5 replies to this topic

[Txon]

Suite de ... Sandboxie vu autrement

Isoler les dangers potentiels !!! - Sandbox
Par « sandbox » (littéralement « bac à sable ») on entend un procédé d'isolation destiné au fonctionnement d'un logiciel dans un espace séparé et confiné de l'ordinateur. A l'origine, la technique « sandbox » était utilisée essentiellement pour sécuriser les applets Java. Elle peut servir de cadre virtuel pour éviter la corruption du système en cas de problème : bogue d'une application, attaque de maliciel ...

Un logiciel gratuit comme Sandboxie © de Ronen Tzur crée un de ces environnements provisoires. Il peut être utilisé pour un fonctionnement sécurisé de toute application susceptible de poser un problème ... qu'il s'agisse de navigation sur le web ou d'essais de nouveautés.

Les logiciels antivirus et les outils antispywares balayent vos fichiers et le Registre à la recherche de virus connus et de logiciels non sollicités. De tels outils peuvent seulement enlever les virus et le spyware s'ils l'ont identifié, et habituellement seulement après que ce logiciel ait fait son chemin dans votre ordinateur.
Ceci contraste avec l'approche de Sandboxie, qui maintient les virus et le spyware emprisonnés dans le bac à sable, et les fait disparaître quand vous quittez le sandbox.

Pour beaucoup de francophones, le plus grand défaut du logiciel Sandboxie est de ne pas être traduit en français. Pourtant, avec quelques explications, il est simple à comprendre et à utiliser.

Sandboxie sur le web ...

• Site officiel ...
  • -> Téléchargement
  • -> Help & FAQ dossier d'aide pour les anglophones
• -> Eight Security Sandboxes Reviewed and Rated test comparatif de Ian "Gizmo" Richards (english).
• -> Sandboxie, le principe du bac à sable tutoriel de "Typhoon", "maxsims1" et "noisette" sur infomars.
• Quelques explications complémentaires ou présentées autrement ...
  • Généralités
  • I (choix des sandboxes – logiciels admis et refusés)
  • II (téléchargements et sauvegardes)
  • III (nettoyage et arrêt de la « sandbox »)
  • IV (modification du Registre et autres fonctions)

…\…

[Txon]

.../...

Généralités

[1] – Versions de Windows

• versions 32 bits : 2000, XP, Server 2003, Vista.
• versions 64 bits : XP, Server 2003

[2] – Installation - Précautions
Comme beaucoup de logiciels de sécurité, Sandboxie pourrait être incompatible avec certains autres et en particulier un firewall ou un antimaliciel quelconque. Par mesure de précaution désactivez vos utilitaires de défense le temps de l'installation et réactivez-les ensuite.


[3] – Modules
Sandboxie utilise plusieurs processus ...

• Control.exe ... processus principal (image ci-dessus)
• SandboxieExplorer.exe ... comme Windows Explorer mais "sandboxed".
• SbieSvc.exe ... processus du "service"
• SandboxieRpcSs.exe (et SandboxieDcomLaunch.exe pour XP SP2 et XP Pro 64 bits) pour l'usage du Component Object Model (ActiveX).
  

La consommation totale de mémoire en pointe ne devrait pas excéder 16 ou 17 Mo.
Sandboxie charge aussi ...

• un driver SbieDrv.sys dans le noyau
  
• une clé dans la ruche HKCU du Registre Windows
  

[4] – Techniques

Sandboxie prolonge le système d'exploitation en s'y incorporant. Les applications ne peuvent jamais accéder directement aux composants matériels comme le disque dur sans l'intermédiaire du système d'exploitation. Puisque Sandboxie y est intégré, il peut le faire sans risque de mise en échec.
Les catégories d'objets systèmes supervisés par Sandboxie sont : fichiers, unités de disques, clés du Registre, Threads et processus, drivers et objets utilisés pour la communication inter-processus, tube nommé, courriers électroniques, évènements, Mutexs (Mutants dans le vocabulaire NT), sémaphores, sections et ports LPC

Pour y arriver, Sandboxie procède à de nombreux crochetages, parfaitement vus par RkUnhooker (depuis l'extérieur du bac à sable). Il faut noter que ces crochets sont effectués au niveau utilisateur 'ring3' et que la table 'SSDT' située au niveau superviseur 'ring0' n'est plus concernée dans les versions actuelles (2.80 et suivantes).

... ... ...

[5] - L'espace « sandbox »
En standard, le bac à sable est un répertoire (dossier) isolé Defaultbox -> x\Documents and Settings\xxx\Application Data\Sandbox\

Il faut noter que les fichiers d'installation des logiciels mis dans la sandbox et la copie d'une partie du Registre Windows sont stockés dans divers sous répertoires.
Plus de détails sur l'organisation de Sandboxie -> Sandbox Hierarchy


[6] – Paramètres de fonctionnement
Le fichier global de paramètres Sandboxie.ini est situé dans le répertoire %SystemRoot%\WINDOWS ... Beaucoup des fonctions y sont modifiables 'manuellement'.
Plus de détail sur les paramètres -> Sandboxie.ini (english)
/!\ Attention /!\ ... ne modifier qu'en parfaite connaissance de cause.

…\…

[Txon]

.../...

Fonctions ... I

[1] – Plusieurs « sandbox » ... où on le souhaite
(a) Il est possible de créer autant de sandbox qu'on le souhaite, en particulier pour créer des environnements de travail distincts ... [Configuration] -> [Create New Sandbox...] ...

(b) Il est également possible d'assigner à la sandbox un dossier différent du standard ... [Configuration] -> [Global Settings] -> [Set Sandbox Top-Level Folder] ... Il suffit de remplacer %APPDATA% par le chemin du répertoire souhaité.

Notez que la sandbox peut être située dans une Ramdisk (si votre PC dispose de suffisamment de mémoire).


[2] - Les logiciels admis dans la "sandbox"

Vous devriez pouvoir faire fonctionner dans le bac à sable la plupart des applications :

• Navigateurs,
• Lecteurs de courrier électronique et de nouvelles,
• Logiciels de messagerie instantanée et de "chat",
• Gestion de réseau de pair-à-pair (P2P),
• Jeux et plus particulièrement les jeux en ligne qui téléchargent des extensions logicielles.

Dans tous les cas de cette liste et côté client (vous) les programmes sont exposés à des 'codes' logiciels distants qui peuvent les utiliser pour infiltrer votre système. En utilisant ces programmes dans la sandbox, vous augmentez le contrôle sur cette voie de pénétration.

(a) [Function] -> [Run Sandboxed] ... En priorité, il y a [Internet Explorer] et/ou le navigateur par défaut [Default browser] (Firefox ou autre) et le gestionnaire de courrier électronique [Email Reader] - mais pas seulement.

• [Any Program] permet à l'utilisateur d'indiquer dans une fenêtre le chemin d'un logiciel qu'il compte faire fonctionner dansle bac à sable. Le même résultat peut être obtenu après l'installation complète de Sandboxie en effectuant un "click droit" directement sur le fichier du programme à lancer et en choisissant [Run Sanboxed]
• [From Start Menu] ouvre une fenêtre et propose à l'usager de choisir parmi les logiciels du bureau ou les programmes du menu général de Windows.
• Windows Installer Service permet de lancer MSIServer, nécessaire à certains logiciels mais que Sandboxie n'autorise pas en standard et qu'il faudra interrompre soi même en fin d'utilisation.

(b) Tous les paramètres d'installation des logiciels isolés dans le bac à sable sont recopiés au sein de la sandbox ... Par exemple pour Firefox on va trouver dans le sous répertoire drive de la sandbox la réplique du répertoire d'installation de Firefox dans la partition système.

Au fur et à mesure de la mise à jour du marque-pages ou de l'intégration de modules complémentaires, ce sont les paramètres du Firefox isolé qui sont mis à jour (sauf paramètre particulier dans la configuration - option file copy - voir ci-dessous)


[3] - Les logiciels "interdits"
Pour simplifier, on peut considérer que l'utilisation de Sandboxie revient à celle d'un compte utilisateur. Il est impossible de faire fonctionner certains logiciels au sein du bac à sable à cause des systèmes de restriction d'accès au noyau et à certaines fonctions de Windows mises en place pour isoler la sandbox et son contenu.

(a) Les logiciels dont un 'driver' veut s'introduire dans le noyau ne pourront pas être lancés. Ils donnent lieu à un message d'avertissement SBIE2103. C'est le cas par exemple de IceSword, RkUnhooker ou Seem et HideToolz ainsi que de la majorité des logiciels de défense récents, mais aussi du rootkit Unreal.A et d'autres maliciels qui voudraient accéder au noyau.

...

(b) /!\ Attention /!\ ... les logiciels malveillants qui n'introduisent pas de 'driver' dans le noyau ne sont pas concernés par cette mesure de protection. Le contenu de Sandboxie peut être infecté par toutes sortes de parasites "ordinaires" ...

• Il faudra être vigilant au moment de transférer les fichiers entrés dans le bac à sable vers la partie protégée du disque (voir paragraphe "II" [4] [c] ci-dessous),
• Le vidage du bac à sable en fin de session permet d'éliminer tant les fichiers inutiles que les nuisibles (voir paragraphe "III" [5] (b) ci-dessous).

[c] En cas de nécessité, il existe des possibilité de contourner ce barrage ...

