Kako izolirati sumnjive procese u sustavu Windows bez kvara samog OS-a? Kako stvoriti pouzdan softverski sandbox kompatibilan sa sustavom Windows bez virtualizacije hardvera i zakačenja funkcija jezgre, ali koristeći dokumentirane sigurnosne mehanizme ugrađene u OS? Govorit ćemo o najčešćim problemima s kojima se susreću programeri (i naposljetku korisnici) softverskih sandboxova. Pa, naravno, ponudit ćemo naše rješenje :).
Uvod ili kako je loše živjeti bez pješčanika
Među profesionalcima postoji nekoliko aksioma o kojima ne vole govoriti. Što možemo reći o aksiomima? Jesu i jesu. Čini se da je svima jasno kako su dva i dva dva. Na primjer, jedan od njih je da antivirusi temeljeni na potpisima ne štite. Pa, to jest, ne štite, i to je sve. Puno je toga rečeno i prepričano o tome puno, puno puta. Uz primjere, lijepe prezentacije, plesove i izvedbe. A epidemije kojekakvih gadnih stvari poput Ransomwarea služe kao jedan od dokaza neučinkovitosti tehnologija potpisa i heurizma. Sve vrste kriptora i zamagljivača uspješno rješavaju problem zaštite odavno poznatog zlonamjernog softvera od otkrivanja, a već neko vrijeme taj zlonamjerni softver ne otkrivaju antivirusi. Ovo vrijeme je sasvim dovoljno da se jedni osjećaju loše, a drugi dobro.
Odnosno, čak i ne govorimo o 0day: možete uzeti stari dobro poznati bradati malware, preoblikovati ga, ukloniti bihevioralne potpise (radi par dana za lijenu osobu) i koristiti ga ponovno, pa opet, i opet, dok vam ne dosadi ili dok vas ne zatvore. Istovremeno, ljudi koji su prodavali lijek kako se ta “loša stvar” nikada ne bi dogodila kao da nemaju ništa s tim; Ozbiljnih lica objavljuju nekakav bilten i govore o higijeni na internetu, zaboravljajući reći da ako se ta ista higijena u potpunosti poštuje, onda antivirusi, posebno oni koji se plaćaju, praktički nisu potrebni.
Pješčanici i značajke njihove implementacije
Dakle, antivirusi ne spašavaju, već ponekad razbijaju ono što već postoji. “Pristupimo zaštiti s druge strane i izolirajmo procese jedne od drugih”, rekao je netko beskrajno pametan. Zaista je sjajno kada se sumnjivi procesi izvode u nekom izoliranom okruženju koje se zove sandbox. Malware koji radi u sandboxu ne može napustiti sandbox i oštetiti cijeli sustav. Ovo bi moglo biti rješenje, no postoje nijanse u postojećim implementacijama sandboxa...
Zatim ćemo razgovarati o svim zamršenostima izgradnje pješčanika, čije će vam znanje svakako dobro doći kada trebate odabrati alat za izolaciju procesa ili HIPS (Sustav za sprječavanje upada na temelju hosta - sustav za sprječavanje upada za radne stanice).
Nuance No. 1, ili jedan sandbox za sve
Većina sandboxa zapravo ne osigurava izolaciju procesa. Istina, u većini implementacija sustav koji se štiti podijeljen je na dva dijela - pouzdani i nepouzdani. Pouzdani dio pokreće normalne procese, dok nepouzdani dio pokreće izolirane procese. Odnosno, svi izolirani procesi rade u istom sandboxu, imaju pristup jedni drugima i međusobnim resursima, koriste isti registar i isti datotečni sustav.
Tako se zlonamjerni softver može učvrstiti u samom sandboxu i sporadično započeti s jednom od izoliranih aplikacija (ili s nekoliko izoliranih aplikacija, ili s bilo kojom od njih). U isto vrijeme, sandboxovi često ne bilježe radnje izoliranih procesa. Radnje na koje se HIPS žali odvijaju se u sandboxovima bez ikakve reakcije, prilagođene izolaciji, što nije baš dobro.
Kako provjeriti je li izolacija tako projektirana? Jako jednostavno! Pokrenite dvije aplikacije u sandboxu. Na primjer, notepad.exe i wordpad.exe. Stvorite tekstualnu datoteku 1.txt koristeći notepad.exe.
Naravno, ova datoteka neće biti spremljena na radnoj površini, već u "virtualnom" direktoriju. Pokušajte ga otvoriti pomoću programa Wordpad (slika 3).
