Tutorial Sandboxie

Sandboxie est un programme qui permet l'exécution d'application dans un bac à sable (sandbox).
Sandboxie permet de lancer n'importe quel programme de votre choix dans le bac à sable.

Sandboxie est disponible gratuitement avec des fonctionnalités réduites comparées à la version payante.
Enfin Sandboxie est en langue anglaise dans sa version gratuite.

Pourquoi utiliser Sandboxie ?

Sandboxie permet donc de lancer un programme dans un environnement sécurisé, le but est d'isoler afin qu'il ne puisse pas modifier le système d'exploitation.
Cela peut être intérressant donc de faire tourner les applications sensibles qui peuvent permettre l'infection sur le système telles que :

le navigateur WEB.. à l'heure où les sites WEB piégés se multiplient, sécuriser son navigateur WEB est une prioriété
le client de messagerie.. afin de se protéger des vers.
les lecteurs vidéos etc.. on est pas à l'abri d'une vidéo piégée.
pour ceux qui ne peuvent malheureusement pas se passer de cracks (je ne cautionne pas...), lancer le crack dans une sandbox peut-être interressant.. si vous tombez sur un crack piégé.

Pour reprendre les schémas du site ( http://www.sandboxie.com), nous obtenons ceci :

En tant normal, les applications en cours d'exécution effectuent des lectures à partir du disque pour ensuite écrire certaines informations, modifier la configuration du système d'exploitation etc.. etc..

Si l'application est executée dans le bac-à sable, Sandboxie fait tampon entre les applications en cours d'exécution et le système d'exploitation.
Il n'y a alors plus que lecture qui est possible entre le disque dur et le bac à sable.

Concrètement tous les fichiers créés (écritures) sont stockés dans le bac à sables et ne peuvent intéragir avec le système.
Sandboxie permet donc d'améliorer de manière très sensible la sécurité de votre système.

Présentation de Sandboxie

L'installation étant extrêmement simple, elle ne sera pas détaillée ici; si vous rencontrez des soucis, n'hésitez pas à poster sur le forum pour obtenir de l'aide : forum du site
Vous pouvez télécharger Sandboxie à partir de ce lien : Télécharger Sandboxie

A l'issue de l'installation, vous devez obtenir une icône jaune en bas à droite à côté de l'horloge, signifiant que Sandboxie est en cours d'exécution.
Tutorial et guide sandboxie

En effectuant un clic droit sur l'icône vous obtenez le menu déroulant suivant :

Open Main Windows : ouvre la fenêtre principale de Sandboxie
Switch To Sandbox : permet de basculer sur des profils de sandbox (pour créer un profil, menu Configuration / Create new Sandbox)
Run Sandboxed : Exécute une application dans le bac à sable
Contents of Sandbox : permet d'explorer le contenu du bac à sables (fichiers créés dans le bac à sable etc..), vider le contenu etc..
Terminate Sandboxes Processes : termine l'exécution d'une application en cours d'exécution dans le bac à sable.
Exit : Ferme Sandboxie

La fenêtre principale affiche à tout moment, les applications en cours d'exécution dans le bac à sable.
Dans la capture ci-dessus, on voit qu'IEXPLORE.EXE (Internet Explorer) est en cours d'exécution dans le bac à sables confirmé par la colonne Sandboxed? sur Yes.

Attention.. partie importante.
Lorsqu'une application est en cours d'exécution dans le bac à sables, Sandboxie modifie le titre de la fenêtre en y ajoutant [#]
Il est très important de bien vérifier que ce motif est présent, si ce n'est pas le cas, l'application ne tourne pas dans le bac à sable.
Les modifications sur le système sont alors possibles!

Configuration & Utilisation de Sandboxie

Executer une application dans le bac à sables.

Dans la version gratuite, Sandboxie ne va pas démarrer une application automatiquement dans le bac à sable (fonctionnalité disponibledans la version payante).
Il convient donc d'effectuer quelques opérations notamment créer vos icônes raccourcis afin de démarrer vos applications favorites dans le bac à sable.

Pour lancer une application dans le bac à sables, vous pouvez :
Faire un clic droit sur l'icône en bas à droite à côté de l'horloge

Tutorial et guide sandboxie

Via le menu Run Sandboxe, vous pouvez démarrer dans le bac à sable :

Internet Explorer
Default Browser : le navigateur par défaut, pour modifier le navigateur par défaut, ouvrez les options par défaut du panneau de configuration, puis onglet programmes.
Email Reader : Démarre le client mail par défaut.
Any Program : Démarre le programme de votre choix, une popup s'ouvre alors, vous devez à partir du bouton browse, sélectionne le programme à démarrer dans vos dossiers.
From Start Menu : Ouvre un équivalent du menu démarré, le programme sélectionné dans ce menu sera démarré dans le bac à sable.
Windows Explorer : Excute l'explorateur de fichiers dans le bac à sables, il est à noter que toute application qui sera lancée via cet explorateur sera elle aussi execute dans le bac à sable.

Il est aussi possible en effectuant un clic droit sur l'icône d'executer celle-ci dans le bac à sables via l'option Run Sandboxed du menu déroulant.