• dans certains cas, en lançant un de ces logiciels hors de Sandboxie afin que son driver se charge dans le noyau puis en essayant de le relancer au sein du bac à sable ... mais ceci peut créer des instabilités du système,
• en modifiant le paramètre Block Drivers ... déconseillé, car si vous pouvez ensuite lancer les logiciels de votre choix dont le driver pénètre dans le noyau, il en est de même pour tout logiciel malveillant.

Exemple : IceSword lancé dans une sandbox ...

…\…

[Txon]

.../...

Fonctionnement ... II

[4] – [Les téléchargements et leurs sauvegardes]
Contrairement à ce qui est écrit ici ou là, en standard, les fichiers téléchargés à partir d'un logiciel fonctionnant depuis une sandbox sont enregistrés sur le disque dur, mais dans la partie isolée réservée au bac à sable. C'est vrai pour tout fichier y compris les plugins d'un logiciel lorsqu'il y fonctionne.

(a) C'est le cas en particulier pour les modules complémentaires de Firefox qui s'intègrent aux paramètres du Firefox de la sandbox mais ne le sont pas dans ceux du Firefox hors Sandboxie. Les modifications au profil et les plugins téléchargés se retrouvent dans un sous répertoire 'user' de la sandbox,

Une série de passe-droits dans les paramètres de configuration permet d'éviter cet isolement pour ce qui est des mails, des favoris de navigation ... (option file copy - voir ci-dessous).

(b) Les logiciels téléchargés dans le bac à sable peuvent y être installés pour effectuer des tests. Ils ne pourront cependant pas l'être si des emplacements particuliers hors sandbox sont imposés.

[c] Si vos utilitaires de défense qui fonctionnent hors de la Sandboxie sont efficaces, ils ont analysé en temps réel les fichiers progressivement enregistrés dans le bac à sable et vous ont alerté si l'un d'eux est douteux ou même malveillant. Quoi qu'il en soit, il est toujours préférable de prendre une précaution supplémentaire et d'effectuer un scan du répertoire (dossier) de Sandboxie (au besoin, revoir Fonctionnement I ci-dessus) avant de transférer les fichiers téléchargés vers la partie non isolée du disque.


(d) D'une manière générale, les fichiers téléchargés peuvent être exportés vers des répertoires de stockage hors sandbox ...

• [Function] -> [Contents of Sandbox] -> [Explore contents] correspond à l'Explorer de Windows pour la sandbox et provoque l'ouverture d'une fenêtre dans laquelle sont listés les dossiers accessibles puis, dans l'arborescence, tous les fichiers.
• [Function] -> [Contents of Sandbox] -> [Recover Files] provoque l'ouverture d'une fenêtre différente dans laquelle sont listés tous les fichiers téléchargés qui peuvent être transférés. Il suffit alors de sélectionner les fichiers vraiment désirés et de choisir où ils devront être mis ...
  • [Recover to the same folder] ... le fichier ira dans le dossier de destination prévu en standard,
  • [Recover to Any Folder] ... provoque l'ouverture d'une nouvelle fenêtre et laisse le choix d'un répertoire existant ou la possibilité d'en créer un nouveau.

... ...

…\…

[Txon]

.../...

Fonctionnement ... III

[5] – [Nettoyage et arrêt de la « sandbox »]

(a) Arrêt des processus en cours.
[Function] -> [Terminate Sandboxed Processes] ...

• [In Current Sandbox] ... ferme les processus de la sandbox à partir de laquelle on exécute cette fonction.
• [In All Sanboxes] ... fait la même chose dans tous les bacs à sable.

(b)Nettoyage - élimination des fichiers entrés dans la Sandbox.
Deux solutions applicables après avoir effectué les sauvegardes ...

• [Function] -> [Contents of Sandbox] -> [Delete contents] ... ne peut pas être utilisé si les processus en cours dans le bac à sable ne sont pas fermés (voir ci-dessus). Cette fonction envoie un message pour informer l'utilisateur sur le nombre de dossiers et de fichiers présents et demander une confirmation d'effacement ... [Proceed with Delete]
  
