-контейнер, где укажешь, там и появится папка. По умолчанию она всегда была: %AppData%\Sandbox, её можно и раньше было изменить и сейчас, например сейчас: A:\Sandbox\%USER%\%SANDBOX% можно поставить, пользуясь выбором, который предоставляет программа (что не рекомендуется). К тому же можно добавить в Forced Folders. Поэтому не совсем понимаю, о чём ты... =)

покурив маны понял что вещь хорошая но господа есть ли опция всё новое несуществующее и не разрешённое пускать через оный продукт

bornbill

Цитата:

покурив маны понял что вещь хорошая но господа есть ли опция всё новое несуществующее и не разрешённое пускать через оный продукт

Ну можно добавить папку, например диск С:\, в Forced Folders. =) Ну это уже перебор. Да работает, но добавлять тот же системный диск... Можно потом собирать ошибки. Можно explorer запускать через неё.