Wat is SandBox?SandBox (oftewel ‘zandbak’) beschrijft het best de techniek die wordt gebruikt om te controleren of een bestand is geïnfecteerd met een onbekend virus. De naam is niet willekeurig gekozen.
De methode stelt verdachte, mogelijke viruscode in staat zijn gang te gaan op de computer, maar dan niet op de echte computer maar in een gesimuleerd en beperkt gebied van de computer. De SandBox is voorzien van alles wat een virus verwacht te vinden in een echte computer. In dit gebied kan het virus zichzelf kopiëren, waarbij elke stap zorgvuldig wordt gecontroleerd en vastgelegd. Het virus manifesteert zichzelf in de SandBox en
aangezien alle acties zijn vastgelegd, kan de remedie voor deze nieuwe indringer automatisch worden gegenereerd.
Tegenwoordig kan een nieuwe e-mailworm in enkele seconden tienduizenden werkstations infecteren. Van leveranciers van antivirusprogramma’s wordt verwacht dat zij de remedie vinden, de virusdefinitiebestanden bijwerken en deze onmiddellijk distribueren naar hun klanten. Snelheid is van essentieel belang, aangezien de aard van de huidige malware dusdanig is dat ‘succesvolle’ viruscode netwerken volledig kan platleggen en aanzienlijke schade kan toebrengen aan een onbeperkt aantal computers.
SandBox-technologieSandBox-functionaliteit via emulatieEen computervirus is een computerprogramma dat wordt gedefinieerd door zijn gedrag. Het draagt code/gegevens over naar andere computerbestanden. Wanneer deze andere computerbestanden op hun beurt worden uitgevoerd, wordt de viruscode op een of andere manier geactiveerd en zal het proberen andere computerbestanden te infecteren. Dit proces wordt replicatie genoemd. Een computerprogramma wordt pas aangeduid als een ‘virus’ als het deze taak recursief kan uitvoeren.
De SandBox van Norman is een virtuele wereld waarin alles wordt gesimuleerd. Deze wereld wordt aangestuurd door een emulator en binaire uitvoerbare bestanden die mogelijk zijn geïnfecteerd, worden uitgevoerd zoals op een echt systeem. Wanneer de uitvoering stopt, wordt de SandBox geanalyseerd op wijzigingen.
SandBox-functionaliteit via een virtuele machineHet is ook mogelijk een SandBox te bouwen door een VM (virtuele machine) te maken. Het idee is om alle uitgangen te blokkeren zodat het uitvoerbare bestand dat wordt onderzocht niet kan ontsnappen. Norman vindt deze oplossing echter onvoldoende veilig. Er is altijd een ‘andere’ methode van de processor van de pc (een vreemde interrupt, uitzondering, fout, enzovoort) waardoor kwaadaardige code uit een VM kan ontsnappen en zich kan verspreiden naar het echte systeem.
Bekijk de SandBox-Beurstrailer (±4MB Windows Media Video)