Video-Tipp #49: Windows Sandbox Malware mit Windows Sandbox untersuchen

Autor / Redakteur: Thomas Joos / Peter Schmitz

Die Windows Sandbox ist eine Funktion von Windows 10 Pro, Enterprise und Education, mit der sich ein abgeschottetes Windows-System starten lässt. In dieser gesicherten Umgebung kann man gefahrlos Anwendungen testen oder Malware-Dateien untersuchen. Wir zeigen in diesem Video-Tipp wie es geht.

Firma zum Thema

Aus der Windows Sandbox kann keine Datei entkommen! Durch das Ausführen von Viren werden also keine Dateien auf dem Host-System beeinträchtigt.
Aus der Windows Sandbox kann keine Datei entkommen! Durch das Ausführen von Viren werden also keine Dateien auf dem Host-System beeinträchtigt.
(© nadezhda1906 - stock.adobe.com)

Seit Windows 10 Version 1903 stellt Microsoft in den Editionen Pro/Enterprise die Windows Sandbox zur Verfügung. In dieser abgeschotteten Umgebung lassen sich gefahrlos Anwendungen testen oder Malware-Dateien untersuchen.

Das Verhalten der Windows Sandbox entspricht einer VM, auf dem PC müssen aber weder Hyper-V installiert, noch VMs erstellt werden. Die Basis der Windows Sandbox entspricht den Technologien, die auch in Windows-Containern verfügbar ist. Einfach ausgedrückt ist die Sandbox ein Container-Image, auf dessen Basis beim Starten immer ein neuer Container mit Windows 10 gestartet wird. Beim Beenden der Sandbox werden die Dateien und der dazu gehörige Container gelöscht. Die Windows 10-Edition in der Sandbox entspricht der Edition von Windows 10, die auf dem Computer installiert ist.

Wie man mit der Windows Sandbox Anwendungen testet, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 8 Bildern

Windows Sandbox installieren

Die Sandbox wird als optionales Feature in Windows 10 installiert. Dazu wird die Installation über die Eingabe von „optionalfeatures“ im Startmenü gestartet. Durch Auswahl von „Windows-Sandbox“ wird die Funktion in Windows 10 installiert. Starten können Sie die Windows Sandbox über die Verknüpfung im Startmenü oder durch Ausführen der Datei „windowssandbox.exe“.

Die Installation der Windows-Sandbox kann auch mit der PowerShell durchgeführt werden. Der Befehl ist:

„Enable-WindowsOptionalFeature –FeatureName "Containers-DisposableClientVM" -All -Online“

Um die Funktion über die PowerShell zu deinstallieren, wird folgender Befehl verwendet:

„Disable-WindowsOptionalFeature –FeatureName "Containers-DisposableClientVM" -Online”

Windows Sandbox anpassen und starten

Die Windows Sandbox kann direkt im Startmenü aufgerufen werden. Das Fenster ist anpassbar, die Umgebung erlaubt auch den Zugriff in das Internet. Sobald die Windows Sandbox geschlossen wird, löscht Windows alle Daten vom System. Bei jedem Start ist die Windows Sandbox also wieder im Ursprungszustand. Im Beitrag „Mehr Sicherheit mit der Windows-Sandbox“ sind wir bereits auf das Thema eingegangen. In diesem Beitrag ist auch zu lesen, wie die Konfiguration für die Windows Sandbox mit *.wsb-Dateien auf Basis von XML vorgenommen werden kann. Diese Dateien sind mit der Startdatei der Windows Sandbox verknüpft. Durch den Doppelklick einer solchen Datei, wird die Windows Sandbox mit den Einstellungen aus dieser Datei gestartet.

Zur einfacheren Konfiguration der Windows Sandbox mit *.web-Dateien gibt es den „Windows Sandbox Editor“. Das Tool muss nicht installiert werden, es reicht aus es direkt zu starten. Über die Icons auf der linken Seite kann zwischen den Optionen gewechselt werden. Die Einstellungen, die im Tool vorgenommen werden, speichert das Tool ebenfalls in einer *.wsb-Datei. Den Inhalt der Datei zeigt das Tool über das Icon „Overview“ an. Mit diesen Informationen können Anwender auch eigene *.wsb-Dateien erstellen.

Mit „Load Existing Sandbox“ kann eine bestehende *.wsb-Datei geladen werden. Die Einstellungen werden in das Tool eingelesen und können auch angepasst werden. Danach kann eine neue Sandbox gestartet werden. Durch das Speichern mehrerer *.wsb-Dateien können auch mehrere Sandboxes erstellt werden. Dazu ist nicht der Windows Sandbox Editor notwendig. Es reicht auch aus die passende *.wsb-Datei anzupassen.

Wie man mit der Windows Sandbox Anwendungen testet, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 8 Bildern

Anwendungen und Malware mit der Windows Sandbox testen

Nach der Installation kann die Umgebung gestartet werden. Durch die Internetverbindung lassen sich Dateien herunterladen und ausführen. Allerdings werden durch das Ausführen von Viren keine Dateien auf dem Host-System beeinträchtigt, da aus der Windows Sandbox keine Datei entkommen kann. Auf diesem Weg können also schnell und gefahrlos Dateien überprüft und Webseiten getestet werden. Windows Defender ist zunächst in der Windows Sandbox nicht aktiv, sodass auch Viren heruntergeladen werden können.

Über die Sandbox lassen sich also aus dem Internet und von Cloud-Speichern Dateien herunterladen und auf diesem Weg auch Dateien nach Viren untersuchen. Wenn eine Datei nicht von einem Virus befallen ist, kann diese aus der Windows Sandbox über die Zwischenablage auf den Windows-Rechner kopiert werden. Verseuchte Dateien bleiben einfach in der Sandbox und werden nach dem Neustart der Sandbox automatisch gelöscht.

Für das Suchen nach Viren können Online-Tools genutzt werden, oder Virenscanner die temporär in der Sandbox installiert werden. Mit Seiten wie VirusTotal lassen sich auch aus der Sandbox heraus Dateien nach Viren untersuchen. Neben VirusTotal lassen sich die Dateien auch mit anderen Webseiten (bspw. ESET Online Scanner oder F-Secure Online Scanner) nach Viren untersuchen.

Wie man mit der Windows Sandbox Anwendungen testet, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 8 Bildern

(ID:47620849)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist