Windows-da şübhəli prosesləri necə təcrid etmək və OS-nin özünü pozmamaq olar? Avadanlıq virtualizasiyası və nüvə qarmaqları olmadan, lakin OS-nin sənədləşdirilmiş daxili təhlükəsizlik mexanizmlərindən istifadə etməklə möhkəm və Windows-a uyğun proqram təminatı sandboxunu necə yaratmaq olar? Proqram qum qutularının tərtibatçılarının (və nəticədə istehlakçıların) qarşılaşdığı ən ümumi problemlər haqqında danışacağıq. Və təbii ki, öz həllimizi təklif edəcəyik :).
Giriş və ya qum qutusu olmadan yaşamaq nə qədər pisdir
Peşəkarlar arasında bir neçə aksioma var ki, onlar haqqında danışmağı sevmirlər. Bəs aksiomalar haqqında nə demək olar? Onlar var və var. Hər kəsə aydın görünür, iki və iki kimi. Məsələn, onlardan biri - imza əsaslı antiviruslar qorumur. Yaxşı, yəni qorumurlar, vəssalam. Bu barədə dəfələrlə çox şeylər deyilib və təkrarlanıb. Nümunələr, gözəl təqdimatlar, rəqslər və rəqslərlə. Ransomware kimi hər cür pis şeylərin epidemiyaları imza və evristik texnologiyaların səmərəsizliyinin sübutlarından biridir. Bütün növ kriptotorlar və obfuscatorlar artıq məlum olan zərərli proqram təminatının aşkarlanmadan qorunması problemini uğurla həll edir və bir müddətdir ki, bu zərərli proqram antiviruslar tərəfindən aşkar edilmir. Bu vaxt kiminsə özünü pis, kiminsə yaxşı hiss etməsi üçün kifayətdir.
Yəni, bu, heç 0 gün də deyil: köhnə tanınmış saqqallı zərərli proqramı götürə, onu dəyişdirə, davranış imzalarını silə (tənbəl bir adam üçün bir neçə gün işləyin) və yenidən istifadə edə bilərsiniz, sonra yenidən və yenidən, sən sıxılana qədər və ya səni həbsxanaya salana qədər. Eyni zamanda, bu ən “pis” şeyin heç vaxt gəlməməsi üçün dərman satan adamların bununla heç bir əlaqəsi yoxdur; ciddi üzləri olan bir növ bülleten dərc edirlər və internetdə gigiyena haqqında danışırlar, deməyi unudurlar ki, əgər bu gigiyenaya tam əməl olunursa, antiviruslara, xüsusən də pullu olanlara praktiki olaraq ehtiyac yoxdur.
Sandboxlar və onların həyata keçirilməsinin xüsusiyyətləri
Beləliklə, antiviruslar qənaət etmir və bəzən onsuz da mövcud olanı pozur. “Qarşı tərəfdən qorunmağa yanaşaq və prosesləri bir-birimizdən təcrid edək” dedi sonsuz ağıllı biri. Həqiqətən, şübhəli proseslərin sandbox adlanan bir növ təcrid olunmuş mühitdə işləməsi əladır. Qum qutusunda işləyən zərərli proqramlar öz hüdudlarını tərk edə və bütün sistemə zərər verə bilməz. Bu həll yolu ola bilər, lakin mövcud sandbox tətbiqlərində nüanslar var...
Bundan sonra, biz yalnız bir proses təcrid aləti və ya HIPS (Host-based Intrusion Prevention System - iş stansiyaları üçün müdaxilənin qarşısının alınması sistemi) seçmək lazım olduqda, bilikləri mütləq lazımlı olacaq qum qutularının qurulmasının bütün incəliklərini müzakirə edəcəyik.
