Unter Aufsicht

Schädlinge in der Sandbox untersuchen

Wissen | Know-how

Dateien, die unaufgefordert im Postfach landen, sollte man eigentlich beherzt löschen. Wer weiß, was er tut, kann die vermeintlichen Rechnungen, Post-Etiketten und Hotelreservierungen aber auch in die Gummizelle sperren und ausführen, um ihnen ihre Geheimnisse zu entlocken.

D er Buster Sandbox Analyzer (BSA) baut auf die bewährte Virtualisierungslösung Sandboxie auf, die dem untersuchten Prozess vorgaukelt, dass er sich auf dem Rechner nach Lust und Laune austoben darf. Tatsächlich landen alle Änderungen an Dateisystem und Registry aber in einer Parallelwelt, die sich standardmäßig im Universum C:\Sandbox\ befindet. Wann immer der Prozess eine neue Datei anlegt, landet sie hier. Versucht der Prozess eine Datei zu löschen, scheint das zu funktionieren. Tatsächlich täuscht Sandboxie den Erfolg dieser Operation jedoch nur vor.

Für diese Illusionen ist eine DLL zuständig, die Sandboxie in jeden abgeschotteten Prozess injiziert. Sie leitet kritische API-Aufrufe, unter anderem die für den für Zugriff auf Dateien und Registry, an einen speziellen Kernel-Treiber um. Dieser entschärft den Aufruf zunächst, ehe er schließlich die eigentliche Funktion aufruft. Normalerweise geschieht dies alles völlig transparent, ohne dass der Anwender davon etwas mitbekommt. Weist man Sandboxie jedoch an, auch noch die DLL des Analyse-Tools BSA in die Prozesse zu injizieren, kann man die Aktivitäten der Programme in ihrer abgeschotteten Umgebung auf Schritt und Tritt verfolgen. Dabei protokolliert BSA sogar den Internetverkehr der Prozesse. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige
Anzeige