¿Cómo aislar procesos sospechosos en Windows y no romper el propio sistema operativo? ¿Cómo crear un sandbox de software robusto y compatible con Windows sin virtualización de hardware ni enlaces de kernel, pero utilizando los mecanismos de seguridad incorporados documentados del sistema operativo? Hablaremos sobre los problemas más comunes que enfrentan los desarrolladores (y, en última instancia, los consumidores) de los entornos limitados de software. Y, por supuesto, ofreceremos nuestra propia solución :).
Introducción, o lo malo que es vivir sin arenero
Entre los profesionales hay varios axiomas de los que no les gusta hablar. ¿Y los axiomas? son y son. A todos les parece que está claro, como dos y dos. Por ejemplo, uno de ellos: los antivirus basados en firmas no protegen. Bueno, es decir, no protegen, y ya está. Se han dicho y vuelto a contar muchas cosas sobre esto muchas, muchas veces. Con ejemplos, bellas presentaciones, bailes y danzas. Y las epidemias de todo tipo de cosas desagradables como Ransomware son una de las pruebas de la ineficiencia de las tecnologías heurísticas y de firma. Todo tipo de codificadores y ofuscadores resuelven con éxito el problema de proteger el malware ya conocido de la detección, y durante algún tiempo este malware no ha sido detectado por los antivirus. Este tiempo es suficiente para que alguien se sienta mal y alguien bien.
Es decir, ni siquiera se trata del día 0: puede tomar el viejo y conocido malware con barba, transformarlo, eliminar las firmas de comportamiento (funcionar durante un par de días para una persona perezosa) y usarlo nuevamente, y luego otra vez, y otra vez, hasta que te aburras o hasta que te metan en la carcel. Al mismo tiempo, las personas que vendieron la cura para que nunca llegara esta cosa tan “mala”, parecen no tener nada que ver; publican algún tipo de boletín con caras serias y hablan sobre higiene en Internet, olvidando decir que si esta misma higiene se observa por completo, los antivirus, especialmente los pagos, prácticamente no son necesarios.
Sandboxes y características de su implementación.
Entonces, los antivirus no guardan y, a veces, rompen lo que ya está allí. “Abordemos la protección desde el otro lado y aislemos los procesos unos de otros”, dijo alguien infinitamente inteligente. De hecho, es genial cuando los procesos sospechosos se ejecutan en algún tipo de entorno aislado llamado sandbox. El malware que se ejecuta en la zona de pruebas no puede salir de sus límites y dañar todo el sistema. Esta podría ser una solución, sin embargo, hay matices en las implementaciones de sandbox existentes...
A continuación, solo discutiremos todas las complejidades de la construcción de sandboxes, cuyo conocimiento definitivamente será útil cuando necesite elegir una herramienta de aislamiento de procesos o HIPS (Sistema de prevención de intrusiones basado en host: sistema de prevención de intrusiones para estaciones de trabajo).
Nuance número 1, o un sandbox para todos
La mayoría de los entornos sandbox en realidad no proporcionan aislamiento de procesos. De hecho, en la mayoría de las implementaciones, el sistema protegido se divide en dos partes: confiable y no confiable. Los procesos normales se ejecutan en la parte de confianza, los procesos aislados se ejecutan en la parte que no es de confianza. Es decir, todos los procesos aislados se ejecutan en el mismo entorno limitado, tienen acceso entre sí y a los recursos de los demás, utilizan el mismo registro y el mismo sistema de archivos.
Así, el malware puede hacerse un hueco en el propio sandbox y empezar de forma esporádica con una de las aplicaciones aisladas (o con varias aplicaciones aisladas, o con cualquiera de ellas). Al mismo tiempo, los sandbox a menudo no registran las acciones de los procesos aislados. Las acciones que jura HIPS en los areneros son bastante pasables sin la menor reacción, ajustadas al aislamiento, que no es muy bueno.
¿Cómo comprobar que el aislamiento está dispuesto de esta manera? ¡Muy simple! Ejecute dos aplicaciones en un entorno limitado. Por ejemplo notepad.exe y wordpad.exe. Cree un archivo de texto 1.txt con notepad.exe.
Por supuesto, este archivo no se guardará en el escritorio, sino en un directorio "virtual". Prueba a abrirlo con Wordpad (Fig. 3).
Por lo tanto, un archivo creado por una aplicación de espacio aislado se puede abrir con otra aplicación de espacio aislado. Seamos realistas, el aislamiento no es muy bueno. ¿Pero tal vez al menos habrá algún tipo de protección del registro? Cambiamos el contenido (Fig. 4).