1 nömrəli nüans və ya hamı üçün bir sandbox
Əksər qum qutuları əslində prosesin izolyasiyasını təmin etmir. Əslində, əksər tətbiqlərdə qorunan sistem iki hissəyə bölünür - etibarlı və etibarsız. Normal proseslər etibarlı hissədə, təcrid olunmuş proseslər etibarsız hissədə işləyir. Yəni, bütün təcrid olunmuş proseslər eyni sandboxda işləyir, bir-birinə və bir-birinin resurslarına çıxışı var, eyni registrdən və eyni fayl sistemindən istifadə edir.
Beləliklə, zərərli proqram qum qutusunun özündə yer qazana bilər və epizodik olaraq təcrid olunmuş proqramlardan biri ilə (yaxud bir neçə təcrid olunmuş proqramla və ya onlardan hər hansı biri ilə) başlaya bilər. Eyni zamanda, qum qutuları çox vaxt təcrid olunmuş proseslərin hərəkətlərini qeyd etmir. HIPS-in qum qutularında and içdiyi hərəkətlər ən kiçik reaksiya olmadan olduqca keçərlidir, izolyasiya üçün tənzimlənir, bu çox yaxşı deyil.
İzolyasiyanın bu şəkildə təşkil edildiyini necə yoxlamaq olar? Çox sadə! Sandbox-da iki proqramı işə salın. Məsələn notepad.exe və wordpad.exe. notepad.exe ilə 1.txt mətn faylı yaradın.
Əlbəttə ki, bu fayl masaüstündə deyil, "virtual" kataloqda saxlanacaq. Onu Wordpad ilə açmağa çalışın (şək. 3).
Beləliklə, bir sandbox tətbiqi tərəfindən yaradılmış fayl başqa bir sandbox tətbiqindən istifadə etməklə açıla bilər. Gəlin etiraf edək ki, izolyasiya çox yaxşı deyil. Ancaq bəlkə heç olmasa rekorddan bir növ qorunma olacaq? Biz məzmunu dəyişdiririk (şəkil 4).
Və qənaət edirik. İndi isə notepad.exe vasitəsilə 1.txt faylını açmağa çalışaq. Əlbəttə ki, notepad.exe proqramını sandboxda işə salaq (şək. 5).
Və burada söhbət etdik. İki təcrid olunmuş proqram bir-birindən təcrid olunmur. Məlum olub ki, belə təcrid niyə tam aydınlaşdırılmayıb. Hətta kompüterdəki yerli qovluqlara girişi olmayan bir ransomware virtuallaşdırılmış kataloqdakı hər şeyi şifrələyə bilər və şanslısınızsa, şəbəkə resurslarında, çünki sandbox parametrləri bütün təcrid olunmuş proqramlar üçün eynidir.
2 nömrəli nüans və ya aşağı izolyasiya
Bəli, sandboxed proseslər sistemin etibarlı hissəsinə çata bilməz... lakin əksər tətbiqlərdə bu, yalnız yazmaq üçündür. Yəni, onlar istənilən yerdən faktiki olaraq heç bir məhdudiyyət olmadan oxuya bilirlər və çox vaxt şəbəkəyə daxil olurlar. Bu, görünür, daha çox uyğunluq üçün edilir, lakin bunu təcrid adlandırmaq olmaz.
Seçdiyiniz sadə sandbox təcrübəsini sınayın. Sabit diskinizdə bir kataloq yaradın. Bunu deyək: E:\Fotolar . İçinə, məsələn, bir fotoşəkil qoyun (Şəkil 6).
Sandbox-da Internet Explorer-i işə salın və verilmiş şəkli məsələn, rghost-a göndərməyə çalışın.
Bəs necədir? baş verdi? Təcrübə uğurludursa, deməli, çox yaxşı deyil. Daha da pisi, qum qutusunun qum qutusuna daxil edilmiş proqramların daxil ola bilməyəcəyi qovluqları müəyyən etmək imkanı yoxdursa. Təcrid olunmuş proqramların cari istifadəçinin qovluqlarından məlumatları oxuya bilməsi heç də yaxşı deyil.
