Wie kann man verdächtige Prozesse in Windows isolieren, ohne das Betriebssystem selbst zu beschädigen? Wie erstellt man eine zuverlässige und Windows-kompatible Software-Sandbox ohne Hardware-Virtualisierung und Kernel-Funktions-Hooks, aber unter Verwendung dokumentierter integrierter Betriebssystem-Sicherheitsmechanismen? Wir werden über die häufigsten Probleme sprechen, mit denen Entwickler (und letztendlich Verbraucher) von Software-Sandboxen konfrontiert sind. Natürlich werden wir unsere Lösung anbieten :).
Einführung oder wie schlimm es ist, ohne Sandkasten zu leben
Unter Fachleuten gibt es ein paar Axiome, über die sie nicht gerne sprechen. Was können wir über Axiome sagen? Sie sind und sind. Es scheint, dass jeder versteht, wie zwei und zwei zwei sind. Einer davon ist beispielsweise, dass signaturbasierte Antivirenprogramme keinen Schutz bieten. Nun ja, das heißt, sie schützen nicht, und das ist alles. Vieles ist darüber schon oft gesagt und nacherzählt worden. Mit Beispielen, schönen Präsentationen, Tänzen und Performances. Und Epidemien aller möglichen bösartigen Dinge wie Ransomware dienen als einer der Beweise für die Wirkungslosigkeit von Signatur- und heuristischen Technologien. Alle Arten von Krypto- und Obfuskatoren lösen erfolgreich das Problem, seit langem bekannte Malware vor der Erkennung zu schützen, und diese Malware wird seit einiger Zeit von Antivirenprogrammen nicht erkannt. Diese Zeit reicht völlig aus, damit sich einige schlecht fühlen und andere sich gut fühlen.
Das heißt, wir sprechen noch nicht einmal von 0day: Sie können die altbekannte bärtige Malware nehmen, sie umwandeln, Verhaltenssignaturen entfernen (für eine faule Person ein paar Tage lang arbeiten) und sie erneut verwenden, und dann noch einmal, und wieder, bis du es satt hast oder bis du eingesperrt bist. Gleichzeitig scheinen die Leute, die das Medikament verkauft haben, damit dieses „schlechte Ding“ nie passiert, nichts damit zu tun zu haben; Mit ernsten Gesichtern veröffentlichen sie eine Art Newsletter und sprechen über Hygiene im Internet, vergessen dabei zu sagen, dass bei vollständiger Einhaltung dieser Hygiene Antivirenprogramme, insbesondere kostenpflichtige, praktisch nicht erforderlich sind.
Sandboxes und Funktionen ihrer Implementierung
Antivirenprogramme speichern also nicht, sondern zerstören manchmal etwas, was bereits vorhanden ist. „Lasst uns den Schutz von der anderen Seite angehen und Prozesse voneinander isolieren“, sagte jemand, der unendlich klug ist. Es ist wirklich großartig, wenn verdächtige Prozesse in einer isolierten Umgebung namens Sandbox ausgeführt werden. In einer Sandbox ausgeführte Malware kann die Sandbox nicht verlassen und das gesamte System beschädigen. Dies könnte eine Lösung sein, allerdings gibt es Nuancen in bestehenden Sandbox-Implementierungen ...
Als Nächstes besprechen wir alle Feinheiten des Sandbox-Aufbaus. Das Wissen darüber wird auf jeden Fall nützlich sein, wenn Sie ein Prozessisolationstool oder HIPS (Host-based Intrusion Prevention System – ein Intrusion Prevention-System für Workstations) auswählen müssen.
Nuance Nr. 1 oder ein Sandkasten für alle
Die meisten Sandboxes bieten eigentlich keine Prozessisolation. Tatsächlich ist das zu schützende System in den meisten Implementierungen in zwei Teile unterteilt – vertrauenswürdig und nicht vertrauenswürdig. Der vertrauenswürdige Teil führt normale Prozesse aus, während der nicht vertrauenswürdige Teil isolierte Prozesse ausführt. Das heißt, alle isolierten Prozesse laufen in derselben Sandbox, haben Zugriff aufeinander und auf die Ressourcen des anderen, verwenden dieselbe Registrierung und dasselbe Dateisystem.
Dadurch kann die Schadsoftware in der Sandbox selbst Fuß fassen und sporadisch mit einer der Inselanwendungen (oder mit mehreren Inselanwendungen oder mit einer davon) starten. Gleichzeitig protokollieren Sandboxes häufig nicht die Aktionen isolierter Prozesse. Aktionen, über die sich HIPS beschwert, finden in Sandboxes ohne die geringste Reaktion statt, angepasst an die Isolation, was nicht sehr gut ist.
