Buster Sandbox Analyzer

r32 · 22 Abril 2012, 12:07 PM

Hola Buster, no lo decía en el sentido de que te hubiesen ayudado o hecho el trabajo, me refería a lo que has comentado aunque parece me quedó diferente, bueno eso.

Probando...

Una cosa, haciendo pruebas con un trojan (spynet) aunque un pelín viejo salta la sandbox e infecta la máquina anfitrión, estoy haciendo pruebas con tu tool y otros troyanos a ver como se comporta.

Saludos.

Buster_BSA · 22 Abril 2012, 12:10 PM

Cita de: r32 en 22 Abril 2012, 12:07 PM
Una cosa, haciendo pruebas con un trojan (spynet) aunque un pelín viejo salta la sandbox e infecta la máquina anfitrión,

Me cuesta creer eso, la verdad.

A ver si volvemos a tener un problema de comunicación...

¿Estás diciendo que el troyano se salta la protección del Sandboxie y logra escribir en el disco fuera de la carpeta sandbox?

Si es así te agradecería que subieras el troyano a algún sitio para poder descargarlo y comprobarlo por mí mismo, gracias.

r32 · 22 Abril 2012, 12:17 PM

Lo probé en una virtual con la última versión que encontré del Spy-net, si que decir que la sandbox no estaba actualizada, no utilizo la versión full, solo la de prueba.

Voy a probarlo de nuevo, y dejaré el server con la misma configuración y la sandbox actualizada, de todas formas te subo el server y lo pruebas tu mismo.

Saludos.

Buster_BSA · 22 Abril 2012, 12:24 PM

Cita de: r32 en 22 Abril 2012, 12:17 PM
Lo probé en una virtual con la última versión que encontré del Spy-net, si que decir que la sandbox no estaba actualizada, no utilizo la versión full, solo la de prueba.

Voy a probarlo de nuevo, y dejaré el server con la misma configuración y la sandbox actualizada, de todas formas te subo el server y lo pruebas tu mismo.

Ok, pásame el enlace y lo miro.

¿Exactamente qué forma tiene de infectar la máquina anfitrión? ¿Copia algún archivo fuera de la sandbox? Si es así, ¿qué fichero(s) y dónde se guardan?

Buster_BSA · 22 Abril 2012, 12:26 PM

Cita de: Buster_BSA en 22 Abril 2012, 12:24 PM
Ok, pásame el enlace y lo miro.

¿Exactamente qué forma tiene de infectar la máquina anfitrión? ¿Copia algún archivo fuera de la sandbox? Si es así, ¿qué fichero(s) son y dónde se guardan?

r32 · 22 Abril 2012, 12:33 PM

Mil disculpas, sería que no estaba actualizada, lo probé en un sistema anfitrión y como bien dices no deja instalarlo:

Pero en serio que hizo la conexion el servidor sin problemas, ahora no ya quedó aclarado, al aceptar se elimina la conexión...

Gracias por la correción, de nuevo saludos.

Buster_BSA · 22 Abril 2012, 12:38 PM

Creo que como vulgarmente se suele decir, te estás armando la picha un lío.

¿Tú conoces qué tipo de protección ofrece Sandboxie? Por lo que dices intuyo que no lo tienes muy claro.

r32 · 22 Abril 2012, 13:00 PM

Creo saber hasta cierto punto el uso de Sandboxie, probé ejecutar el server aunque obvio no lo oculté/modifiqué/adjunté con nada, prueba directa. De esta forma lo hice la vez anterior (no hace mucho tiempo, que digamos) y como te comenté saltó la sandbox y ese aviso no salía tampoco.

Te comento la forma de como lo hice y si sería de otra forma corrigeme, ya que estamos me gustaría saber mas cosas.

Desde el menu contextual "Ejecutar aislado en una sandbox", no tiene mucho misterio, pero bueno.

Me volveré a leer la guia de nuevo, a ver que paso por alto, o en que me equivoco.

Saludos.

Buster_BSA · 22 Abril 2012, 13:03 PM

Te equivocas en que Sandboxie virtualiza la escritura a disco y tú estás hablando de conexiones.

Por lo tanto en relación al Sandboxie, si hablas de "saltar la sandbox", te tienes que referir a que escribe fuera de la carpeta sandbox. No tiene sentido hablar de saltarse la sandbox referido a conexiones.

¿Lo entiendes ahora?

Buster_BSA · 29 Abril 2012, 15:42 PM

r32: ¿Lo entiendes?