Əksər tətbiqlərdə fayl sisteminin və reyestrin virtuallaşdırılması "istək üzrə surət çıxarmaq" prinsipi əsasında qurulur. Yəni, əgər faylı sadəcə oxumaq lazımdırsa, virtual kataloqda analoq olmadıqda o, mənbə kataloqundan oxunur. Eyni fayl virtual qovluqda varsa, o zaman təcrid olunmuş proqram onunla işləyəcək. Eyni şeyi virtual reyestr haqqında da demək olar. Yaxşı, aydındır ki, bir faylı real yol boyunca yazmağa çalışdığınız zaman, virtual fayl sisteminə yazılacaq. Demək olar ki, həmişə.
Beləliklə, zərərli proqram belə bir qum qutusunda "təcrid olunubsa", o zaman bütün digər "təcrid olunmuş" proseslərə, oxumaq üçün sistemdəki demək olar ki, bütün məlumatlara və virtuallaşdırılmış (izolyasiya edilmiş proqramlar tərəfindən saxlanılan) tam giriş əldə edə biləcək. qeyd üçün verilənlər (çox vaxt bütün təcrid olunmuş proqramlar üçün ümumidir).
3 nömrəli nüans və ya "başqa bir velosiped edək, çox maraqlıdır"
Davamı yalnız üzvlər üçün əlçatandır
Seçim 1. Saytdakı bütün materialları oxumaq üçün "sayt" icmasına qoşulun
Göstərilən müddət ərzində cəmiyyətə üzvlük sizə BÜTÜN Hacker materiallarına giriş imkanı verəcək, şəxsi məcmu endiriminizi artıracaq və peşəkar Xakep Score reytinqi toplamağa imkan verəcək!
Beləliklə, mən müştəri tətbiqimdə təcrid olunmuş yaddaş faylını kilidləməyə çalışıram ki, tətbiqimin bir neçə nümunəsi eyni anda ona daxil ola bilməsin. Aşağıdakı sintaksisdən istifadə edirəm:
LockStream = yeni IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Bu kod mənim tətbiqimin strukturun FileStream.Lock metodundan NullReferenceException atmasına səbəb olur. Uzunluq üçün sıfırdan fərqli bir dəyər istifadə etməyə çalışdım. Mən fayla bir bayt yazmağa çalışdım və sonra yalnız həmin baytı kilidlədim. Nə etsəm də, eyni NullReferenceException məni təqib edir. Hər kəs bunun təcrid olunmuş saxlama ilə mümkün olub olmadığını bilirmi?
Silverlight proqramında da bu texnikanı araşdırıram, Silverlight faylın kilidlənməsini dəstəkləyirmi? MSDN sənədləri bunun olmadığını göstərir, amma MVP-dən bu yazının olduğunu söyləyən gördüm.
Yeniləmə: Microsoft Connect-ə təqdim etdiyim səhvi düzəltdi, lakin o, çərçivənin 4-cü versiyasında yayımlanmayıb. Ümid edirəm ki, növbəti SP-də və ya tam buraxılışda mövcud olmalıdır.
42 cavab
Bu, Framework-də səhv kimi görünür. Bəlkə də səhv edirəm, çünki bu, həqiqət ola bilməyəcək qədər böyükdür.
Reflektor ilə .NET 3.5 SP1 mənbə koduna nəzər saldıqda, siz görə bilərsiniz ki, IsoStorageFileStream ölçüsiz əsas konstruktoru (FileStream()) çağırır, nəticədə etibarlı olaraq işə salınmamış baza sinfi yaranır. IsolatedStorageFileStream FileStream-i yaradır və onu ləğv etdiyi bütün metodlarda istifadə edir (Yaz, Oxu, Təmizləmə, Axtar və s.). Qəribədir ki, o, öz baza sinifindən birbaşa istifadə etmir.
Lakin kilidləmə və kiliddən çıxarma ləğv edilmir və onlar hələ də boş olan özəl sahəni (_handle) tələb edir (çünki istifadə olunan konstruktor parametrsizdir). Onlar bunun boş olmadığını düşünürlər və onu oynayırlar və NRE-yə zəng edirlər.
