Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   EWF (enhanced write filter) Teil II => Performance Steigerung durch "Sandboxie" (https://www.trojaner-board.de/138096-ewf-enhanced-write-filter-teil-ii-performance-steigerung-sandboxie.html)

jrahe 12.07.2013 10:34
EWF (enhanced write filter) Teil II => Performance Steigerung durch "Sandboxie"
 
In dem Thread EWF (enhanced write filter) hatte ich auf die Möglichkeit des Einsatzes von EWF hingewiesen.

Neben den Vorteilen, die eine komplett schreibgeschützte System-Partition C: hat, gibt es natürlich auch Nachteile.


Nachteil:
- möglicher Schaden durch Malware an Dateien auf anderen Partitionen (z.B. wenn "Eigene Dateien" auf Partion D: liegen) ist immer noch möglich, da nur C: schreibgeschützt ist.

- da alle Schreibprozesse für C: in eine Datei im Arbeitsspeicher umgeleitet werden (quasi virtuell), ist mit der Größe des Arbeitsspeichers (inkl. Auslagerungsdatei) das Limit für die problemlose Benutzung des Rechners gegeben.
Das einmalige Aufrufen des Browsers "Firefox" verursacht schon ohne zu "surfen" eine Datenmenge von ca. 45 MB, die regulär auf C: gespeichert worden wären und jetzt in die Datei im RAM umgeleitet werden.


Optimierung:
Hier setzt die zusätzliche Installation von "Sandboxie" (Download-Link bei Filepony) an.
Wichtig dabei ist, den Speicherpfad für die Sandboxen vom Standard "C:\Sandbox" weg auf eine eigene Partition zu legen, da sonst wieder alle Daten der Sandbox letztendlich in der Datei im RAM landen würden.


Vorteil: :)
- bei Nutzung des Browsers in der Sandbox können eventuelle Schädlinge keinen direkten Schaden mehr anrichten, da alle Auswirkungen zunächst nur in der Sandbox gespeichert bleiben und jederzeit wieder gelöscht werden könnten.
=> somit sind auch Veränderung an Dateien außerhalb von C: jetzt geschützt/kontrolliert.

- durch den eigenen Speicher der Sandbox (auf eigener Partition) werden alle Daten bei Benutzung des Browsers nicht mehr in der Datei im RAM gespeichert, sondern in der Sandbox
=> somit kann deutlich länger mit einer EWF-Session gearbeitet werden, bevor das System neu gestartet werden muß. Auch die (Probe-)Installation großer speicherintensiver Programme ist jetzt in der Sandbox trotz aktivem EWF problemlos möglich.


WICHTIG: :daumenhoc
Einstellen des Speicherpfades für die Sandbox außerhalb von C:
Sandox Control -> Reiter "Sandbox" -> "Container Ordner festlegen" -> dort den gewünschten Pfad eintragen

Beispiel Pfad bei mir mit Sandbox auf der Partition R:
R:\Sandbox\%USER%\%SANDBOX%


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:28 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130