  
• [Configuration] -> [Sandbox Settings] -> [Set Automatic Clean-Up Options...] ... suppression automatique ...
  ...
  • [Automatically Delete Contents of Sandbox] ... cochez cette case pour une suppression automatique des fichiers se fera à la fermeture de la sandbox ...
    • Les cases dans la partie droite de la fenêtre permettent de chosir ce qui doit être effacé : [My Documents] Mes Documents, [Favorites] Favoris Internet Explorer, [Desktop] documents du Bureau, [Firefox Profiles] Profil Firefox ...
    • Dans la grande case du centre gauche, se touvent les adresses symbolisées correspondant aux choix effectués. Il est possible de rajouter les chemins d'autres dossiers à vider automatiquement.
  • [Enable Immediate Recovery of these folders] ... cochez cette case pour que Sandboxie provoque l'ouverture d'une fenêtre à chaque changement dans les fichiers de la sandbox pour permettre une sauvegarde immédiate ...
    • [Yes, to Same Folder] oui, dans le même dossier (répertoire), le fichier ira dans le dossier de destination prévu en standard
    • [Yes, to Another Folder] oui, dans un autre dossier ouvre une fenêtre pour choisir le dossier hors sandbox,
    • [Not now] pas maintenant,
    • [Don't prompt again untill sandboxed programs stop] cocher cette case permet d'arrêter les demandes instantanées et d'attendre la fin de l'exécution du programme.
    ...

…\…

[Txon]

.../...

Fonctions ... IV

[6] Modification du registre.

Quand on teste un logiciel il est important de connaître les modifications faites dans le Registre. Pour ceux qui sont essayés sous Sandboxie, c'est la même chose.

Voici une précision pour les novices apportée par SBIE User et qui concerne la consultation de la partie du Registre Windows qui correspond à la sandbox.
Traduction libre/adaptée ...

• Utilisez un éditeur de Registre comme le programme regedt32 intégré à Windows en pressant les touches du clavier [Windows] et [R] (ou [r]) et en tapant alors regedt32 (sans i).
  Vous trouverez la clé de la sandbox dans la ruche HKEY_USERS.
  Elle sera du genre Sandbox_xxx_DefaultBox registry où 'xxx' représente le nom de votre compte d'utilisation de Windows.
• Faites un « click droit » sur la clé et choisissez Exporter pour effectuer une sauvegarde dans un fichier dont vous choisirez l'emplacement d'enregistrement. Il sera au format de votre convenance et vous pourrez ouvrir avec un éditeur de texte (Notepad par exemple) dont vous choisirez l'emplacement ... extension .reg (*) ou .txt ...
  Un logiciel quelconque doit être en train de fonctionner dans Sandboxie sans quoi vous ne trouverez pas la clé initiale.
• Pour voir les modifications du Registre effectuées par un nouveau logiciel testé dans le bac à sable, procédez ainsi avant son installation et exportez la ruche indiquée.
  Répétez l'opération après l'implantation (en donnant un nom différent à la nouvelle sauvegarde pour ne pas écraser la première) et comparez le contenu des deux fichiers, soit visuellement en utilisant l'éditeur de texte, soit en utilisant un logiciel de comparaison de fichiers.
• (*) /!\ Attention /!\ ... n'ouvrez pas ce type de fichier par une « double click » car cette procédure provoquerait un remplacement de la clé du Registre par celle de la sauvegarde.

Note ... Le logiciel de comparaison de fichiers peut-être -> WinMerge <- GNU, gratuit.

Pour connaître les modifications du Registre, vous pouvez également utiliser un logiciel comme -> Regshot <- « open source », gratuit.

[7] – [Quelques uns des paramètres]

• [Options]
  • [Run Sandboxie Control on System Startup] doit être cochée pour un lancement automatique de Sandboxie Control à chaque démarrage du PC.
  • [Enable Sandboxie Toolbar for Internet Explorer] ajoute deux boutons à Internet Explorer lorsqu'elle est cochée.
• [Configuration] -> [File copy options] Paramètre de taille de fichier à télécharger ...
  • [Don't copy files into the sandbox if they are larger than] case à cocher pour indiquer une taille maximale en kilo-octets,
  • [When a file is too large to copy, issue alert message SBOX1202] mini case à cocher pour recevoir un message d'alerte si la taille maximale fixée est dépassée.
• Cinq paramètres pour permettre à certains logiciels exécutés dans la sandbox d'accéder directement à des fichiers sans avoir à en faire des copies dans le bac à sable.
  • plein accès aux mots de passe et formulaires d'Internet Explorer et aux données de formulaire Web (nom et adresse, par exemple) de la fonction IntelliForms,
  • accès direct aux favoris de l'Internet Explorer hors sandbox,
  • accès aux fichiers de la boîte à lettres par Outlook (Office et Express),
  • accès aux fichiers de la boîte à lettres par Mozilla Thunderbird,
  • accès direct au marque-pages de Mozilla Firefox
  

[8] Pour les autres paramètres et fonctions, reportez-vous comme d'habitude au tutoriel >>> Sandboxie, le principe du bac à sable <<< par Typhoon, maxsims1 et noisette.

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Fin provisoire ...
Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution des logiciels disponibles gratuitement. En cas de doute en ce qui concerne la signification d'un mot ou d'une expression, vérifiez s'il existe une explication dans le lexique des mots et expressions utilisés dans l'environnement des rootkits et des ARKs.
Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

@+