Xülasə etmək üçün, kilidləmə və kiliddən çıxarma dəstəklənmir (və ya işləmir).
Düşünürəm ki, Mutex və ya Semafor kimi digər bloklama üsullarından istifadə etmək məcburiyyətindəsiniz.
4
Ona görə də mən C# müştəri tətbiqimdə təcrid olunmuş yaddaş faylını kilidləməyə çalışıram ki, tətbiqimin bir neçə nümunəsi eyni anda ona daxil ola bilməsin. Aşağıdakı sintaksisdən istifadə edirəm:
LockStream = yeni IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Bu kod mənim tətbiqimin çərçivənin FileStream.Lock metodu daxilində NullReferenceException atmasına səbəb olur. Uzunluq üçün sıfırdan fərqli bir dəyər istifadə etməyə çalışdım. Mən fayla bir bayt yazmağa çalışdım və sonra yalnız həmin baytı kilidlədim. Nə etsəm də, eyni NullReferenceException məni təqib edir. Hər kəs bunun təcrid olunmuş saxlama ilə mümkün olub olmadığını bilirmi?
Silverlight proqramında da bu texnikanı araşdırıram, Silverlight faylın kilidlənməsini dəstəkləyirmi? MSDN sənədləri bunun belə olmadığını göstərir, lakin mən C# MVP-dən bu yazının olduğunu söyləyən gördüm.
Yeniləmə: Microsoft Connect-də təqdim etdiyim səhvi düzəltdi, lakin o, çərçivənin 4-cü versiyasında yayımlanmayıb. Ümid edirəm ki, növbəti SP-də və ya tam buraxılışda mövcud olmalıdır.
0
Mən özəl "m_fs"-in IsolatedStorageFileStream sahəsində kilid metodunu çağırmaq üçün əks etdirmə üsulundan istifadə edərək bu xətanın ətrafında işləyə bildim: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) FileStream kimi; m_fs.Lock(0, long.MaxValue); - bsiegel 05 mart 10 2010-03-05 15:57:55
2 cavab
Çeşidləmə:
Fəaliyyət
4
Bu, Framework-də səhv kimi görünür. Bəlkə də səhv edirəm, çünki bu, həqiqət ola bilməyəcək qədər böyükdür.
Reflektor ilə .NET 3.5 SP1 mənbə koduna nəzər saldıqda siz görə bilərsiniz ki, IsoStorageFileStream ölçüsiz əsas konstruktoru (FileStream() çağırır və nəticədə başlanğıclaşdırılmamış baza sinfi yaranır. IsolatedStorageFileStream FileStream-i yaradır və onu ləğv etdiyi bütün metodlarda istifadə edir (Yaz, Oxu, Təmizləmə, Axtar və s.). Qəribədir ki, o, öz baza sinifindən birbaşa istifadə etmir.
Lakin kilidləmə və kiliddən çıxarma ləğv edilmir və onlar hələ də sıfır olan şəxsi sahəyə (_handle) ehtiyac duyurlar (çünki istifadə olunan konstruktor parametrsizdir). Onlar bunun boş olmadığını düşünürlər və onu oynayırlar və NRE-yə zəng edirlər.
Xülasə etmək üçün, kilidləmə və kiliddən çıxarma dəstəklənmir (və ya işləmir).
“Eset NOD32 antivirusu tərəfindən silinmiş faylları necə bərpa etmək olar” İnternetdə tez-tez görülə bilən sorğudur. Buna baxmayaraq, bu problemin mümkün həlli o qədər də çox deyil, bu da tez-tez itirilmiş sənədləri qaytarmağın yollarının olmadığı hissi yaradır.
Əvvəla, başa düşməlisiniz ki, antivirus bu və ya digər şəkildə əməliyyat sisteminin və ya digər quraşdırılmış proqramların işinə təsir göstərməyən faylı heç vaxt bloklamayacaq və ya silməyəcək.