Wie kann überprüft werden, ob die Isolierung auf diese Weise ausgelegt ist? Sehr einfach! Führen Sie zwei Anwendungen in einer Sandbox aus. Zum Beispiel notepad.exe und wordpad.exe. Erstellen Sie mit notepad.exe eine Textdatei 1.txt.
Natürlich wird diese Datei nicht auf dem Desktop gespeichert, sondern in einem „virtuellen“ Verzeichnis. Versuchen Sie es mit Wordpad zu öffnen (Abb. 3).
So kann eine von einer Sandbox-Anwendung erstellte Datei von einer anderen Sandbox-Anwendung geöffnet werden. Seien wir ehrlich, Isolation ist nicht mehr sehr gut. Aber vielleicht gibt es zumindest eine Art Schutz vor der Aufnahme? Wir ändern den Inhalt (Abb. 4).
Und wir sparen. Versuchen wir nun, die Datei 1.txt mit notepad.exe zu öffnen. Lassen Sie uns natürlich notepad.exe in der Sandbox ausführen (Abb. 5).
Und darüber haben wir gesprochen. Zwei isolierte Anwendungen sind nicht voneinander isoliert. Es stellt sich heraus, dass der Grund für diese Isolation nicht ganz klar war. Sogar die Ransomware kann, ohne Zugriff auf lokale Ordner auf dem Computer zu erhalten, alles in einem virtualisierten Verzeichnis und mit etwas Glück auch Netzwerkressourcen verschlüsseln, da die Sandbox-Einstellungen für alle isolierten Anwendungen gleich sind.
Nuance Nr. 2 oder Unterisolierung
Ja, isolierte Prozesse können den vertrauenswürdigen Teil des Systems nicht erreichen ... aber in den meisten Implementierungen ist er schreibgeschützt. Das heißt, sie können nahezu ohne Einschränkungen von überall aus lesen und haben häufig Zugriff auf das Netzwerk. Dies geschah offenbar aus Gründen der besseren Kompatibilität, kann aber nicht als Isolation bezeichnet werden.
Versuchen Sie ein einfaches Experiment mit einer Sandbox Ihrer Wahl. Erstellen Sie ein Verzeichnis auf Ihrer Festplatte. Nehmen wir an: E:\Fotos. Platzieren Sie beispielsweise ein Foto darin (Abb. 6).
Starten Sie Internet Explorer in der Sandbox und versuchen Sie, dieses Bild beispielsweise an rghost zu senden.
Und wie? Passiert? Wenn das Experiment erfolgreich war, ist das nicht sehr gut. Noch schlimmer ist es, wenn die Sandbox nicht in der Lage ist, Verzeichnisse anzugeben, auf die isolierte Anwendungen keinen Zugriff haben. Und es ist überhaupt nicht gut, wenn isolierte Anwendungen Daten aus den Verzeichnissen des aktuellen Benutzers lesen können.
Die Dateisystem- und Registry-Virtualisierung basiert in den meisten Implementierungen auf dem „Copy-on-Demand“-Prinzip. Das heißt, wenn eine Datei nur gelesen werden muss, wird sie aus dem Quellverzeichnis gelesen, wenn im virtuellen Verzeichnis kein Analogon vorhanden ist. Wenn dieselbe Datei im virtuellen Verzeichnis vorhanden ist, wird die isolierte Anwendung damit arbeiten. Das Gleiche gilt für die virtuelle Registrierung. Es ist klar, dass, wenn Sie versuchen, eine Datei in einen realen Pfad zu schreiben, diese in das virtuelle Dateisystem geschrieben wird. Fast immer.
Wenn die Malware also in einer solchen Sandbox „isoliert“ ist, hat sie vollen Zugriff auf alle anderen „isolierten“ Prozesse, fast alle lesbaren Daten im System und virtualisierte (von isolierten Anwendungen gespeicherte) Daten (die ist häufig allen isolierten Anwendungen gemeinsam. Anwendungen) für die Aufzeichnung.
Nuance Nr. 3 oder „Lass uns noch ein Fahrrad bauen, es ist so interessant“
Die Fortsetzung steht nur Mitgliedern zur Verfügung
Option 1: Treten Sie der „Site“-Community bei, um alle Materialien auf der Site zu lesen
Durch die Mitgliedschaft in der Community innerhalb des angegebenen Zeitraums erhalten Sie Zugriff auf ALLE Hacker-Materialien, erhöhen Ihren persönlichen kumulativen Rabatt und können eine professionelle Xakep-Score-Bewertung erwerben!
