Kuidas isoleerida kahtlased protsessid Windowsis ilma operatsioonisüsteemi ennast rikkumata? Kuidas luua usaldusväärne ja Windowsiga ühilduv tarkvara liivakast ilma riistvara virtualiseerimise ja kerneli funktsioonikonksudeta, kuid kasutades dokumenteeritud sisseehitatud OS-i turvamehhanisme? Räägime kõige levinumatest probleemidest, millega tarkvara liivakastide arendajad (ja lõpuks ka tarbijad) kokku puutuvad. No muidugi pakume oma lahenduse :).
Sissejuhatus ehk kui halb on elada ilma liivakastita
Professionaalide seas on mõned aksioomid, millest neile ei meeldi rääkida. Mida me saame öelda aksioomide kohta? Nad on ja on. Tundub, et kõik saavad aru, kuidas kaks ja kaks on kaks. Näiteks üks neist on see, et allkirjapõhised viirusetõrjed ei kaitse. Noh, see tähendab, et nad ei kaitse ja see on kõik. Selle kohta on palju-mitu korda räägitud ja ümber räägitud. Näidete, kaunite ettekannete, tantsude ja etteastetega. Ja kõikvõimalike ebameeldivate asjade, nagu Ransomware, epideemiad on üks tõendeid signatuuri- ja heuristiliste tehnoloogiate ebaefektiivsusest. Kõikvõimalikud krüpteerijad ja obfuskaatorid lahendavad edukalt ammutuntud pahavara tuvastamise eest kaitsmise probleemi ning mõnda aega seda pahavara viirusetõrjed ei tuvasta. See aeg on täiesti piisav, et mõned tunneksid end halvasti ja teised end hästi.
See tähendab, et me ei räägi isegi 0-päevast: võite võtta vana tuntud habemega pahavara, muuta seda, eemaldada käitumisallkirjad (laisal inimesel töötada paar päeva) ja seda uuesti kasutada ja siis uuesti, ja uuesti, kuni sa sellest väsid või vangis olemiseni. Samas tundub, et inimestel, kes müüsid ravimit selleks, et see “halb asi” kunagi ei juhtuks, pole sellega midagi pistmist; Tõsiste nägudega avaldavad nad mingit uudiskirja ja räägivad internetis hügieenist, unustades samas öelda, et kui seda sama hügieeni täielikult järgida, siis viirusetõrjeid, eriti tasulisi, pole praktiliselt vaja.
Liivakastid ja nende rakendamise omadused
Niisiis, viirusetõrjed ei päästa, vaid mõnikord lõhuvad juba olemasoleva. "Lähenegem kaitsele teiselt poolt ja isoleerigem protsessid üksteisest," ütles keegi ääretult tark. See on tõesti suurepärane, kui kahtlased protsessid töötavad mõnes eraldatud keskkonnas, mida nimetatakse liivakastiks. Liivakastis töötav pahavara ei saa väljuda oma piiridest ega kahjustada kogu süsteemi. See võib olla lahendus, kuid olemasolevates liivakastirakendustes on nüansse...
Järgmisena käsitleme kõiki liivakastide ehitamise peensusi, mille tundmine tuleb kindlasti kasuks, kui on vaja valida protsessiisolatsiooni tööriist ehk HIPS (Host-based Intrusion Prevention System – sissetungimise ennetamise süsteem tööjaamadele).
Nüanss nr 1 ehk kõigile üks liivakast
Enamik liivakaste ei paku tegelikult protsessi isolatsiooni. Tegelikult on enamikus rakendustes kaitstud süsteem jagatud kaheks osaks - usaldusväärseks ja ebausaldusväärseks. Usaldusväärne osa käitab tavalisi protsesse, ebausaldusväärne osa aga isoleeritud protsesse. See tähendab, et kõik isoleeritud protsessid töötavad samas liivakastis, neil on juurdepääs üksteisele ja üksteise ressurssidele, kasutatakse sama registrit ja sama failisüsteemi.