Y ahorramos. Y ahora intentemos abrir el archivo 1.txt usando notepad.exe. Por supuesto, ejecutemos notepad.exe en la zona de pruebas (Fig. 5).
Y esto es de lo que hablamos. Dos aplicaciones aisladas no están aisladas entre sí. Resulta que tal aislamiento no quedó del todo claro por qué. Incluso un ransomware sin acceso a las carpetas locales de la computadora puede cifrar todo en el directorio virtualizado y, si tiene suerte, en los recursos de la red, ya que la configuración de la zona de pruebas es la misma para todas las aplicaciones aisladas.
Matiz número 2, o subaislamiento
Sí, los procesos de espacio aislado no pueden llegar a la parte confiable del sistema... pero en la mayoría de las implementaciones es de solo escritura. Es decir, pueden leer desde cualquier lugar prácticamente sin restricciones y, a menudo, tienen acceso a la red. Esto se hace, aparentemente, para una mayor compatibilidad, pero esto no puede llamarse aislamiento.
Pruebe un experimento de caja de arena simple de su elección. Cree un directorio en su disco duro. Digamos esto: E:\Photos . Ponga en él, por ejemplo, una fotografía (Fig. 6).
Ejecute Internet Explorer en un entorno limitado e intente enviar la imagen dada a, por ejemplo, rghost.
¿Entonces, cómo es eso? ¿Sucedió? Si la experiencia es exitosa, entonces no es muy buena. Peor aún, si el sandbox no tiene la capacidad de especificar directorios a los que las aplicaciones del sandbox no tendrán acceso. Y no es nada bueno si las aplicaciones aisladas pueden leer datos de los directorios del usuario actual.
La virtualización del sistema de archivos y el registro en la mayoría de las implementaciones se basa en el principio de "copia bajo demanda". Es decir, si el archivo debe leerse simplemente, se lee desde el directorio de origen si no hay un análogo en el directorio virtual. Si el mismo archivo está presente en el directorio virtual, la aplicación aislada funcionará con él. Lo mismo puede decirse del registro virtual. Bueno, está claro que cuando intenta escribir un archivo a lo largo de una ruta real, se escribirá en el sistema de archivos virtual. Casi siempre.
Por lo tanto, si el malware está "aislado" en una caja de arena de este tipo, podrá tener acceso completo a todos los demás procesos "aislados", a casi todos los datos en el sistema para lectura y virtualizados (almacenados por aplicaciones aisladas). datos (que a menudo son comunes a todas las aplicaciones aisladas) para grabar.
Matiz número 3, o "hagamos otra bicicleta, es muy interesante"
Continúa disponible solo para miembros
Opción 1. Únase a la comunidad del "sitio" para leer todos los materiales en el sitio
¡La membresía en la comunidad durante el período especificado le dará acceso a TODOS los materiales de Hacker, aumentará su descuento acumulativo personal y le permitirá acumular una calificación profesional de Xakep Score!
Así que estoy tratando de bloquear un archivo de almacenamiento aislado en mi aplicación cliente para que varias instancias de mi aplicación no puedan acceder a él al mismo tiempo. Estoy usando la siguiente sintaxis:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); bloquearStream.Lock(0, 0);
Este código hace que mi aplicación arroje una NullReferenceException del método FileStream.Lock de la estructura. Intenté usar un valor distinto de cero para la longitud. Intenté escribir un byte en un archivo y luego solo bloqueé ese byte. No importa lo que haga, la misma NullReferenceException me persigue. ¿Alguien sabe si esto es posible con almacenamiento aislado?
También estoy investigando esta técnica en una aplicación Silverlight, ¿Silverlight admite el bloqueo de archivos? Los documentos de MSDN parecen indicar que no, pero vi esta publicación de MVP que dice que sí.
Actualización: Microsoft solucionó un error que envié a Connect, pero no se ha publicado en la versión 4 del marco. Debería estar disponible con suerte en el próximo SP o lanzamiento completo.
42 respuestas
Esto parece un error en Framework. Tal vez me equivoque, porque es demasiado grande para ser verdad.
Al observar el código fuente de .NET 3.5 SP1 con Reflector, puede encontrar que IsolStorageFileStream llama al constructor base adimensional (FileStream()), lo que da como resultado una clase base inicializada no válida. IsolatedStorageFileStream instancia un FileStream y lo usa en todos los métodos que anula (Escribir, Leer, Vaciar, Buscar, etc.). Es extraño que no use su clase base directamente.
Pero el bloqueo y el desbloqueo no se anulan y requieren un campo privado (_handle) que aún es nulo (porque el constructor utilizado no tiene parámetros). Asumen que no es nulo y lo reproducen y llaman a la NRE.
Para resumir, el bloqueo y desbloqueo no son compatibles (o no funcionan).
Creo que estás obligado a usar otros métodos de bloqueo como Mutex o Semaphore.
4
Así que estoy tratando de bloquear un archivo de almacenamiento aislado en mi aplicación cliente C# para que varias instancias de mi aplicación no puedan acceder a él al mismo tiempo. Estoy usando la siguiente sintaxis:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); bloquearStream.Lock(0, 0);
Este código hace que mi aplicación arroje una NullReferenceException dentro del método FileStream.Lock del marco. Intenté usar un valor distinto de cero para la longitud. Intenté escribir un byte en un archivo y luego solo bloqueé ese byte. No importa lo que haga, la misma NullReferenceException me persigue. ¿Alguien sabe si esto es posible con almacenamiento aislado?
También estoy investigando esta técnica en una aplicación Silverlight, ¿Silverlight admite el bloqueo de archivos? Los documentos de MSDN parecen indicar que no lo es, pero vi esta publicación de C# MVP que dice que sí.
Actualización: Microsoft solucionó un error que envié en Connect, pero no se ha publicado en la versión 4 del marco. Debería estar disponible con suerte en el próximo SP o lanzamiento completo.
0
Pude solucionar este error usando la reflexión para llamar al método de bloqueo en el campo IsolatedStorageFileStream del "m_fs" privado así: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) como FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 05 de marzo 10 2010-03-05 15:57:55
2 respuestas
Clasificación:
Actividad
4
Esto parece un error en Framework. Tal vez me equivoque, porque es demasiado grande para ser verdad.
Si observa el código fuente de .NET 3.5 SP1 con un reflector, encontrará que IsolStorageFileStream llama al constructor base adimensional (FileStream()), lo que da como resultado una clase base no inicializada. IsolatedStorageFileStream instancia un FileStream y lo usa en todos los métodos que anula (Escribir, Leer, Vaciar, Buscar, etc.). Es extraño que no use su clase base directamente.
Pero el bloqueo y el desbloqueo no se anulan y necesitan un campo privado (_handle) que sigue siendo nulo (porque el constructor utilizado no tiene parámetros). Asumen que no es nulo y lo reproducen y llaman a la NRE.
Para resumir, el bloqueo y desbloqueo no son compatibles (o no funcionan).
“Cómo recuperar mis archivos borrados por el antivirus Eset NOD32” es una solicitud que a menudo se puede ver en Internet. Sin embargo, no hay tantas soluciones posibles a este problema, lo que a menudo crea la sensación de que no hay forma de devolver los documentos perdidos.
En primer lugar, debe comprender que el antivirus nunca bloqueará ni eliminará un archivo que de una forma u otra no afecte el funcionamiento del sistema operativo u otros programas instalados.
En consecuencia, si su documento ha sido eliminado, puede sospechar con seguridad su malicia. Sin embargo, también existen archivos que simplemente modifican el programa, interfiriendo en sus procesos, pero que no representan una amenaza en sí mismos.
¿Hay alguna forma de recuperar un archivo eliminado por un antivirus? ¡Definitivamente lo hay! En este artículo, veremos qué es la aplicación Eset NOD32, las características de trabajar con ella y una forma efectiva de recuperar archivos borrados por antivirus.
¿Qué es Eset NOD32?
No es un secreto para nadie en el mundo moderno cuán importantes, y lo más importante, son las aplicaciones antivirus relevantes. Permiten no solo eliminar la gran mayoría de archivos maliciosos, sino que también ayudan a prevenir una posible amenaza incluso antes de que se manifieste, dañando el sistema de una forma u otra.
antivirus Eset NOD32, comúnmente conocido simplemente como NOD32, es un paquete completo de software antivirus creado por la empresa eslovaca Eset en 1987.
Hay dos ediciones del programa:
- versión casera.
- Versión comercial.
La principal diferencia entre la versión empresarial y la versión doméstica es la posibilidad de gestión remota y la disponibilidad de protección multiplataforma. No menos agradable es la característica que le permite personalizar el programa de manera fácil y flexible para cualquier necesidad.
Eset NOD32. ¿Cómo habilitar o deshabilitar el antivirus?
A menudo sucede que al instalar un programa en particular, debemos desactivar el antivirus, porque de lo contrario "comerá" un archivo importante sin el cual la aplicación simplemente no puede iniciarse.
Otra razón común para buscar respuestas a la pregunta de habilitar / deshabilitar el antivirus es el objetivo de reducir el consumo de recursos del "defensor". Aquí es donde afecta la peculiaridad del trabajo de los antivirus: generalmente ocupan una cantidad bastante grande de memoria incluso cuando están en un estado pasivo, y cuando inicia otros programas "pesados", a veces tiene que pausar la protección.
Entonces, ¿cómo completa la tarea de habilitar o deshabilitar NOD32? Veamos este problema en las instrucciones a continuación.
1. Iniciar la aplicacion Eset NOD32 E ir a Ajustes.
2. En la ventana que se abre, encontrará todos los paquetes de servicios NOD32 instalados. Visite cada uno y active/desactive las opciones según sus necesidades.
Eset NOD32. Cuarentena antivirus y exclusiones.
Cuarentena- un repositorio que está necesariamente presente en cualquier antivirus, independientemente de su fabricante y versión (hogar o empresa). Almacena todos los archivos sospechosos que, según el antivirus, de una forma u otra pueden dañar tu sistema operativo.
Vale la pena señalar el hecho de que ningún documento, incluso si es un troyano, se elimina instantáneamente. En primer lugar, la amenaza que emana de él se neutraliza: el archivo se pone en cuarentena y el antivirus espera pacientemente la decisión responsable del usuario sobre otras acciones: puede eliminar el documento infectado o marcarlo como una excepción, que analizaremos un poco más tarde.
¿Cómo encontrar la cuarentena antivirus Eset NOD32? ¡Muy simple! Echemos un vistazo a las instrucciones a continuación.
1. Correr Eset NOD32 e ir a la sección Servicio.
2. abrir una pestaña Fondos adicionales. Se encuentra en la esquina inferior derecha.
3. Tenemos una lista completa de servicios adicionales que brinda Eset como parte de su antivirus. abierto Cuarentena.
4. En el menú que se abre, NOD32 le otorga todos los derechos para administrar todos los archivos aislados.
Encontramos cuarentena y lo encontre funciones principales:
- aislar archivo. Esta opción le permite encontrar manualmente un archivo malicioso y bloquearlo si el antivirus no puede hacerlo por sí solo.
- Restaurar. Una opción que le permite restaurar un archivo bloqueado accidentalmente.
La simple restauración de un documento aislado no siempre evita más bloqueos. ¿Se puede cambiar esto? Consideremos.
1. sin salir de la ventana Cuarentena, haga clic derecho en el archivo que desea desbloquear.
2. Elige una opcion Restaurar y excluir del análisis.
3. Si tiene confianza en sus acciones, haga clic en Sí. Si no sabe si el archivo es peligroso o inofensivo, le recomendamos que haga clic en No.
Archivos eliminados de Eset NOD32. ¿Cómo recuperar?
antivirus es la única barrera que frena una cantidad increíblemente grande de posibles amenazas que pueden penetrar en nuestras computadoras a través de Internet. Es bastante natural que bloquee absolutamente todos los archivos con un mecanismo de operación similar; tales documentos que de una forma u otra interfieren con los procesos del sistema o software.
Desafortunadamente, los antivirus no pueden diferenciar archivos, porque cualquier archivo malicioso puede disfrazarse fácilmente como un proceso de Windows y destruir gradualmente la computadora desde adentro.
En consecuencia, el programa intenta en todas las formas posibles proteger la PC, bloqueando todo lo que, en su opinión, representa una cierta amenaza. En la mayoría de los casos, los documentos bloqueados se pueden restaurar fácilmente simplemente haciendo una excepción, pero ocasionalmente se eliminan por completo si el antivirus considera que el archivo es críticamente peligroso.
Recuperación de partición Starus será un buen ayudante en el trabajo diario con el sistema de archivos. La aplicación lo liberará de cualquier preocupación sobre documentos personales a largo plazo y lo ayudará a recuperar un archivo de cualquier formato, independientemente de cómo lo haya perdido.
Puede evaluar todas las posibilidades de "devolver lo perdido" antes de registrar la herramienta Starus Partition Recovery. Descarga el programa para recuperar documentos personales borrados por antivirus y pruébalo gratis. Todas las funciones están disponibles en la versión de prueba, incluida la vista previa de los archivos recuperados. La ventana de vista previa le dará la oportunidad de asegurarse de que un archivo en particular no se dañe o se sobrescriba y sea totalmente recuperable.
Esperamos que el artículo te haya resultado útil y te haya ayudado a resolver las dudas planteadas.