Tutorial et Guide Sandboxie

Attention Sandboxie ne sert à rien sur les systèmes Windows Vista/Seven car Internet Explorer tourne déjà dans un bac à sables et surtout l’UAC permet de filtrer le lancement des programmes (administratreur <=> non administrateur). Dans le cas où vous avez désactiver l’UAC, c’est une grosse erreur, lire : UAC : Pourquoi ne pas le désactiverSandboxie est un programme qui permet l’exécution d’application dans un bac à sable (sandbox).
Sandboxie permet de lancer n’importe quel programme de votre choix dans le bac à sable.

Sandboxie est disponible gratuitement avec des fonctionnalités réduites comparées à la version payante.
Enfin Sandboxie est en langue anglaise dans sa version gratuite.

Pourquoi utiliser Sandboxie ?

Sandboxie permet donc de lancer un programme dans un environnement sécurisé, le but est d’isoler afin qu’il ne puisse pas modifier le système d’exploitation.
Cela peut être intérressant donc de faire tourner les applications sensibles qui peuvent permettre l’infection sur le système telles que :

  • le navigateur WEB.. à l’heure où les sites WEB piégés se multiplient, sécuriser son navigateur WEB est une prioriété
  • le client de messagerie.. afin de se protéger des vers.
  • les lecteurs vidéos etc.. on est pas à l’abri d’une vidéo piégée.
  • pour ceux qui ne peuvent malheureusement pas se passer de cracks (je ne cautionne pas…), lancer le crack dans une sandbox peut-être intéressant.. si vous tombez sur un crack piégé.

Pour reprendre les schémas du site ( http://www.sandboxie.com), nous obtenons ceci :

En tant normal, les applications en cours d’exécution effectuent des lectures à partir du disque pour ensuite écrire certaines informations, modifier la configuration du système d’exploitation etc.. etc..
Tutorial et guide sandboxie
Si l’application est exécutée dans le bac-à sable, Sandboxie fait tampon entre les applications en cours d’exécution et le système d’exploitation.
Il n’y a alors plus que lecture qui est possible entre le disque dur et le bac à sable.
Tutorial et guide sandboxie
Concrètement tous les fichiers créés (écritures) sont stockés dans le bac à sables et ne peuvent interagir avec le système.
Sandboxie permet donc d’améliorer de manière très sensible la sécurité de votre système.

Présentation de Sandboxie

L’installation étant extrêmement simple, elle ne sera pas détaillée ici; si vous rencontrez des soucis, n’hésitez pas à poster sur le forum pour obtenir de l’aide : forum du site
Vous pouvez télécharger Sandboxie à partir de ce lien : Télécharger Sandboxie

A l’issue de l’installation, vous devez obtenir une icône jaune en bas à droite à côté de l’horloge, signifiant que Sandboxie est en cours d’exécution.
Tutorial et guide sandboxie

En effectuant un clic droit sur l’icône vous obtenez le menu déroulant suivant :

Tutorial et guide sandboxie

  • Montrer la fenêtre : ouvre la fenêtre principale de Sandboxie
  • DefaultBox : Bac à sable par défaut, le sous-menu permet de gérer les application du bac à sables
    • Des raccourcis pour lancer des applications courantes (navigateur, client mail) dans ce bac à sables)
    • Vous pouvez fermer tous les programmes qui sont exécutés dans le bac à sables
  • Fermer tous les programmes : termine toutes les applications en cours d’exécution de tous les bac à sables.
  • Désactiver tous les programmes forcés : empêche l’exécution automatique des programmes  (cela se configure dans les options du bac à sables – nécessite la version payante) dans le bac à sables.
  • Quitter : Ferme Sandboxie

La fenêtre principale affiche à tout moment, les applications en cours d’exécution dans le bac à sable.
Dans la capture ci-dessus, on voit qu’IEXPLORE.EXE (Internet Explorer) est en cours d’exécution dans le bac à sables confirmé par la colonne Sandboxed? sur Yes.

Tutorial et guide sandboxie
Tutorial et guide SandboxieAttention.. partie importante.
Lorsqu’une application est en cours d’exécution dans le bac à sables, Sandboxie modifie le titre de la fenêtre en y ajoutant [#]
Il est très important de bien vérifier que ce motif est présent, si ce n’est pas le cas, l’application ne tourne pas dans le bac à sable.
Les modifications sur le système sont alors possibles!

Tutorial et guide sandboxie

Configuration & Utilisation de Sandboxie

Exécuter une application dans le bac à sables.

Dans la version gratuite, Sandboxie ne va pas démarrer une application automatiquement dans le bac à sable (fonctionnalité disponibledans la version payante).
Il convient donc d’effectuer quelques opérations notamment créer vos icônes raccourcis afin de démarrer vos applications favorites dans le bac à sable.

Pour lancer une application dans le bac à sables, vous pouvez : Faire un clic droit sur l’icône en bas à droite à côté de l’horloge puis DefaultBox et enfin lancer l’application désiré soit depuis les raccourcis pour les applications courantes. Soit via les options Executer un programme (ou Executer un programme depuis le menu Démarrer qui ouvre un autre menu de raccourcis d’applications plagiant celui du menu Démarrer / Tous les programmes).

Il est aussi possible en effectuant un clic droit sur l’icône d’executer celle-ci dans le bac à sables via l’option Run Sandboxed du menu déroulant.