Daher versuche ich, eine isolierte Speicherdatei in meiner Clientanwendung zu sperren, sodass nicht mehrere Instanzen meiner Anwendung gleichzeitig darauf zugreifen können. Ich verwende die folgende Syntax:
LockStream = new InsulatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Dieser Code veranlasst meine Anwendung, eine NullReferenceException von der FileStream.Lock-Methode der Struktur auszulösen. Ich habe versucht, für die Länge einen Wert ungleich Null zu verwenden. Ich habe versucht, ein Byte in eine Datei zu schreiben und habe dann nur dieses Byte blockiert. Egal was ich tue, die gleiche NullReferenceException verfolgt mich. Weiß jemand, ob dies mit isoliertem Speicher möglich ist?
Außerdem lerne ich diese Technik in einer Silverlight-Anwendung. Unterstützt Silverlight das Sperren von Dateien? Die MSDN-Dokumente scheinen darauf hinzudeuten, dass dies nicht der Fall ist, aber ich habe diesen Beitrag von MVP gesehen, der besagt, dass dies der Fall ist.
Update: Microsoft hat den Fehler behoben, den ich an Connect übermittelt habe, er wurde jedoch nicht in Version 4 des Frameworks veröffentlicht. Es sollte hoffentlich im nächsten SP oder der nächsten Vollversion verfügbar sein.
42 Antworten
Dies scheint ein Fehler im Framework zu sein. Vielleicht irre ich mich, denn das ist wirklich zu groß, um wahr zu sein.
Wenn Sie sich den .NET 3.5 SP1-Quellcode mit Reflector ansehen, können Sie feststellen, dass IsolStorageFileStream den dimensionslosen Basiskonstruktor (FileStream()) aufruft, was zu einer nicht wirklich initialisierten Basisklasse führt. InsulatedStorageFileStream erstellt eine Instanz von FileStream und verwendet sie in allen Methoden, die es überschreibt (Schreiben, Lesen, Flush, Suchen usw.). Es ist seltsam, dass es seine Basisklasse nicht direkt verwendet.
Das Sperren und Entsperren wird jedoch nicht überschrieben und erfordert ein privates Feld (_handle), das immer noch null ist (da der verwendete Konstruktor ohne Parameter ist). Sie gehen davon aus, dass es nicht null ist, spielen es ab und lösen eine NRE aus.
Zusammenfassend lässt sich sagen, dass das Sperren und Entsperren nicht unterstützt wird (oder nicht funktioniert).
Ich denke, Sie sind gezwungen, andere Sperrmethoden wie Mutex oder Semaphore zu verwenden.
4
Daher versuche ich, eine isolierte Speicherdatei in meiner C#-Clientanwendung zu sperren, sodass nicht mehrere Instanzen meiner Anwendung gleichzeitig darauf zugreifen können. Ich verwende die folgende Syntax:
LockStream = new InsulatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Dieser Code bewirkt, dass meine Anwendung eine NullReferenceException innerhalb der FileStream.Lock-Methode des Frameworks auslöst. Ich habe versucht, für die Länge einen Wert ungleich Null zu verwenden. Ich habe versucht, ein Byte in eine Datei zu schreiben und habe dann nur dieses Byte blockiert. Egal was ich tue, die gleiche NullReferenceException verfolgt mich. Weiß jemand, ob dies mit isoliertem Speicher möglich ist?
Außerdem lerne ich diese Technik in einer Silverlight-Anwendung. Unterstützt Silverlight das Sperren von Dateien? Die MSDN-Dokumente scheinen darauf hinzuweisen, dass dies nicht der Fall ist, aber ich habe diesen Beitrag von C# MVP gesehen, der besagt, dass dies der Fall ist.
Update: Microsoft hat den Fehler behoben, den ich an Connect übermittelt habe, er wurde jedoch nicht in Version 4 des Frameworks veröffentlicht. Es sollte hoffentlich im nächsten SP oder der nächsten Vollversion verfügbar sein.
0
Ich konnte diesen Fehler umgehen, indem ich Reflektion verwendet habe, um die Sperrmethode für das Feld „IsolatedStorageFileStream“ des privaten „m_fs“ wie folgt aufzurufen: lockStream = new InsulatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) as FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 05. März 10 2010-03-05 15:57:55
2 Antworten
Sortierung:
Aktivität
4
Dies scheint ein Fehler im Framework zu sein. Vielleicht irre ich mich, denn das ist wirklich zu groß, um wahr zu sein.