Seega võib pahavara end liivakastis endas kanda kinnitada ja alustada juhuslikult mõne isoleeritud rakendusega (või mitme isoleeritud rakendusega või ükskõik millisega neist). Samal ajal ei logi liivakastid sageli isoleeritud protsesside toiminguid. Tegevused, mille üle HIPS kurdab, toimuvad liivakastides vähimagi reaktsioonita, kohandatuna isolatsiooniks, mis pole kuigi hea.
Kuidas kontrollida, kas isolatsioon on selliselt kujundatud? Väga lihtne! Käivitage liivakastis kaks rakendust. Näiteks notepad.exe ja wordpad.exe. Looge notepad.exe abil tekstifail 1.txt.
Loomulikult ei salvestata seda faili töölauale, vaid "virtuaalsesse" kataloogi. Proovige see Wordpadiga avada (joonis 3).
Seega saab ühe liivakastirakenduse loodud faili avada teine liivakastirakendus. Olgem ausad, isolatsioon ei ole enam kuigi hea. Aga äkki tekib vähemalt mingi kaitse salvestamise eest? Muudame sisu (joon. 4).
Ja me säästame. Nüüd proovime avada faili 1.txt, kasutades notepad.exe. Muidugi paneme liivakastis käima notepad.exe (joonis 5).
Ja see on see, millest me rääkisime. Kaks isoleeritud rakendust ei ole üksteisest eraldatud. Selgus, et selline eraldatus ei olnud täiesti selge, miks. Isegi lunavara saab ilma arvuti kohalikele kaustadele ligipääsu saamata kõik virtualiseeritud kataloogis ja hea õnne korral ka võrguressurssides krüptida, kuna liivakasti seaded on kõigi isoleeritud rakenduste jaoks samad.
Nüanss nr 2 ehk alaisolatsioon
Jah, isoleeritud protsessid ei jõua süsteemi usaldusväärse osani... kuid enamikes rakendustes on see ainult kirjutatav. See tähendab, et nad saavad lugeda peaaegu ilma piiranguteta kõikjalt ja neil on sageli juurdepääs võrgule. Seda tehti ilmselt suurema ühilduvuse huvides, kuid seda ei saa nimetada isolatsiooniks.
Proovige lihtsat katset oma valitud liivakastiga. Looge kõvakettale kataloog. Ütleme nii: E:\Fotod. Asetage sellesse näiteks foto (joonis 6).
Käivitage liivakastis Internet Explorer ja proovige see pilt näiteks rghostile saata.
Kuidas siis on? Juhtus? Kui katse oli edukas, pole see kuigi hea. Veelgi hullem, kui liivakastil pole võimalust määrata katalooge, millele eraldatud rakendustel pole juurdepääsu. Ja pole üldse hea, kui isoleeritud rakendused saavad lugeda andmeid praeguse kasutaja kataloogidest.
Failisüsteemi ja registri virtualiseerimine põhineb enamikus rakendustes nõudmisel kopeerimise põhimõttel. See tähendab, et kui faili on vaja lihtsalt lugeda, siis loetakse see lähtekataloogist, kui virtuaalses kataloogis pole analoogi. Kui sama fail on virtuaalses kataloogis, töötab isoleeritud rakendus sellega. Sama võib öelda ka virtuaalse registri kohta. Noh, on selge, et kui proovite faili kirjutada päris teele, kirjutatakse see virtuaalsesse failisüsteemi. Peaaegu alati.
Seega, kui pahavara on sellises liivakastis "isoleeritud", on sellel täielik juurdepääs kõigile teistele "isoleeritud" protsessidele, peaaegu kõigile süsteemis olevatele loetavatele andmetele ja virtualiseeritud (eraldatud rakenduste poolt salvestatud) andmetele (mis on sageli ühine kõikidele isoleeritud rakendustele). rakendused) salvestamiseks.
Nüanss nr 3 ehk "teeme veel ühe ratta, see on nii huvitav"
Jätkamine on saadaval ainult liikmetele
Valik 1. Liituge saidi kogukonnaga, et lugeda kõiki saidil olevaid materjale
Määratud perioodi jooksul kogukonna liikmeks saamine annab teile juurdepääsu KÕIGILE häkkerite materjalidele, suurendab teie isiklikku kumulatiivset allahindlust ja võimaldab teil koguda professionaalset Xakep Score reitingut!
