Bericht 1 van 1NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 19-10-2007 |
| Aan | : | Allen | MsgID | : | 3596.1 |
| Onderwerp | : | In de zandbak | Forum | : | ws-nlcomputer |
Hoi,
Een tijdje geleden kwam ik het programma
SandBoxIe tegen. Een sandbox, zandbak, speelplaats waar je naar hartelust in mag knoeien. Anders gezegd (en ingewikkelder) een virtualiseringsprogramma. Wat doet zo'n zandbak nu en wat kan je er mee:
Als je een programma start vanuit de sandbox, zal de sandbox volledige controle over al het doen en laten van dat programma hebben. Wil het programma een map aanmaken, dan maakt het er een IN de sandbox. Wil een programma wat wissen, dan wordt het door de sandbox GETOOND als gewist (inclusief nieuw virtueel prullenbakje), en wordt er een registerwijziging gemaakt, dan zal de sandbox een nep-register voorhouden. Ook de internet geschiedenis, favorieten, tijdelijke internetbestanden, cookies ad- en spyware of virussen komen in de zandbak terecht als je de applicatie maar vanuit de sandbox start.
Nadat het programma beëindigd is - in de overtuiging dat het alle veranderingen werkelijk heeft gemaakt - kan je vervolgens de inhoud van de sandbox bekijken. Welke mappen en bestanden zijn er gemaakt of gewist, welke drivers zijn er geïnstalleerd of welke registerwaarden zijn aangepast? Een ideale manier om het doen en laten van een programma te onderzoeken. Vervolgens is er de mogelijkheid alles in de sandbox weg te gooien. Alles, dus iedere actie van het programma wordt vernietigd. Wat de computer betreft heeft het programma nooit bestaan.
Antivirusprogramma's als Nod32 maken ook gebruik van een sandbox om uit te vissen wat een niet vertrouwde applicatie allemaal uit wil vreten.
SandBoxIe is een vreselijk handig hulpmiddel als je bijvoorbeeld een een site op moet die je niet vertrouwt. Je start dan Internet Explorer gewoon via de SandBoxIe. Net even naar die beruchte SpySherrif site geweest en mijn computer laten infecteren. Handig om te zien wat dat stuk malware in feite uitvreet op de computer:
Scan uitgevoerd in: 19-10-2007 21:04:51
NOD32 version 2603 (20071019) NT
C:\SandBox\drive\C\Program Files\SpyShredder\SpyShredder.exe - een variant van Win32/Adware.SpySheriff applicatie
C:\SandBox\drive\C\Program Files\SpyShredder\SpyShredder0.dll - Win32/Adware.BraveSentry applicatie
C:\SandBox\drive\D\Temp\SpyShredderSetup.exe - Win32/Adware.SpySheriff applicatieVervolgens zandbakje leegkiepen, dág Spysheriff..
Ook een programma installeren kan via SandBoxIe, zo kan je eens kijken of het wat is, zonder dat het consequenties heeft voor het systeem. (Hoewel ik denk dat het programma niet goed zal werken als de installatie eerst een herstart vereist).
Kortom een handige tool. Helaas is de help-file alleen on-line te benaderen en niet al te duidelijk. Ook wil het programma altijd automatisch opstarten. Ik hou daar niet van, en zit zeker niet 10 keer per dag in de zandbak.
Maar als je zorgt dat SandBoxIe niet auto opstart, een duidelijke map aanwijst waar het zijn tijdelijke zandkasteeltjes in mag bouwen, en even de tijd neemt om de belangrijkste opties door te nemen, is het een verrekte handige tool voor als je iets eens niet vertrouwt, of als je op een bepaalde computer totaal geen sporen van een installatie of surf sessie achter wilt laten (SandBoxIe dan op een Usb stick zetten).
Zelf gebruik ik het alleen als volgt: Er is alleen nog maar een snelkoppeling naar Sandboxie Control. De rest heb ik gewoon weggemikt. Ik start die control (in de system Tray zie ik het gele zandbakje), en via een rechtsklik op dat icoontje kan ik alles doen wat ik wil. Netjes en clean.
Natuurlijk altijd in de gaten houden wat via SandBoxIe is gestart en wat niet. Beschermde programma's worden in de titelbalk getoond met
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 20/10/2007 9:23 CET door
Michel Uphoff (Sysop)