Tutorial et guide sandboxie

Sandboxie et les raccourcis

Pour plus de confort, il peut être intéressant de créer des raccourcis qui permettront d’exécuter vos applications favorites dans le bac à sable.
Par défaut, Sandboxie ne créé qu’un seul raccourci qui lance le navigateur par défaut intitulé Sandboxie Quick Launch

Tutorial et guide sandboxie
Pour créer un raccourci pour exécuter une application dans le bac à sables, effectuez les opérations suivantes :

Ouvrir la fenêtre principale de Sandboxie > Configurer > Intégration Windows Shell > Ajouter des icônes de raccourcis.

Sandboxie ajouter un raccourci

Une fenêtre avec le bac à sables à sélectionner s’affiche. Cliquez sur OK.
Enfin un menu déroulant apparaît qui vous permet de sélectionner l’application dont vous souhaitez créer un raccourci qui lancera cette dernière dans le bac à sables.

Sandboxie ajouter un raccourci

Dans la capture ci-dessus, le raccourci de Sandboxie pointe sur le raccourci de Firefox, cela donne comme cible : « C:\Program Files\\Sandboxie\Start.exe » /box:DefaultBox « C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox\Mozilla Firefox.lnk »

Du coup si le raccourci Firefox est modifié, les changements seront répercutés sur celui de Sandboxie.

La syntaxe pour lancer une application est donc : « C:\Program Files\\Sandboxie\Start.exe » /box:Nomdubacàsable « Fichier à lancer »

Il est donc tout à fait possible de créer ses propres raccourcis – par exemple :

  • Sur votre fond d’écran, faites un clic droit puis Nouveau –> Créer un raccourci
  • Dans la nouvelle fenêtre, cliquez sur le bouton  Parcourir et sélectionnez l’application à démarrer dans vos dossiers.
  • Le chemin de l’application apparaît alors, positionnez-vous tout au début du chemin
  • Copiez-collez la commande suivante : « C:\Program Files\Sandboxie\Start.exe » avec un espace entre la commande et le chemin de votre application afin d’obtenir « C:\Program Files\Sandboxie\Start.exe » <chemin_de l’application> ex: « C:\Program Files\Sandboxie\Start.exe » « C:\Program Files\Internet Explorer\Iexplore.exe »
  • Cliquez sur le bouton Suivant

Tutorial et guide sandboxie

  • Dans le nom de l’application,  saisissez le nom du raccourci que vous désirez faire apparaître.

La partie importante est le chemin de l’application, vous devez faire exécuter le fichier « C:\Program Files\Sandboxie\Start.exe » suivi de l’application que vous désirez démarrer. Vous pouvez utiliser ces raccourcis pour démarrer certaines applications au lieu de donner le chemin complet, par exemple :

  • « C:\Program Files\Sandboxie\Start.exe » internet_explorer : Démarre internet explorer.
  • « C:\Program Files\Sandboxie\Start.exe » default_browser :  Démarre le navigateur par défaut (ce que l’on retrouve via les menus de Sandboxie)
  • « C:\Program Files\Sandboxie\Start.exe » mail_agent :  Démarre le client mail par défaut (ce que l’on retrouve via les menus de Sandboxie)

Pour les plus agguéris d’entre-vous, les commandes en ligne sont disponibles à cette adresse : commandes en ligne Sandboxie

Alerte lors de l’exécution d’une application hors bac à sables

Dans la version payante, il est possible de configurer Sandboxie afin que ce dernier lance des alertes lorsqu’une application spécifique est exécutée hors bac à sable.
Pour cela, ouvrez la fenêtre principale de Sandboxie puis cliquez sur le menu Configuration puis Alertes Programme

Vous pouvez cocher dans la partie de droite les applications connues.
Dans la partie de gauche saisir le nom du fichier de l’application, ex: msnmsgr.exe pour MSN Messenger.

Tutorial et guide sandboxie

Sandboxie en démonstration

Voici une petite démonstration des capacités de Sandboxie sur infection via Web exploits.

Voici une capture… où l’on peut voir dans la partie de gauche sur Process Explorer, le processus IEXPLORE.EXE (pid 1616) qui lance divers fichiers via un exploit
(ie_update3r.exe, ieupdr2.exe, ~.exe), chacun d’eux lançant à leur tour d’autres fichiers (KBxxxxxxx.exe, etc..).

Du côté de Sandboxie, dans la partie de droite, on peut voir que tous les élements sont dans le bac à sables (tous les éléments sont à Yes dans la colonne Sandboxed).

Tutorial et guide sandboxie
A l’issue de l’infection… Un rapport HijackThis ne nous montre aucun élément malicieux.
Sandboxie a donc bien rempli son rôle puisqu’aucune modification du système n’a été effectuée afin de tenter de démarrer les éléments malicieux au démarrage.

Tutorial et guide sandboxie

Un petit tour dans les dossiers sensibles de notre bac à sables.. via le menu Editer le contenu :

  • driveC\WINDOWS\System32\
  • driveC\Documents and Settings\Malekal_morte\Local Settings\Temp
  • etc..

(pour ceux que cela intéresse, vous remarquerez que Sandboxie recréé une nouvelle arborescence, les éléments y sont en faites chrootés).

Nous pouvons voir que nos invités y sont présentés.
Un scan Antivir (qui avait été désactivé) nous montrent bien qu’ils sont tous malicieux.

Tutorial et guide sandboxie

Vous n’êtes pas obligé de scanner ces éléments avec votre antivirus.
Vous pouvez tout simplement vider le contenu du bac à sable pour supprimer tous les éléments infectieux.
Pour cela, cliquez sur le menu Déroulant en bas à droite => DefaultBox => Effacer le contenu

Une vidéo avec le rogue ThinkPoint et Sandboxie :