Jak izolovat podezřelé procesy ve Windows a nerozbít samotný OS? Jak vytvořit robustní a Windows kompatibilní softwarový sandbox bez hardwarové virtualizace a háčků jádra, ale s použitím zdokumentovaných vestavěných bezpečnostních mechanismů operačního systému? Budeme mluvit o nejčastějších problémech, se kterými se vývojáři (a nakonec i spotřebitelé) softwarových sandboxů potýkají. A samozřejmě nabídneme vlastní řešení :).
Úvod aneb jak špatné je žít bez pískoviště
Mezi profesionály existuje několik axiomů, o kterých neradi mluví. A co axiomy? Jsou a jsou. Všem se to zdá jasné, jako dvě a dvě. Například jeden z nich - antiviry založené na signaturách nechrání. No, to znamená, že nechrání, a to je vše. Mnoho věcí o tom bylo řečeno a převyprávěno mnohokrát. S ukázkami, krásnými prezentacemi, tanečky a tanečky. A epidemie nejrůznějších ošklivých věcí, jako je Ransomware, jsou jedním z důkazů neefektivnosti podpisových a heuristických technologií. Všechny druhy kryptorů a obfuskátorů úspěšně řeší problém ochrany již známého malwaru před odhalením a již nějakou dobu tento malware nebyl detekován antiviry. Tento čas stačí na to, aby se někdo cítil špatně a někdo dobře.
To znamená, že to není ani o 0 dnech: můžete vzít starý známý vousatý malware, morfovat ho, odstranit podpisy chování (práce na pár dní pro lenocha) a použít ho znovu a pak znovu a znovu, dokud se nebudete nudit nebo dokud vás nedají do vězení. Zároveň se zdá, že lidé, kteří prodali lék, aby tato „nejšpatnější“ věc nikdy nepřišla, s tím nemají nic společného; vydávají jakýsi bulletin s vážnými tvářemi a mluví o hygieně na internetu, přičemž zapomínají říci, že pokud se právě tato hygiena dodržuje úplně, tak antiviry, zejména placené, prakticky nejsou potřeba.
Sandboxy a vlastnosti jejich implementace
Antiviry tedy neukládají a někdy rozbijí to, co již existuje. "Přistupme k ochraně z druhé strany a izolujme procesy od sebe," řekl někdo nekonečně chytrý. Opravdu je skvělé, když podezřelé procesy běží v nějakém izolovaném prostředí zvaném sandbox. Malware běžící v karanténě nemůže opustit své limity a poškodit celý systém. To by mohlo být řešením, nicméně existují nuance ve stávajících implementacích sandboxu...
Dále si jen probereme všechny spletitosti budování sandboxů, jejichž znalost se vám bude určitě hodit, když potřebujete vybrat nástroj pro izolaci procesů nebo HIPS (Host-based Intrusion Prevention System - systém prevence narušení pro pracovní stanice).
Nuance číslo 1, aneb jedno pískoviště pro všechny
Většina sandboxů ve skutečnosti neposkytuje izolaci procesů. Po pravdě řečeno, ve většině implementací je chráněný systém rozdělen na dvě části – důvěryhodnou a nedůvěryhodnou. Normální procesy běží v důvěryhodné části, izolované procesy běží v nedůvěryhodné části. To znamená, že všechny izolované procesy běží ve stejné karanténě, mají přístup k sobě navzájem a ke svým prostředkům, používají stejný registr a stejný systém souborů.
Malware se tak může uchytit v samotném sandboxu a začít epizodicky s jednou z izolovaných aplikací (nebo s několika izolovanými aplikacemi, nebo s kteroukoli z nich). Zároveň sandboxy často nezaznamenávají akce izolovaných procesů. Akce, na které HIPS v sandboxech nadávají, jsou celkem průchodné bez sebemenší reakce, upravené o izolaci, což není moc dobré.
Jak zkontrolovat, zda je izolace uspořádána tímto způsobem? Velmi jednoduché! Spusťte dvě aplikace v karanténě. Například notepad.exe a wordpad.exe. Vytvořte textový soubor 1.txt pomocí programu notepad.exe.
Tento soubor se samozřejmě neuloží na plochu, ale do „virtuálního“ adresáře. Zkuste jej otevřít pomocí Wordpadu (obr. 3).
Soubor vytvořený jednou sandboxovou aplikací lze tedy otevřít pomocí jiné sandboxové aplikace. Přiznejme si, že izolace není příliš dobrá. Ale možná bude alespoň nějaká ochrana ze záznamu? Měníme obsah (obr. 4).
A šetříme. A nyní zkusme otevřít soubor 1.txt pomocí notepad.exe. V sandboxu samozřejmě spustíme notepad.exe (obr. 5).
A tady je to, o čem jsme mluvili. Dvě izolované aplikace nejsou navzájem izolované. Ukazuje se, že taková izolace nebyla zcela jasná proč. I ransomware bez přístupu k lokálním složkám v počítači dokáže zašifrovat vše ve virtualizovaném adresáři, a pokud budete mít štěstí, tak i na síťových prostředcích, jelikož nastavení sandboxu je pro všechny izolované aplikace stejné.
Nuance číslo 2 nebo nedostatečná izolace
Ano, procesy v sandboxu se nemohou dostat k důvěryhodné části systému... ale ve většině implementací je to pouze pro zápis. To znamená, že mohou číst odkudkoli prakticky bez omezení a často mají přístup k síti. To se děje zjevně pro větší kompatibilitu, ale nelze to nazvat izolací.
Vyzkoušejte jednoduchý sandboxový experiment dle vlastního výběru. Vytvořte adresář na pevném disku. Řekněme toto: E:\Photos . Vložte do něj například fotografii (obr. 6).
Spusťte Internet Explorer v sandboxu a zkuste poslat daný obrázek, řekněme, rghost.
Jak to tedy je? Stalo? Pokud je zkušenost úspěšná, pak není příliš dobrá. Ještě horší je, pokud sandbox nemá možnost specifikovat adresáře, ke kterým aplikace v sandboxu nebudou mít přístup. A vůbec není dobré, když izolované aplikace umí číst data z adresářů aktuálního uživatele.
Virtualizace souborového systému a registru je ve většině implementací postavena na principu „copy on demand“. To znamená, že pokud je třeba soubor jednoduše přečíst, pak se načte ze zdrojového adresáře, pokud ve virtuálním adresáři není analog. Pokud je ve virtuálním adresáři přítomen stejný soubor, bude s ním izolovaná aplikace pracovat. Totéž lze říci o virtuálním registru. Je jasné, že když se pokusíte zapsat soubor podél skutečné cesty, zapíše se do virtuálního systému souborů. Skoro pořád.
Pokud je tedy malware „izolován“ v takovém sandboxu, bude mít plný přístup ke všem ostatním „izolovaným“ procesům, k téměř všem datům v systému pro čtení a k virtualizovaným (uloženým izolovanými aplikacemi) data (která jsou často společná pro všechny izolované aplikace) pro záznam.
Nuance číslo 3, nebo „udělejme další kolo, je to tak zajímavé“
Pokračování dostupné pouze pro členy
Možnost 1. Připojte se ke komunitě „stránky“ a přečtěte si všechny materiály na stránce
Členství v komunitě během stanoveného období vám umožní přístup ke VŠEM materiálům Hacker, zvýší vaši osobní kumulativní slevu a umožní vám nashromáždit profesionální hodnocení Xakep Score!
Snažím se tedy zamknout izolovaný úložný soubor ve své klientské aplikaci, aby k němu nemohlo přistupovat více instancí mé aplikace současně. Používám následující syntaxi:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Tento kód způsobí, že moje aplikace vyvolá výjimku NullReferenceException z metody FileStream.Lock struktury. Snažil jsem se použít nenulovou hodnotu délky. Zkusil jsem zapsat bajt do souboru a pak jsem zamkl pouze tento bajt. Bez ohledu na to, co dělám, mě pronásleduje stejná výjimka NullReferenceException. Nevíte někdo, jestli je to možné s izolovaným úložištěm?
Také se dívám na tuto techniku v aplikaci Silverlight, podporuje Silverlight zamykání souborů? Zdá se, že dokumenty MSDN naznačují, že tomu tak není, ale viděl jsem tento příspěvek od MVP, který říká, že ano.
Aktualizace: Microsoft opravil chybu, kterou jsem odeslal do Connect, ale nebyla vydána ve verzi 4 frameworku. Doufejme, že by měl být dostupný v příštím SP nebo plné verzi.
42 odpovědi
Vypadá to na chybu v Frameworku. Možná se mýlím, protože je opravdu příliš velký, aby to byla pravda.
Při pohledu na zdrojový kód .NET 3.5 SP1 s Reflectorem můžete zjistit, že IsolStorageFileStream volá bezrozměrný základní konstruktor (FileStream()), což má za následek neplatně inicializovanou základní třídu. IsolatedStorageFileStream vytvoří instanci FileStream a použije jej ve všech metodách, které přepíše (Write, Read, Flush, Seek, atd.). Je zvláštní, že nepoužívá přímo svou základní třídu.
Ale zamykání a odemykání nejsou přepsány a vyžadují soukromé pole (_handle), které je stále null (protože použitý konstruktor je bez parametrů). Předpokládají, že to není null a zahrají to a zavolají NRE.
Abych to shrnul, zamykání a odemykání není podporováno (nebo nefunguje).
Myslím, že jste nuceni používat jiné blokovací metody, jako je Mutex nebo Semafor.
4
Snažím se tedy zamknout izolovaný úložný soubor ve své klientské aplikaci C#, aby k němu nemohlo přistupovat více instancí mé aplikace současně. Používám následující syntaxi:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Tento kód způsobí, že moje aplikace vyvolá výjimku NullReferenceException uvnitř metody FileStream.Lock daného rámce. Snažil jsem se použít nenulovou hodnotu délky. Zkusil jsem zapsat bajt do souboru a pak jsem zamkl pouze tento bajt. Bez ohledu na to, co dělám, mě pronásleduje stejná výjimka NullReferenceException. Nevíte někdo, jestli je to možné s izolovaným úložištěm?
Také se dívám na tuto techniku v aplikaci Silverlight, podporuje Silverlight zamykání souborů? Zdá se, že dokumenty MSDN naznačují, že tomu tak není, ale viděl jsem tento příspěvek od C# MVP, který říká, že je.
Aktualizace: Microsoft opravil chybu, kterou jsem odeslal na Connect, ale nebyla vydána ve verzi 4 frameworku. Doufejme, že by měl být dostupný v příštím SP nebo plné verzi.
0
Tuto chybu se mi podařilo obejít pomocí reflexe k volání metody zámku v poli IsolatedStorageFileStream soukromého "m_fs" takto: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) jako FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 5. března 10 2010-03-05 15:57:55
2 odpovědi
řazení:
Aktivita
4
Vypadá to na chybu v Frameworku. Možná se mýlím, protože je opravdu příliš velký, aby to byla pravda.
Při pohledu na zdrojový kód .NET 3.5 SP1 s reflektorem zjistíte, že IsolStorageFileStream volá bezrozměrný základní konstruktor (FileStream()), což má za následek neinicializovanou základní třídu. IsolatedStorageFileStream vytvoří instanci FileStream a použije jej ve všech metodách, které přepíše (Write, Read, Flush, Seek, atd.). Je zvláštní, že nepoužívá přímo svou základní třídu.
Uzamčení a odemknutí však nejsou přepsány a potřebují soukromé pole (_handle), které je stále null (protože použitý konstruktor je bez parametrů). Předpokládají, že to není null a zahrají to a zavolají NRE.
Abych to shrnul, zamykání a odemykání není podporováno (nebo nefunguje).
“Jak obnovit mé soubory smazané antivirem Eset NOD32“ je požadavek, který lze často vidět na internetu. Přesto není tolik možných řešení tohoto problému, což často vytváří pocit, že neexistují žádné způsoby, jak vrátit ztracené dokumenty.
Nejprve musíte pochopit, že antivirus nikdy nezablokuje ani neodstraní soubor, který tak či onak neovlivní fungování operačního systému nebo jiných nainstalovaných programů.
Pokud byl tedy váš dokument odstraněn, můžete bezpečně podezřívat jeho zákeřnost. Existují však i soubory, které program pouze upravují, zasahují do jeho procesů, ale samy o sobě nepředstavují hrozbu.
Existují nějaké způsoby, jak obnovit soubor smazaný antivirem? Rozhodně existuje! V tomto článku se podíváme na to, co je aplikace Eset NOD32, funkce práce s ní a efektivní způsob obnovy souborů smazaných antivirem.
Co je Eset NOD32?
Pro nikoho v moderním světě není žádným tajemstvím, jak důležité a hlavně relevantní antivirové aplikace jsou. Umožňují nejen eliminovat drtivou většinu škodlivých souborů, ale také pomáhají předcházet možné hrozbě ještě dříve, než se projeví, a tím či oním způsobem poškodí systém.
antivirus Eset NOD32, nejčastěji označovaný jednoduše jako NOD32, je celá sada antivirového softwaru vytvořená slovenskou společností Eset již v roce 1987.
Existují dvě edice programu:
- domácí verze.
- Obchodní verze.
Hlavním rozdílem mezi business verzí a domácí verzí je možnost vzdálené správy a dostupnost multiplatformní ochrany. Neméně příjemná je funkce, která umožňuje snadno a flexibilně přizpůsobit program jakýmkoli potřebám.
Eset NOD32. Jak povolit nebo zakázat antivirus?
Často se stává, že při instalaci konkrétního programu jsme povinni antivirus deaktivovat, protože jinak „sežere“ důležitý soubor, bez kterého se aplikace jednoduše nespustí.
Dalším častým důvodem pro hledání odpovědí na otázku povolení / zakázání antiviru je cíl snížit spotřebu zdrojů „obránce“. Zde se projevuje zvláštnost práce antivirů - obvykle zabírají poměrně velké množství paměti, i když jsou v pasivním stavu, a když spouštíte jiné „těžké“ programy, někdy musíte ochranu pozastavit.
Jak tedy dokončíte úkol aktivace nebo deaktivace NOD32? Podívejme se na tento problém v níže uvedených pokynech.
1. Spusťte aplikaci Eset NOD32 a jít do Nastavení.
2. V okně, které se otevře, najdete všechny nainstalované balíčky služeb NOD32. Navštivte každý z nich a povolte/zakažte možnosti podle svých potřeb.
Eset NOD32. Antivirová karanténa a výjimky.
Karanténa- úložiště, které je nezbytně přítomno v každém antiviru, bez ohledu na jeho výrobce a verzi (domácí nebo firemní). Ukládá všechny podezřelé soubory, které podle antiviru tak či onak mohou poškodit váš operační systém.
Za zmínku stojí skutečnost, že žádný dokument, i když se jedná o trojského koně, není okamžitě odstraněn. Nejprve je neutralizována hrozba z něj vycházející: soubor je umístěn do karantény a antivirus trpělivě čeká na odpovědné rozhodnutí uživatele o dalším postupu - infikovaný dokument můžete buď smazat, nebo označit jako výjimku, kterou si trochu rozebereme později.
Jak najít antivirovou karanténu Eset NOD32? Velmi jednoduché! Pojďme se podívat na níže uvedené pokyny.
1. Běh Eset NOD32 a přejděte do sekce Servis.
2. Otevřete kartu Další finanční prostředky. Nachází se v pravém dolním rohu.
3. Máme pro vás kompletní seznam doplňkových služeb, které Eset poskytuje v rámci svého antiviru. OTEVŘENO Karanténa.
4. V nabídce, která se otevře, vám NOD32 dává plná práva ke správě všech izolovaných souborů.
Našli jsme karanténa a našel ho hlavní funkce:
- Izolujte soubor. Tato možnost vám umožňuje ručně najít škodlivý soubor a zablokovat jej, pokud si antivirus nedokáže poradit sám.
- Obnovit. Možnost, která vám umožní obnovit omylem uzamčený soubor.
Pouhé obnovení izolovaného dokumentu se nemusí vždy vyhnout dalším zámkům. Dá se to změnit? Uvažujme.
1. aniž byste opustili okno Karanténa, klikněte pravým tlačítkem na soubor, který chcete odemknout.
2. Vyberte možnost Obnovit a vyloučit ze skenování.
3. Pokud jste si svými činy jisti, klikněte Ano. Pokud nevíte, zda je soubor nebezpečný nebo neškodný, doporučujeme kliknout Ne.
Eset NOD32 smazal soubory. Jak se zotavit?
antivirus je jedinou bariérou, která brání neuvěřitelně velkému množství možných hrozeb, které mohou proniknout do našich počítačů přes internet. Je zcela přirozené, že blokuje absolutně všechny soubory s podobným mechanismem fungování; takové dokumenty, které tak či onak zasahují do systémových nebo softwarových procesů.
Bohužel antiviry nejsou schopny rozlišit soubory, protože jakýkoli škodlivý soubor se může snadno převléknout za proces Windows a postupně zničit počítač zevnitř.
V důsledku toho se program snaží všemi možnými způsoby chránit počítač a blokovat vše, co podle jeho názoru představuje určitou hrozbu. Ve většině případů lze zablokované dokumenty snadno obnovit jednoduše vytvořením výjimky, ale někdy jsou zcela odstraněny, pokud antivirus považuje soubor za kriticky nebezpečný.
Obnova oddílu Starus bude dobrým pomocníkem při každodenní práci se souborovým systémem. Aplikace vás z dlouhodobého hlediska zbaví jakýchkoli obav o osobní dokumenty a pomůže vám obnovit soubor jakéhokoli formátu bez ohledu na to, jak jste jej ztratili.
Před registrací nástroje Starus Partition Recovery můžete vyhodnotit všechny šance na „vrácení ztraceného“. Stáhněte si program pro obnovu osobních dokumentů vymazaných antivirem a vyzkoušejte jej zdarma. Všechny funkce jsou dostupné ve zkušební verzi, včetně náhledu obnovených souborů. Okno náhledu vám dá příležitost ujistit se, že konkrétní soubor není poškozen nebo přepsán a je plně obnovitelný.
Doufáme, že článek byl pro vás užitečný a pomohl vyřešit položené otázky.