Seega üritan lukustada oma klientrakenduses isoleeritud salvestusfaili, nii et mitu minu rakenduse eksemplari ei pääseks sellele korraga juurde. Kasutan järgmist süntaksit:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
See kood põhjustab minu rakendusele NullReferenceExceptioni väljalaskmise struktuuri meetodist FileStream.Lock. Proovisin pikkuse jaoks kasutada nullist erinevat väärtust. Proovisin faili kirjutada baiti ja blokeerisin siis ainult selle baidi. Ükskõik, mida ma ka ei teeks, kummitab mind seesama NullReferenceException. Kas keegi teab, kas see on isoleeritud salvestusruumiga võimalik?
Samuti õpin seda tehnikat Silverlighti rakenduses, kas Silverlight toetab failide lukustamist? Tundub, et MSDN-i dokumendid näitavad, et see pole nii, kuid ma nägin seda MVP postitust, mis ütleb, et see nii on.
Värskendus: Microsoft on parandanud vea, mille saatsin Connectile, kuid seda ei avaldatud raamistiku versioonis 4. Loodetavasti peaks see saadaval olema järgmises SP-s või täisversioonis.
42 vastust
See näib olevat viga raamistikus. Võib-olla ma eksin, sest see on tõesti liiga suur, et tõsi olla.
Vaadates .NET 3.5 SP1 lähtekoodi koos Reflectoriga, võite avastada, et IsolStorageFileStream kutsub välja dimensioonideta baaskonstruktori (FileStream()), mille tulemuseks on tegelikult initsialiseerimata baasklass. IsolatedStorageFileStream loob FileStreami eksemplari ja kasutab seda kõigis meetodites, mida see alistab (kirjutamine, lugemine, loputamine, otsimine jne). Kummaline, et see oma põhiklassi otseselt ei kasuta.
Kuid lukustamist ja avamist ei alistata ning need nõuavad privaatvälja (_handle), mis on endiselt null (kuna kasutatav konstruktor on parameetriteta). Nad eeldavad, et see pole null ja mängivad seda ning käivitavad NRE.
Kokkuvõtteks võib öelda, et lukustamist ja avamist ei toetata (või ei tööta).
Arvan, et olete sunnitud kasutama muid lukustusmeetodeid, nagu Mutex või Semaphore.
4
Nii et ma üritan lukustada isoleeritud salvestusfaili oma C#-kliendirakenduses, nii et mitu minu rakenduse eksemplari ei pääseks sellele korraga juurde. Kasutan järgmist süntaksit:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
See kood põhjustab minu rakendusel raamistiku FileStream.Lock meetodi sisse NullReferenceExceptioni. Proovisin pikkuse jaoks kasutada nullist erinevat väärtust. Proovisin faili kirjutada baiti ja blokeerisin siis ainult selle baidi. Ükskõik, mida ma ka ei teeks, kummitab mind seesama NullReferenceException. Kas keegi teab, kas see on isoleeritud salvestusruumiga võimalik?
Samuti õpin seda tehnikat Silverlighti rakenduses, kas Silverlight toetab failide lukustamist? Tundub, et MSDN-i dokumendid näitavad, et see pole nii, kuid ma nägin seda C# MVP postitust, mis ütleb, et see nii on.
Värskendus: Microsoft on parandanud vea, mille saatsin Connectile, kuid seda ei avaldatud raamistiku versioonis 4. Loodetavasti peaks see saadaval olema järgmises SP-s või täisversioonis.
0
Suutsin selle vea ümber töötada, kasutades peegeldust, et kutsuda lukustusmeetod privaatse "m_fs" väljal IsolatedStorageFileStream järgmiselt: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) kui FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 05 märts 10 2010-03-05 15:57:55
2 vastust
Sorteerimine:
Tegevus
4
See näib olevat viga raamistikus. Võib-olla ma eksin, sest see on tõesti liiga suur, et tõsi olla.
Vaadates reflektoriga .NET 3.5 SP1 lähtekoodi, leiate, et IsolStorageFileStream kutsub dimensioonideta baaskonstruktorit (FileStream()), mille tulemuseks on initsialiseerimata põhiklass. IsolatedStorageFileStream loob FileStreami eksemplari ja kasutab seda kõigis meetodites, mida see alistab (kirjutamine, lugemine, loputamine, otsimine jne). Kummaline, et see oma põhiklassi otseselt ei kasuta.
Kuid lukustamist ja avamist ei tühistata ja need vajavad privaatvälja (_handle), mis on endiselt null (kuna kasutatav konstruktor on parameetriteta). Nad eeldavad, et see pole null ja mängivad seda ning käivitavad NRE.
Kokkuvõtteks võib öelda, et lukustamist ja avamist ei toetata (või ei tööta).
“Kuidas taastada Eset NOD32 viirusetõrjega kustutatud faile” on palve, mida võib sageli Internetis näha. Sellele probleemile pole aga palju võimalikke lahendusi, mis sageli tekitab tunde, et kadunud dokumente pole võimalik tagastada.
Kõigepealt peate mõistma, et viirusetõrje ei blokeeri ega kustuta kunagi faili, mis ei mõjuta ühel või teisel viisil operatsioonisüsteemi ega muude installitud programmide toimimist.
Seega, kui teie dokument kustutati, võite julgelt kahtlustada, et see oli pahatahtlik. Siiski on ka faile, mis lihtsalt muudavad programmi, segades selle protsesse, kuid ei kujuta endast ohtu.
Kas viirusetõrjega kustutatud faili saab taastada? Kindlasti on! Selles artiklis vaatleme, mis on rakendus Eset NOD32, sellega töötamise funktsioone ja tõhusat viisi viirusetõrje kustutatud failide taastamiseks.
Mis on Eset NOD32?
Kaasaegses maailmas pole kellelegi saladus, kui olulised ja mis kõige tähtsam on viirusetõrjerakendused. Need võimaldavad teil mitte ainult kõrvaldada valdava enamuse pahatahtlikest failidest, vaid aitavad ära hoida ka võimaliku ohu juba enne selle avaldumist, mis süsteemi ühel või teisel viisil kahjustab.
Viirusetõrje Eset NOD32, mida kõige sagedamini nimetatakse lihtsalt NOD32-ks, on terve viirusetõrjetarkvara pakett, mille lõi Slovakkia ettevõte Eset 1987. aastal.
Programmil on kaks väljaannet:
- Koduversioon.
- Äriversioon.
Peamine erinevus äriversiooni ja koduversiooni vahel on kaugjuhtimisvõimalus ja platvormideülese kaitse olemasolu. Mitte vähem meeldiv on funktsioon, mis võimaldab teil programmi lihtsalt ja paindlikult kohandada vastavalt mis tahes vajadustele.
Eset NOD32. Kuidas viirusetõrjet lubada või keelata?
Tihti juhtub, et konkreetse programmi installimisel peame viirusetõrje välja lülitama, sest vastasel juhul "sööb" see ära olulise faili, ilma milleta rakendus lihtsalt ei käivitu.
Teine levinud põhjus, miks viirusetõrje lubamise/keelamise küsimusele vastuseid otsitakse, on eesmärk vähendada “kaitsja” ressursikulu. See on tingitud viirusetõrjete töö eripärast - tavaliselt võtavad nad isegi passiivses olekus üsna palju mälu ja muude "raskete" programmide käivitamisel on mõnikord vaja kaitse peatada.
Kuidas siis NOD32 lubamise või keelamise ülesande lõpule viia? Vaatame seda probleemi allolevates juhistes.
1. Käivitage rakendus Eset NOD32 ja minna Seaded.
2. Avanevas aknas leiate kõik installitud NOD32 teenusepaketid. Külastage kõiki ja lubage/keelake valikud vastavalt oma vajadustele.
Eset NOD32. Viirusetõrje karantiin ja erandid.