Sandboxie et les raccourcis

Pour plus de confort, il peut être interressant de créer des raccourcis qui permettront d'exécuter vos applications favorites dans le bac à sable.
Par défaut, Sandboxie ne créé qu'un seul raccourci qui lance le navigateur par défaut intitulé Sandboxie Quick Launch

Pour créer un raccourci pour exécuter une application dans le bac à sables, effectuez les opérations suivantes :

Sur votre fond d'écran, faites un clic droit puis Nouveau --> Créer un raccourci
Dans la nouvelle fenêtre, cliquez sur le bouton Parcourir et sélectionnez l'application à démarrer dans vos dossiers.
Le chemin de l'application apparaît alors, positionnez-vous tout au début du chemin
Copiez-collez la commande suivante : "C:\Program Files\Sandboxie\Start.exe" avec un espace entre la commande et le chemin de votre application afin d'obtenir "C:\Program Files\Sandboxie\Start.exe" <chemin_de l'application> ex: "C:\Program Files\Sandboxie\Start.exe" "C:\Program Files\Internet Explorer\Iexplore.exe"
Cliquez sur le bouton Suivant

Dans le nom de l'application, saisissez le nom du raccourci que vous désirez faire apparaître.

La partie importante est le chemin de l'application, vous devez faire exécuter le fichier "C:\Program Files\Sandboxie\Start.exe" suivi de l'application que vous désirez démarrer. Vous pouvez utiliser ces raccourcis pour démarrer certaines applications au lieu de donner le chemin complet, par exemple :

"C:\Program Files\Sandboxie\Start.exe" internet_explorer : Démarre internet explorer.
"C:\Program Files\Sandboxie\Start.exe" default_browser : Démarre le navigateur par défaut (ce que l'on retrouve via les menus de Sandboxie)
"C:\Program Files\Sandboxie\Start.exe" mail_agent : Démarre le client mail par défaut (ce que l'on retrouve via les menus de Sandboxie)

Pour les plus agguéris d'entre-vous, les commandes en ligne sont disponibles à cette adresse : commandes en ligne Sandboxie

Alerte lors de l'exécution d'une application hors bac à sables

Dans la version payante, il est possible de configurer Sandboxie afin que ce dernier lance des alertes lorsqu'une application spécifique est exécutée hors bac à sable.
Pour cela, ouvrez la fenêtre principale de Sandboxie puis cliquez sur le menu Configuration puis Global Settings et enfin Program Alert

Vous pouvez cocher dans la partie de droite les applications connues.
Dans la partie de gauche saisir le nom du fichier de l'application, ex: msnmsgr.exe pour MSN Messenger.

Gestions des fichiers de la Sandbox

L'option File Copy Options accessible depuis le menu Configuration permet dans la partie haute de bloquer la copie de fichiers dans le bac à sable à partie d'une certaine taille.
Par défaut, Sandboxie est configuré par défaut à 32mo (32 768 ko).

Dans la partie basse, il est possible de permettre la modification de certains fichiers utilisés par les programmes lancés dans le bac à sable.
En effet, si vous démarrez votre navigateur WEB dans le bac à sable, certains enregistrements par défaut ne pourront être effectués et seront perdus une fois le navigateur fermé. C'est le cas par exemple, des favoris.

Vous pouvez alors cocher les éléments qui vous interressent :

Allow full access to Protected Storage. AutoComple and Internet Explorer IntelliForms data : permet d'enregistrer les formulaires, les mots de passe etc.. sur Internet Explorer
Allow Internet Explorer full access to the favorites folder : permet la gestion complète des favoris (ajout, modification, suppression etc..) sur Internet Explorer.
Allow Microsoft Outlook (Office and Express) full access to mailbox files : Permet l'accès complet aux fichiers mails par les clients mails Outlook Express et Outlook.
Allow Mozilla Thunderbird full accesss to mailbox files : Permet l'accès complet aux fichiers mails par le client mail Tunderbird.
Allow Mozilla Firefox full access to the bookmarks files : Permet l'accès complet par Mozilla Firefox aux fichiers bookmarks (gestion des favoris, formulaires, mots de passe etc..).

Enfin l'option Set Automatic Cleanup options dans le menu Configuration permet de nettoyer automatiquements les éléments du bac à sables lors de la fermeture de Sandboxie.

Sandboxie en démonstration

Voici une petite démonstration des capacités de Sandboxie sur infection via Web exploits.

Voici une capture... où l'on peut voir dans la partie de gauche sur Process Explorer, le processus IEXPLORE.EXE (pid 1616) qui lance divers fichiers via un exploit
(ie_update3r.exe, ieupdr2.exe, ~.exe), chacun d'eux lançant à leur tour d'autres fichiers (KBxxxxxxx.exe, etc..).

Du côté de Sandboxie, dans la partie de droite, on peut voir que tous les élements sont dans le bac à sables (tous les éléments sont à Yes dans la colonne Sandboxed).

A l'issue de l'infection... Un rapport HijackThis ne nous montre aucun élément malicieux.
Sandboxie a donc bien rempli son rôle puisqu'aucune modification du système n'a été effectuée afin de tenter de démarrer les éléments malicieux au démarrage.

Un petit tour dans les dossiers sensibles de notre bac à sables.. via le menu Functions puis Contents of Sandbox :

drive\C\WINDOWS\system32
drive\C\Documents and Settings\Malekal_morte\Local Settings\Temp
etc..

(pour ceux que cela intérresse, vous remarquerez que Sandboxie recréé une nouvelle arborescence, les éléments y sont en faites chrootés).

Nous pouvons voir que nos invités y sont présentés.
Un scan Antivir (qui avait été désactivé) nous montrent bien qu'ils sont tous malicieux.

Vous n'êtes pas obligé de scanner ces éléménts avec votre antivirus.
Vous pouvez tout simplement vider le contenu du bac à sable pour supprimer tous les éléments infectieux.
Pour cela, cliquez sur le menu Function puis Delete Contents.

Liens

Tutorial Sandboxie sur infomars.fr

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppression de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil