Het internet is een steeds gevaarlijkere plek, waar veel cybercriminaliteit. Het kan gebeuren dat je bestanden download die gevaarlijk kunnen zijn en niet doen wat je wil. Door anti-virus software te gebruiken met een sandbox kan je risico’s beperken, maar hoe werken deze programma’s?
In dit artikel wordt er ingezoomd op hoe sandboxes werken.
Wat is een sandbox?
Om goed te kunnen begrijpen hoe een sandbox werkt moet er eerst worden geweten wat een sandbox precies is. Een sandbox is een bij veel software programma’s die beschermen tegen virussen een onderdeel van het pakket.
Het is een afgeschermde omgeving binnen een computer waar programma’s kunnen worden opgestart en uitgevoerd worden. Dit wordt in deze omgeving gedaan zodat de virusscanner kan kijken of dat het programma zich verdacht gedraagt. Bijvoorbeeld of dat het programma bestanden probeert te versleutelen en/of dat het probeert andere schadelijke dingen te doen.
Verschil met een firewall
Het verschil tussen een sandbox en een firewall is dat de firewall aan het begin van een download of uitvoer programma actief is. Hierbij zorgt de firewall ervoor dat bijvoorbeeld gevaarlijke websites niet zomaar programma’s kunnen downloaden en/of dat er geen vensters worden geopend zonder toestemming
Daarnaast kan een firewall verschillende persoonlijke gegevens beschermen/afschermen voor derde partij. Denk hierbij aan dat Het IP-adres van de computer niet te zien is voor een website, dat bij het bezoeken van een website een derde partij niet mee kijkt op de website of dat poortnummers en namen van uitvoerende programma’s niet zichtbaar zijn. Klik hier om meer te weten te komen over hoe een DDoS aanval werkt
Verschil met een malware scanner
Een malware scanner (ook wel bekend als een antivirus scanner) bevat vaak een sandbox als al eerder besproken in het artikel. Het verschil is alleen dat een malware scanner ervoor zorgt dat het bestand en/of programma wordt doorzocht op de computer. Hierbij zoekt de software op mogelijke bestanden die ervoor kunnen zorgen dat persoonlijke programma’s worden vergrendeld of dat er schade wordt aangericht aan de computer (kan zowel software als hardware matig zijn)
Door de samenwerking tussen een antivirus scanner en de sandbox kan de sandbox het programma isoleren en wordt de anti malware scanner uitgevoerd in de sandbox om het bestand te onderzoeken.
De sandbox zorgt ervoor dat er een afgeschermde omgeving is, maar in deze omgeving kan wel de virusscanner worden uitgevoerd.
Hoe werkt een sandbox?
In het vorige hoofdstuk is uitgelegd wat de sandbox precies doet en hoe het samenwerkt met andere programma’s of de computer veilig te houden. In dit hoofdstuk wordt er ingezoomd op hoe de bestanden worden gedetecteerd en kunnen worden uitgeschakeld.
Isoleren van bestanden
Binnen de sandbox (ook wel virtuele machines genoemd) is er een bepaalde procedure om bestanden uit te voeren. Bij het opstarten van een programma worden er verschillende libraries, bin’s, configuraties, resources en pakages en andere bestanden aangeroepen. Al deze mappen zorgen ervoor dat het programma kan doen wat het hoort te doen.
De kracht van de sandbox is dat bij het aanroepen van de verschillende mappen deze eerst worden gecontroleerd en wordt gemonitord hoe de verschillende bestanden samenwerken. Op moment dat er een database wordt aangeroepen die niet vertrouwd kan de sandbox meteen stoppen met het uitvoeren
Gebruik van algoritme in sandbox
Op moment dat de database wel vertrouwd is kan er worden doorgegaan met het controleren van de registersleutel. Hierbij wordt een unicode-waarde (een element dat toegang geeft tot een database) uitgegeven die ervoor zorgt dat windows toegang geeft tot het uitvoeren van een actie (command).
Hierdoor kan het software programma worden uitgevoerd, waarbij de database nodig is om de uitvoering om te zetten naar machinetaal die de hardware begrijpt.
In de sandbox wordt gecontroleerd of er aanpassingen worden gedaan in de configuratie van de computer en/of dat er bestanden worden verwijderd met behulp van een speciale register editor.
Welke sandbox is het beste?
Er zijn op de markt verschillende antivirus software programma’s van bekende zoals McAfee, Total AV en Norton tot kleinere spelers op de markt. Elke aanbieder heeft zo zijn of haar eigen specialiteiten zoals dat bijvoorbeeld McAfee goed is in het monitoren van wat programma’s doen. De tegenhanger daarvan is wel dat het zwaar voor de processor in de computer is om het te draaien, waardoor de computer traag wordt.
Goed om naar te kijken bij virussoftware
Binnen de wereld van antivirus software zijn er verschillende mogelijkheden. Veel aanbieders doen een scanner, een quarantaine omgeving voor bestanden en malware uitschakeling aanbieden. Daarnaast worden vaak enkele andere functies zoals computer optimalisatie aangeboden en kan er ook een veilige browser worden meegeleverd.
Vaak hebben aanbieders ook een betaalde versie waarin functies zoals ondersteuning op het internet of sandbox worden aangeboden. Kijk goed wat de computer nodig heeft en wat er voor zaken op de computer worden gedaan. Dit zorgt ervoor dat bij het uitzoeken van bescherming voor de computer doelgericht kan worden gekeken naar wat er nodig is.
Kan ik meerdere sandboxes op de computer hebben?
Ja dat kan, maar vaak is het handiger om een antivirus sandbox geïnstalleerd te hebben staan op de computer. Dit omdat een antivirus veel invloed kan hebben op de prestaties op de computer.
Zijn er nadelen aan een sandbox?
Een probleem kan zijn dat als de sandbox niet up to date is dat er een lek kan zitten in de software. Hierdoor kan de sandbox alsnog schadelijke programma’s toegang geven tot de computer en dus ook de bestanden die erop staan.
Zijn er beperkingen aan een sandbox?
Een sandbox heeft geen toegang om elke datebase te kunnen controleren. Hierdoor kan het zijn dat als een programma een niet ondersteunde database oproept het kan gebeuren dat deze actie niet onderzocht wordt op risico’s. Dit kan ervoor zorgen dat er alsnog schadelijke elementen in een programma zitten.
Problemen met systeem en sandbox
Sommige sandboxen proberen controles uit te voeren of acties te doen die niet mogen van andere applicaties. Denk hier bijvoorbeeld aan twee antivirussoftware programma’s die elkaar niet de toegang geven om acties uit te voeren. Of dat de sandbox probeert beschermde bestanden in windows of andere stuurprogramma’s te controleren. Het besturingssysteem zal hierbij een fout aangeven.
Één reactie
[…] Eerder in dit artikel werd al de antivirus software genoemd, waarbij ook bestanden kunnen worden gescand. De meeste virussoftware hebben een functie om een bestand te controleren en/of in een afgeschermde omgeving “sandbox” op te starten. Hierdoor kan er voor gezorgd worden dat virussen op tijd kunnen worden ontdekt en kunnen worden verwijderd. Klik hier om meer te weten te komen over de sandbox. […]