Fout, het is niet alleen wat je ziet, maar het gaat ook om het geheugen.

met zo'n nickname moet je niet teveel waarde hechten aan wat er gezegd word ...
geschatte leeftijd -13

Zei de leek die zelf niet eens kennis heeft om het ons eens duidelijk uit te leggen. Dan zal ik dat maar even kort en duidelijk doen.

Start.exe de pe image loader die de ep van de pe image veranderd en dan naar een library jumpt sbiedll deze zal een een aantal functies laden o.a f10ldProtect (CallServer) als je in de section header van sbiedll kijkt kun je deze functions zien. Wat deze precies doen is het volgende

Hij laad de gekozen pe image in een guest environment (onder een ander 'guest' windows account)
Het gebruik de VirtualProtect functie en zorgt ervoor dat je niet zomaar de address space kunt patchen/veranderen. Dit zal tot resultaat hebben dat je een access violation krijgt. VirtualProtect(voor het eigen process en de pe loader) VirtualProtectEx voor andere lopende processen is niet de enigste functie het gebruikt ook Tramphooking in o.a SbieDrv.sys voor betere beveiliging op een hoger niveau van rechten etc (ring0).
Zo monitort het onder andere welke files er naar disk0 worden geschreven en tot welke processen het child process rechten heeft, en de soort van 'drive mapping' die ervoor zorgt dat je alles in een folder krijgt van alles dat hij op disk0 wegschrijft (standaard path C:\Sandbox\%username%\). Tevens is dit ook een guard voor SbieCtrl deze kun je zolang de driver geladen is niet aanpassen. Stukje extra beveiliging wat bij veel alternatieven van sandboxie onderbreekt wat dus als resultaat is dat het zeer makkelijk is voor malware coders om deze sandboxen te omzeilen zonder hard coded instructions te hoeven wijzigen.

Hoe dit nu allemaal verder werkt heb ik nog niet naar gekeken ik weet niet of er ook een virtual environment is voor de controlset (registery) denk het wel anders zou het niet de pe laden in een guest account onder windows. Maar dit hoeft dus niet zo te zijn. Die driver lijkt me meer te doen. Ik zou zeggen kijk er zelf naar het is best complex, daarom zie je ook geen public exploits ervoor.

http://imgup.com/data/images/4883.jpg

En hier hoe je de hName handle kunt krijgen en sandboxie kunt detecteren.

#include "stdafx.h"
#include "windows.h"

int main()
{
HMODULE hDll = GetModuleHandle("SbieDll.dll");
printf ("hDll: 0x%08X\n", hDll);

if (NULL != hDll) {
printf("We zijn sandboxed\n");
return 0;
}
else {
printf("Geen sandboxie handle\n");
return 0;
}
}

edit: correctie..

Waarschijnlijk zal het niet door sandboxie heen gaan het zal een ring3(usermode) virus denk aan Darkcomet, NJrat, Bozok etc. Je kunt zien in sandboxie welke processen draaien als je deze zou killen/stoppen zou het echter opgelost moeten zijn. Waar ik je wel voor wil waarschuwen is een formgrabber, als je een browser in sandboxie gebruikt en je krijgt een formgrabber(ring3 usermode) post/get logger erop dat hij dan wel gewoon alles doorstuurd naar de c&c server. Tenzei je weer een of andere software firewall hebt, maar dan nog moeilijk aangezien deze formgrabber/lib/pe whatever zich heeft geinjecteerd in het process van de browser en via dit process ook de hijacked data via poort 80 naar de c&c server doorspeelt. Dit durf ik je niet met zekerheid te zeggen want ik weet niet of nu elk process VirtualProtectEx protected is en of dit een injectie van een pe image zal tegenhouden. Je kunt beter alles No-Script in je browser zetten en whitelisten was wel veilig is en internet bankieren via een linux live distro doen. https://help.ubuntu.com/community/LiveCD

Maar toch als je aan een formgrabber denkt zal ook deze Restrictions -> Internet Access optie in sandboxie ook niet veel helpen want dat zal de browser zelf niet meer werken.

Sorry. Het was maar een klein beetje een off-topic discussie geworden maar, zie mijn antwoord. Kortom, als je zekerheid wilt hebben zou ik gewoon een linux live cd downloaden en branden of deze op een usb flash drive zetten.

https://help.ubuntu.com/community/LiveCD

(edit: voor internet bankieren dan alleen bedoeld natuurlijk. De rest kun je zeker gewoon in sandboxie(onder windows) draaien en zal geen problemen mogen veroorzaken.)

Allemaal wel leuk (en klopt ook), maar daar heeft natuurlijk niemand wat aan. De personen die dit snappen, die hebben ook geen uitleg nodig.

ontopic:
De virus kan dat wel. geheugen dat is toegewezen naar een sandboxed application kan nog steeds veranderd worden door een applicatie buiten de sandbox.

Inderdaad, de virus besmet je browser alleen voor deze sessie (dus alles wat je in deze sessie doet kan als gecomprimitteerd gezien worden).
Zodra je de browser afsluit ben je weer virusvrij.

Wat ik eigenlijk bedoelde was dat bijvoorbeeld je browser binnen in de sandbox besmet raakt door bijvoorbeeld een javascriptje dat een heap spray doet (as je een iets oudere versievan IE hebt, en geen EMET) en zo een file in de address space van IE dropt (payload) dan kan deze ook een banking trojan in IE injecteren en dan zie je dat niet, en allemaal gewoon in de sandbox.
Dan ben je sowieso ook de zak want dat zal deze formgrabber/logger als voorbeeld net zo goed je bank gegevens stelen en via http naar de c&c server verzenden of naar een ander bank account sturen (hijack).

http://www.greyhathacker.net/?p=549
http://www.exploit-db.com/exploits/14519/

Het is inderdaad waar zodra je de sandboxed browser 'sessie' sluit en daarna weer opent zal hij weer 'schoon' zijn. Maar hoe weet je dit zeker als nog op een windows xp systeem werkt die vol met bugs en vulns zit? Waarschijnlijk niet.

Vast wel dat sommige browsers wat speciale rechten op je systeem wilt waardoor het niet (helemaal) goed gaat werken.
En alles dat je tijdens deze sessie in een sandbox doet ben je kwijt. Ook dingen die je misschien wel wilt houden, denk aan bookmarks/history/cookies/andere settings.

Ik zou eerder oppassen met bugs in de sandbox applicatie dan Windows.
Zodra malware uit de sandbox kan breken, dan heb je een probleem.

Laatst (maanden?) geleden was er een pwnium challenge om google chrome succesvol te hacken. Hierbij hadden 2 personen $60.000 gekregen voor het ontsnappen uit de sandbox. Dit is gewoon zo moeilijk, dat eentje die goed is geïmplementeerd onbegonnen zaak is om eruit te breken.

Is topic starter eigenlijk niet gewoon te laat met het gebruiken van een sandbox?
Een sandbox gebruik je toch ter preventie en niet ter bestrijding?
Terwijl ik het idee krijg dat topic starter het wel op die manier aan het inzetten is.

Ik ken het principe van een sandbox, maar dan wel op de manier dat je een sandbox (of een kleine VM) gebruikt uitsluitend en alleen voor die ene taak, internetbankieren. De schijf is R/O of gewoon een (image van een) live cd. Mocht er dan wat binnenkomen, ben je er zeker van dat het de volgende keer gewoon weer weg is.