Buster Sandbox Analyzer

Iniciado por Buster_BSA, 3 Junio 2010, 02:14 AM

0 Miembros y 3 Visitantes están viendo este tema.

r32

Hola Buster, no lo decía en el sentido de que te hubiesen ayudado o hecho el trabajo, me refería a lo que has comentado aunque parece me quedó diferente, bueno eso.

Probando...

Una cosa, haciendo pruebas con un trojan (spynet) aunque un pelín viejo salta la sandbox e infecta la máquina anfitrión, estoy haciendo pruebas con tu tool y otros troyanos a ver como se comporta.

Saludos.

Buster_BSA

Cita de: r32 en 22 Abril 2012, 12:07 PM
Una cosa, haciendo pruebas con un trojan (spynet) aunque un pelín viejo salta la sandbox e infecta la máquina anfitrión,

Me cuesta creer eso, la verdad.

A ver si volvemos a tener un problema de comunicación...

¿Estás diciendo que el troyano se salta la protección del Sandboxie y logra escribir en el disco fuera de la carpeta sandbox?

Si es así te agradecería que subieras el troyano a algún sitio para poder descargarlo y comprobarlo por mí mismo, gracias.

r32

Lo probé en una virtual con la última versión que encontré del Spy-net, si que decir que la sandbox no estaba actualizada, no utilizo la versión full, solo la de prueba.

Voy a probarlo de nuevo, y dejaré el server con la misma configuración y la sandbox actualizada, de todas formas te subo el server y lo pruebas tu mismo.

Saludos.

Buster_BSA

Cita de: r32 en 22 Abril 2012, 12:17 PM
Lo probé en una virtual con la última versión que encontré del Spy-net, si que decir que la sandbox no estaba actualizada, no utilizo la versión full, solo la de prueba.

Voy a probarlo de nuevo, y dejaré el server con la misma configuración y la sandbox actualizada, de todas formas te subo el server y lo pruebas tu mismo.

Ok, pásame el enlace y lo miro.

¿Exactamente qué forma tiene de infectar la máquina anfitrión? ¿Copia algún archivo fuera de la sandbox? Si es así, ¿qué fichero(s) y dónde se guardan?

Buster_BSA

Cita de: Buster_BSA en 22 Abril 2012, 12:24 PM
Ok, pásame el enlace y lo miro.

¿Exactamente qué forma tiene de infectar la máquina anfitrión? ¿Copia algún archivo fuera de la sandbox? Si es así, ¿qué fichero(s) son y dónde se guardan?

r32

Mil disculpas, sería que no estaba actualizada, lo probé en un sistema anfitrión y como bien dices no deja instalarlo:



Pero en serio que hizo la conexion el servidor sin problemas, ahora no ya quedó aclarado, al aceptar se elimina la conexión...

Gracias por la correción, de nuevo saludos.

Buster_BSA

Creo que como vulgarmente se suele decir, te estás armando la picha un lío.

¿Tú conoces qué tipo de protección ofrece Sandboxie? Por lo que dices intuyo que no lo tienes muy claro.

r32

Creo saber hasta cierto punto el uso de Sandboxie, probé ejecutar el server aunque obvio no lo oculté/modifiqué/adjunté con nada, prueba directa. De esta forma lo hice la vez anterior (no hace mucho tiempo, que digamos) y como te comenté saltó la sandbox y ese aviso no salía tampoco.

Te comento la forma de como lo hice y si sería de otra forma corrigeme, ya que estamos me gustaría saber mas cosas. 

Desde el menu contextual "Ejecutar aislado en una sandbox", no tiene mucho misterio, pero bueno.

Me volveré a leer la guia de nuevo, a ver que paso por alto, o en que me equivoco.

Saludos.



Buster_BSA

#48
Te equivocas en que Sandboxie virtualiza la escritura a disco y tú estás hablando de conexiones.

Por lo tanto en relación al Sandboxie, si hablas de "saltar la sandbox", te tienes que referir a que escribe fuera de la carpeta sandbox. No tiene sentido hablar de saltarse la sandbox referido a conexiones.

¿Lo entiendes ahora?

Buster_BSA