Müvafiq olaraq, sənədiniz silinibsə, onun zərərli olduğundan əmin ola bilərsiniz. Bununla belə, proqramı sadəcə olaraq dəyişdirən, onun proseslərinə müdaxilə edən, lakin özlərində təhlükə yaratmayan fayllar da var.
Antivirus tərəfindən silinmiş faylı bərpa etməyin hər hansı bir yolu varmı? Mütləq var! Bu yazıda biz Eset NOD32 tətbiqinin nə olduğunu, onunla işləmək xüsusiyyətlərini və antivirus tərəfindən silinmiş faylları bərpa etməyin effektiv üsulunu nəzərdən keçirəcəyik.
Eset NOD32 nədir?
Müasir dünyada heç kimə sirr deyil ki, antivirus proqramlarının nə qədər vacib, ən əsası isə müvafiqdir. Onlar nəinki zərərli faylların böyük əksəriyyətini aradan qaldırmağa imkan verir, həm də sistemə bu və ya digər şəkildə zərər vuran mümkün təhlükənin qarşısını almağa kömək edir.
Antivirus Eset NOD32, daha çox sadəcə NOD32 olaraq adlandırılan 1987-ci ildə Slovakiya şirkəti Eset tərəfindən yaradılmış antivirus proqram təminatının tam dəstidir.
Proqramın iki buraxılışı var:
- ev versiyası.
- Biznes versiyası.
Biznes versiyası ilə ev versiyası arasındakı əsas fərq uzaqdan idarəetmə imkanı və çarpaz platforma mühafizəsinin mövcudluğudur. Proqramı istənilən ehtiyaclar üçün asanlıqla və çevik şəkildə fərdiləşdirməyə imkan verən xüsusiyyət daha az xoş deyil.
Eset NOD32. Antivirusu necə aktivləşdirmək və ya söndürmək olar?
Tez-tez olur ki, müəyyən bir proqramı quraşdırarkən bizdən antivirusu söndürmək tələb olunur, çünki əks halda o, proqramın sadəcə başlaya bilməyəcəyi vacib bir faylı "yeyəcək".
Antivirusun işə salınması / söndürülməsi sualına cavab axtarmağın başqa bir ümumi səbəbi "müdafiəçinin" resurs istehlakını azaltmaq məqsədidir. Antivirusların işinin özəlliyi burada təsir edir - onlar ümumiyyətlə passiv vəziyyətdə olsalar da kifayət qədər böyük yaddaş tuturlar və digər "ağır" proqramları işə saldıqda bəzən qorunmanı dayandırmalı olursunuz.
Beləliklə, NOD32-ni aktivləşdirmək və ya söndürmək tapşırığını necə yerinə yetirirsiniz? Aşağıdakı təlimatlarda bu məsələyə baxaq.
1. Tətbiqi işə salın Eset NOD32 və gedin Parametrlər.
2. Açılan pəncərədə bütün quraşdırılmış NOD32 xidmət paketlərini tapa bilərsiniz. Hər birini ziyarət edin və ehtiyaclarınızdan asılı olaraq seçimləri aktivləşdirin/deaktiv edin.
Eset NOD32. Antivirus karantini və istisnalar.
Karantin- istehsalçısından və versiyasından (ev və ya biznes) asılı olmayaraq, hər hansı bir antivirusda mütləq mövcud olan bir depo. O, antivirusa görə bu və ya digər şəkildə əməliyyat sisteminizə zərər verə biləcək bütün şübhəli faylları saxlayır.
Qeyd etmək lazımdır ki, heç bir sənəd, hətta troyan olsa belə, dərhal silinmir. Əvvəla, ondan yaranan təhlükə zərərsizləşdirilir: fayl karantinə alınır və antivirus səbirlə istifadəçinin sonrakı hərəkətləri ilə bağlı məsuliyyətli qərarını gözləyir - ya yoluxmuş sənədi silə və ya bir az təhlil edəcəyimiz istisna kimi qeyd edə bilərsiniz. sonra.
Eset NOD32 antivirus karantinini necə tapmaq olar? Çox sadə! Aşağıdakı təlimatlara nəzər salaq.
1. Qaç Eset NOD32 və bölməyə keçin Xidmət.
2. Nişan açın Əlavə vəsaitlər. Aşağı sağ küncdə yerləşir.
3. Eset tərəfindən antivirusun bir hissəsi kimi təqdim olunan əlavə xidmətlərin tam siyahısı var. açıq Karantin.
4. Açılan menyuda NOD32 sizə bütün təcrid olunmuş faylları idarə etmək üçün tam hüquqlar verir.
tapdıq karantin və onu tapdı əsas funksiyalar:
- Faylı təcrid edin. Bu seçim sizə zərərli faylı əl ilə tapmağa və antivirus öz-özünə öhdəsindən gələ bilmədikdə onu bloklamağa imkan verir.
- Yenidən qurun. Təsadüfən kilidlənmiş faylı bərpa etməyə imkan verən seçim.
Sadəcə təcrid olunmuş sənədi bərpa etmək həmişə əlavə kilidlərdən qaçınmır. Bu dəyişdirilə bilərmi? Gəlin nəzərdən keçirək.
1. pəncərədən çıxmadan Karantin, kilidini açmaq istədiyiniz faylın üzərinə sağ vurun.
2. Seçim seçin Bərpa edin və skandan xaric edin.
3. Hərəkətlərinizə əminsinizsə, vurun Bəli. Faylın təhlükəli və ya zərərsiz olduğunu bilmirsinizsə, klikləməyi məsləhət görürük yox.
Eset NOD32 silinmiş faylları. Necə bərpa etmək olar?
Antivirusİnternet vasitəsilə kompüterlərimizə nüfuz edə biləcək inanılmaz dərəcədə çox sayda mümkün təhlükənin qarşısını alan yeganə maneədir. Bənzər bir iş mexanizmi ilə tamamilə bütün faylları bloklaması olduqca təbiidir; sistem və ya proqram proseslərinə bu və ya digər şəkildə mane olan sənədlər.
Təəssüf ki, antiviruslar faylları fərqləndirə bilmir, çünki hər hansı bir zərərli fayl asanlıqla Windows prosesi kimi maskalana bilər və kompüteri daxildən tədricən məhv edə bilər.
Nəticə etibarilə, proqram, fikrincə, müəyyən bir təhlükə yaradan hər şeyi bloklayaraq, kompüteri qorumaq üçün hər cür cəhd edir. Əksər hallarda bloklanmış sənədləri sadəcə istisna etməklə asanlıqla bərpa etmək olar, lakin antivirus faylı kritik dərəcədə təhlükəli hesab edərsə, bəzən onlar tamamilə silinir.
Starus Partition Recovery fayl sistemi ilə gündəlik işdə yaxşı köməkçi olacaq. Tətbiq sizi uzun müddətdə şəxsi sənədlərlə bağlı hər hansı narahatlıqdan azad edəcək və onu necə itirdiyinizdən asılı olmayaraq istənilən formatda faylı bərpa etməyə kömək edəcək.
Starus Partition Recovery alətini qeydiyyatdan keçirməzdən əvvəl "itirilmişləri qaytarmaq" üçün bütün şansları qiymətləndirə bilərsiniz. Antivirus tərəfindən silinmiş şəxsi sənədləri bərpa etmək üçün proqramı yükləyin və pulsuz cəhd edin. Bütün funksiyalar sınaq versiyasında, o cümlədən bərpa edilmiş faylların önizləməsində mövcuddur. Önizləmə pəncərəsi sizə müəyyən bir faylın zədələnmədiyinə və ya üzərinə yazılmadığına və tam bərpa oluna biləcəyinə əmin olmaq imkanı verəcək.
Ümid edirik ki, məqalə sizin üçün faydalı oldu və verilən sualları həll etməyə kömək etdi.