Dakle, datoteku koju je stvorila jedna aplikacija u sandboxu može otvoriti druga aplikacija u sandboxu. Suočimo se s tim, izolacija više nije dobra. Ali možda će barem postojati neka vrsta zaštite od snimanja? Mijenjamo sadržaj (slika 4).
I štedimo. Sada pokušajmo otvoriti datoteku 1.txt koristeći notepad.exe. Naravno, pokrenimo notepad.exe u sandboxu (slika 5).
I to je ono o čemu smo pričali. Dvije izolirane aplikacije nisu izolirane jedna od druge. Ispostavilo se da takvoj izolaciji nije sasvim jasno zašto. Čak i ransomware, bez pristupa lokalnim mapama na računalu, može šifrirati sve u virtualiziranom direktoriju, a ako imate sreće, i na mrežnim resursima, budući da su postavke sandboxa iste za sve izolirane aplikacije.
Nijansa br. 2, odnosno podizolacija
Da, izolirani procesi ne mogu doći do pouzdanog dijela sustava... ali u većini implementacija je samo za pisanje. Odnosno, mogu čitati s bilo kojeg mjesta bez gotovo ikakvih ograničenja i često imaju pristup mreži. To je očito učinjeno radi veće kompatibilnosti, ali to se ne može nazvati izolacijom.
Isprobajte jednostavan eksperiment s pješčanikom po svom izboru. Napravite direktorij na svom tvrdom disku. Recimo ovo: E:\Fotografije. Stavite u njega, na primjer, fotografiju (slika 6).
Pokrenite Internet Explorer u sandboxu i pokušajte poslati ovu sliku na, recimo, rghost.
Pa kako je? Dogodilo se? Ako je eksperiment bio uspješan, onda ovo nije baš dobro. Još je gore ako sandbox nema mogućnost određivanja direktorija kojima izolirane aplikacije neće imati pristup. I nije nimalo dobro ako izolirane aplikacije mogu čitati podatke iz imenika trenutnog korisnika.
Virtualizacija datotečnog sustava i registra u većini implementacija temelji se na principu “copy-on-demand”. To jest, ako datoteku samo treba pročitati, onda se ona čita iz izvornog direktorija ako nema analoga u virtualnom direktoriju. Ako je ista datoteka prisutna u virtualnom direktoriju, tada će izolirana aplikacija raditi s njom. Isto se može reći i za virtualni registar. Pa, jasno je da kada pokušate napisati datoteku na pravi put, ona će biti zapisana u virtualni datotečni sustav. Skoro uvijek.
Dakle, ako je zlonamjerni softver "izoliran" u takvom sandboxu, tada će moći imati puni pristup svim ostalim "izoliranim" procesima, gotovo svim čitljivim podacima u sustavu i virtualiziranim (pohranjenim od strane izoliranih aplikacija) podacima (koji često je zajednička svim izoliranim aplikacijama) za snimanje.
Nijansa br. 3, ili "napravimo još jedan bicikl, tako je zanimljivo"
Nastavak je dostupan samo članovima
Opcija 1. Pridružite se zajednici "site" kako biste pročitali sve materijale na stranici
Članstvo u zajednici unutar navedenog razdoblja omogućit će vam pristup SVIM hakerskim materijalima, povećati vaš osobni kumulativni popust i omogućiti vam da skupite profesionalnu ocjenu Xakep Score!
Dakle, pokušavam zaključati izoliranu datoteku za pohranu u svojoj klijentskoj aplikaciji tako da joj višestruke instance moje aplikacije ne mogu pristupiti u isto vrijeme. Koristim sljedeću sintaksu:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ovaj kod uzrokuje da moja aplikacija izbaci NullReferenceException iz metode FileStream.Lock strukture. Pokušao sam upotrijebiti vrijednost koja nije nula za duljinu. Pokušao sam napisati bajt u datoteku i onda sam samo blokirao taj bajt. Bez obzira što radim, isti NullReferenceException me proganja. Zna li netko je li to moguće s izoliranim skladištenjem?
Također učim ovu tehniku u aplikaciji Silverlight, podržava li Silverlight zaključavanje datoteka? Čini se da MSDN dokumenti pokazuju da to nije slučaj, ali vidio sam ovaj post od MVP-a koji kaže da jest.
Ažuriranje: Microsoft je popravio grešku koju sam poslao Connectu, ali nije objavljena u verziji 4 okvira. Nadamo se da bi trebao biti dostupan u sljedećem SP-u ili u punom izdanju.
42 odgovora
Ovo izgleda kao greška u Frameworku. Možda sam u krivu jer ovo je stvarno preveliko da bi bilo istinito.