Wenn Sie sich den .NET 3.5 SP1-Quellcode mit Reflektor ansehen, stellen Sie fest, dass IsolStorageFileStream den dimensionslosen Basiskonstruktor (FileStream()) aufruft, was zu einer nicht initialisierten Basisklasse führt. InsulatedStorageFileStream erstellt eine Instanz von FileStream und verwendet sie in allen Methoden, die es überschreibt (Schreiben, Lesen, Flush, Suchen usw.). Es ist seltsam, dass es seine Basisklasse nicht direkt verwendet.
Sperren und Entsperren werden jedoch nicht überschrieben und benötigen ein privates Feld (_handle), das immer noch null ist (da der verwendete Konstruktor ohne Parameter ist). Sie gehen davon aus, dass es nicht null ist, spielen es ab und lösen eine NRE aus.
Zusammenfassend lässt sich sagen, dass das Sperren und Entsperren nicht unterstützt wird (oder nicht funktioniert).
“So stellen Sie meine von Eset NOD32 Antivirus gelöschten Dateien wieder her„ist eine Anfrage, die oft im Internet zu sehen ist. Es gibt jedoch nicht viele mögliche Lösungen für dieses Problem, was oft den Eindruck erweckt, dass es keine Möglichkeit gibt, verlorene Dokumente zurückzugeben.
Zunächst müssen Sie verstehen, dass ein Antivirenprogramm niemals eine Datei blockiert oder löscht, die nicht auf die eine oder andere Weise die Funktion des Betriebssystems oder anderer installierter Programme beeinträchtigt.
Wenn Ihr Dokument gelöscht wurde, können Sie dementsprechend davon ausgehen, dass es schädlich war. Es gibt jedoch auch Dateien, die das Programm lediglich modifizieren und seine Prozesse stören, aber keine Bedrohung darstellen.
Gibt es Möglichkeiten, eine von einem Antivirenprogramm gelöschte Datei wiederherzustellen? Das gibt es auf jeden Fall! In diesem Artikel schauen wir uns an, was die Eset NOD32-Anwendung ist, welche Funktionen sie bietet und wie sich von einem Antivirenprogramm gelöschte Dateien effektiv wiederherstellen lassen.
Was ist Eset NOD32?
Es ist für niemanden in der modernen Welt ein Geheimnis, wie wichtig und vor allem wie relevant Antivirenanwendungen sind. Sie ermöglichen nicht nur die Beseitigung der meisten schädlichen Dateien, sondern helfen auch, eine mögliche Bedrohung zu verhindern, noch bevor sie sich manifestiert und das System auf die eine oder andere Weise schädigt.
Antivirus Eset NOD32, das meist einfach als NOD32 bezeichnet wird, ist ein komplettes Antivirensoftwarepaket, das 1987 von der slowakischen Firma Eset entwickelt wurde.
Es gibt zwei Ausgaben des Programms:
- Home-Version.
- Business-Version.
Der Hauptunterschied zwischen der Business-Version und der Home-Version besteht in der Möglichkeit der Fernsteuerung und dem Vorhandensein eines plattformübergreifenden Schutzes. Nicht weniger angenehm ist die Funktion, mit der Sie das Programm einfach und flexibel an alle Bedürfnisse anpassen können.
Eset NOD32. Wie aktiviere oder deaktiviere ich Antivirus?
Es kommt oft vor, dass wir bei der Installation eines bestimmten Programms aufgefordert werden, das Antivirenprogramm zu deaktivieren, da es sonst eine wichtige Datei „frisst“, ohne die die Anwendung einfach nicht starten kann.
Ein weiterer häufiger Grund für die Suche nach Antworten auf die Frage der Aktivierung/Deaktivierung eines Antivirenprogramms ist das Ziel, den Ressourcenverbrauch des „Verteidigers“ zu reduzieren. Dies liegt an der Besonderheit der Arbeit von Antivirenprogrammen: Sie beanspruchen in der Regel auch im passiven Zustand ziemlich viel Speicher, und wenn andere „schwere“ Programme ausgeführt werden, ist es manchmal erforderlich, den Schutz anzuhalten.
Wie erledigen Sie also die Aufgabe, NOD32 zu aktivieren oder zu deaktivieren? Schauen wir uns dieses Problem in den folgenden Anweisungen an.
1. Anwendung starten Eset NOD32 und geh zu Einstellungen.
2. Im sich öffnenden Fenster finden Sie alle installierten NOD32-Dienstpakete. Besuchen Sie jede einzelne und aktivieren/deaktivieren Sie die Optionen entsprechend Ihren Anforderungen.
Eset NOD32. Antivirus-Quarantäne und Ausnahmen.
Quarantäne- ein Repository, das unbedingt in jedem Antivirenprogramm vorhanden ist, unabhängig von Hersteller und Version (privat oder geschäftlich). Es speichert alle verdächtigen Dateien, die laut Antivirenprogramm Ihrem Betriebssystem auf die eine oder andere Weise schaden können.