Karantiin- hoidla, mis on tingimata olemas igas viirusetõrjes, olenemata selle tootjast ja versioonist (kodu või ettevõte). See salvestab kõik kahtlased failid, mis viirusetõrje hinnangul võivad teie operatsioonisüsteemi ühel või teisel viisil kahjustada.
Väärib märkimist, et ühtegi dokumenti, isegi kui see on trooja, ei kustutata koheselt. Kõigepealt neutraliseeritakse sellest tulenev oht: fail asetatakse karantiini ja viirusetõrje ootab kannatlikult, et kasutaja teeb edasiste toimingute kohta vastutustundliku otsuse – saab nakatunud dokumendi kas kustutada või märkida selle erandiks, mis arutame veidi hiljem.
Kuidas leida Eset NOD32 viirusetõrje karantiini? Väga lihtne! Vaatame allolevaid juhiseid.
1. Jookse Eset NOD32 ja minge sektsiooni Teenindus.
2. Avage vahekaart Lisavahendid. See asub paremas alanurgas.
3. Nüüd on meil Eseti viirusetõrje osana pakutavate lisateenuste täielik loetelu. Avatud Karantiin.
4. Avanevas menüüs annab NOD32 teile täielikud õigused kõigi isoleeritud failide haldamiseks.
Leidsime karantiin ja leidis ta põhifunktsioonid:
- Eralda fail. See suvand võimaldab teil pahatahtliku faili käsitsi üles leida ja selle blokeerida, kui viirusetõrje ise hakkama ei saa.
- Taastama. Valik, mis võimaldab teil kogemata lukustatud faili taastada.
Lihtsalt eraldatud dokumendi taastamine ei väldi alati edasist blokeerimist. Kas seda saab muuta? Mõelgem.
1. Aknast lahkumata Karantiin, paremklõpsake failil, mida soovite avada.
2. Valige suvand Taasta ja välista skannimisest.
3. Kui olete oma tegudes kindel, klõpsake nuppu Jah. Kui te ei tea, kas fail on ohtlik või kahjutu, soovitame klõpsata Ei.
Eset NOD32 kustutas failid. Kuidas taastuda?
Viirusetõrje- see on ainus barjäär, mis hoiab tagasi uskumatult palju võimalikke ohte, mis võivad Interneti kaudu meie arvutitesse tungida. On üsna loomulik, et see blokeerib absoluutselt kõik sarnase töömehhanismiga failid; sellised dokumendid, mis ühel või teisel viisil segavad süsteemi või tarkvara protsesse.
Kahjuks ei suuda viirusetõrjed faile eristada, sest iga pahatahtlik fail võib kergesti maskeerida end Windowsi protsessiks ja arvuti järk-järgult seestpoolt hävitada.
Järelikult proovib programm igal võimalikul viisil arvutit kaitsta, blokeerides kõik, mis tema arvates kujutab endast teatud ohtu. Enamasti saab blokeeritud dokumente lihtsalt erandi tegemisega taastada, kuid mõnikord kustutatakse need täielikult, kui viirusetõrje peab faili kriitiliselt ohtlikuks.
Staruse partitsiooni taastamine on hea abiline igapäevatöös failisüsteemiga. Rakendus vabastab teid pikemas perspektiivis igasugustest muredest teie isiklike dokumentide pärast ja aitab teil taastada mis tahes formaadis faili, olenemata sellest, kuidas te selle kaotasite.
Enne Staruse partitsiooni taastamise tööriista registreerimist saate hinnata kõiki võimalusi kaotatu taastamiseks. Laadige alla programm viirusetõrje kustutatud isiklike dokumentide taastamiseks ja proovige seda täiesti tasuta. Kõik funktsioonid on saadaval prooviversioonis, sealhulgas taastatud failide eelvaade. Eelvaate aken võimaldab teil veenduda, et konkreetne fail pole kahjustatud ega üle kirjutatud ning seda saab täielikult taastada.
Loodame, et artikkel oli teile kasulik ja aitas teil oma küsimusi lahendada.