Es ist erwähnenswert, dass kein einziges Dokument, selbst wenn es sich um einen Trojaner handelt, sofort gelöscht wird. Zunächst wird die von ihr ausgehende Bedrohung neutralisiert: Die Datei wird in Quarantäne gestellt und das Antivirenprogramm wartet geduldig darauf, dass der Benutzer eine verantwortungsvolle Entscheidung über das weitere Vorgehen trifft – Sie können das infizierte Dokument entweder löschen oder als Ausnahme markieren Wir werden es etwas später besprechen.
Wie finde ich die Eset NOD32 Antivirus-Quarantäne? Sehr einfach! Schauen wir uns die folgenden Anweisungen an.
1. Laufen Eset NOD32 und gehe zum Abschnitt Service.
2. Öffnen Sie die Registerkarte Zusätzliche Mittel. Es befindet sich in der unteren rechten Ecke.
3. Wir verfügen nun über eine vollständige Liste der zusätzlichen Dienste, die Eset im Rahmen seines Antivirenprogramms bereitstellt. Offen Quarantäne.
4. Im sich öffnenden Menü gewährt Ihnen NOD32 die vollen Rechte zur Verwaltung aller isolierten Dateien.
Wir fanden Quarantäne und ihn gefunden Hauptfunktionen:
- Datei isolieren. Mit dieser Option können Sie eine schädliche Datei manuell finden und blockieren, wenn das Antivirenprogramm nicht alleine damit zurechtkommt.
- Wiederherstellen. Eine Option, mit der Sie eine versehentlich gesperrte Datei wiederherstellen können.
Die einfache Wiederherstellung eines isolierten Dokuments vermeidet nicht immer eine weitere Sperrung. Kann man das ändern? Lassen Sie uns überlegen.
1. Ohne das Fenster zu verlassen Quarantäne, klicken Sie mit der rechten Maustaste auf die Datei, die Sie entsperren möchten.
2. Wähle eine Option Wiederherstellen und vom Scan ausschließen.
3. Wenn Sie von Ihren Handlungen überzeugt sind, klicken Sie Ja. Wenn Sie nicht wissen, ob eine Datei gefährlich oder harmlos ist, empfehlen wir den Klick Nein.
Eset NOD32 hat Dateien gelöscht. Wie kann ich mich erholen?
Antivirus- Dies ist die einzige Barriere, die die unglaublich große Anzahl möglicher Bedrohungen zurückhält, die über das Internet in unsere Computer eindringen können. Es ist ganz natürlich, dass absolut alle Dateien mit einem ähnlichen Betriebsmechanismus blockiert werden. solche Dokumente, die auf die eine oder andere Weise System- oder Softwareprozesse beeinträchtigen.
Leider sind Antivirenprogramme nicht in der Lage, Dateien zu unterscheiden, da sich jede schädliche Datei leicht als Windows-Prozess tarnen und den Computer nach und nach von innen zerstören kann.
Folglich versucht das Programm auf jede erdenkliche Weise, den PC zu schützen und blockiert alles, was seiner Meinung nach eine gewisse Bedrohung darstellt. In den meisten Fällen können blockierte Dokumente einfach durch eine Ausnahme wiederhergestellt werden. Gelegentlich werden sie jedoch vollständig gelöscht, wenn das Antivirenprogramm die Datei als äußerst gefährlich einstuft.
Starus-Partitionswiederherstellung wird ein guter Helfer bei der täglichen Arbeit mit dem Dateisystem sein. Die Anwendung nimmt Ihnen auf lange Sicht alle Sorgen um Ihre persönlichen Dokumente ab und hilft Ihnen, eine Datei jedes Formats wiederherzustellen, unabhängig davon, wie Sie sie verloren haben.
Sie können alle Chancen bewerten, „das Verlorene wiederherzustellen“, bevor Sie das Starus Partition Recovery-Tool registrieren. Laden Sie das Programm zur Wiederherstellung persönlicher Dokumente herunter, die von einem Antivirenprogramm gelöscht wurden, und testen Sie es völlig kostenlos. Alle Funktionen sind in der Testversion verfügbar, einschließlich der Vorschau der wiederhergestellten Dateien. Mithilfe des Vorschaufensters können Sie sicherstellen, dass eine bestimmte Datei nicht beschädigt oder überschrieben ist und vollständig wiederhergestellt werden kann.
Wir hoffen, dass der Artikel für Sie nützlich war und Ihnen bei der Lösung Ihrer Fragen geholfen hat.