Gledajući izvorni kod .NET 3.5 SP1 s Reflektorom, možete pronaći da IsolStorageFileStream poziva bezdimenzionalni osnovni konstruktor (FileStream()), što rezultira nestvarno inicijaliziranom osnovnom klasom. IsolatedStorageFileStream stvara instancu FileStream-a i koristi je u svim metodama koje nadjačava (Write, Read, Flush, Seek, itd.). Čudno je da ne koristi svoju osnovnu klasu izravno.
Ali zaključavanje i otključavanje se ne nadjačavaju i zahtijevaju privatno polje (_handle), koje je još uvijek null (budući da je korišteni konstruktor bez parametara). Pretpostavljaju da nije null i igraju ga i pokreću NRE.
Ukratko, zaključavanje i otključavanje nije podržano (ili ne radi).
Mislim da ste prisiljeni koristiti druge metode zaključavanja kao što su Mutex ili Semaphore.
4
Dakle, pokušavam zaključati izoliranu datoteku za pohranu u svojoj C# klijentskoj aplikaciji tako da joj višestruke instance moje aplikacije ne mogu pristupiti u isto vrijeme. Koristim sljedeću sintaksu:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ovaj kod uzrokuje da moja aplikacija izbaci NullReferenceException unutar metode FileStream.Lock okvira. Pokušao sam upotrijebiti vrijednost koja nije nula za duljinu. Pokušao sam napisati bajt u datoteku i onda sam samo blokirao taj bajt. Bez obzira što radim, isti NullReferenceException me proganja. Zna li netko je li to moguće s izoliranim skladištenjem?
Također učim ovu tehniku u aplikaciji Silverlight, podržava li Silverlight zaključavanje datoteka? Čini se da MSDN dokumenti pokazuju da to nije slučaj, ali vidio sam ovaj post od C# MVP koji kaže da jest.
Ažuriranje: Microsoft je popravio grešku koju sam poslao Connectu, ali nije objavljena u verziji 4 okvira. Nadamo se da bi trebao biti dostupan u sljedećem SP-u ili u punom izdanju.
0
Uspio sam zaobići ovu pogrešku korištenjem refleksije za pozivanje metode zaključavanja polja IsolatedStorageFileStream privatnog "m_fs" ovako: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) as FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 5. ožujka 10 2010-03-05 15:57:55
2 odgovora
Sortiranje:
Aktivnost
4
Ovo izgleda kao greška u Frameworku. Možda sam u krivu jer ovo je stvarno preveliko da bi bilo istinito.
Gledajući izvorni kod .NET 3.5 SP1 s reflektorom, otkrivate da IsolStorageFileStream poziva bezdimenzionalni osnovni konstruktor (FileStream()), što rezultira neinicijaliziranom osnovnom klasom. IsolatedStorageFileStream stvara instancu FileStream-a i koristi je u svim metodama koje nadjačava (Write, Read, Flush, Seek, itd.). Čudno je da ne koristi svoju osnovnu klasu izravno.
Ali zaključavanje i otključavanje se ne poništavaju i potrebno im je privatno polje (_handle), koje je još uvijek null (budući da je korišteni konstruktor bez parametara). Pretpostavljaju da nije null i igraju ga i pokreću NRE.
Ukratko, zaključavanje i otključavanje nije podržano (ili ne radi).
“Kako oporaviti datoteke koje je izbrisao Eset NOD32 antivirus” zahtjev je koji se često može vidjeti na internetu. Međutim, nema mnogo mogućih rješenja za ovaj problem, što često stvara osjećaj da nema načina za vraćanje izgubljenih dokumenata.
Prije svega, morate razumjeti da antivirusni program nikada neće blokirati ili izbrisati datoteku koja na ovaj ili onaj način ne utječe na rad operativnog sustava ili drugih instaliranih programa.
Sukladno tome, ako je vaš dokument izbrisan, možete sa sigurnošću sumnjati da je zlonamjeran. Međutim, postoje i datoteke koje jednostavno modificiraju program, ometaju njegove procese, ali ne predstavljaju prijetnju.
Postoje li načini za oporavak datoteke koju je izbrisao antivirusni program? Definitivno postoji! U ovom članku ćemo pogledati što je aplikacija Eset NOD32, značajke rada s njom i učinkovit način oporavka datoteka koje je izbrisao antivirus.
Što je Eset NOD32?
Nikome u suvremenom svijetu nije tajna koliko su važne, i što je najvažnije, koliko su relevantne antivirusne aplikacije. Omogućuju vam ne samo uklanjanje velike većine zlonamjernih datoteka, već također pomažu u sprječavanju moguće prijetnje čak i prije nego što se manifestira, našteteći sustavu na ovaj ili onaj način.
Antivirus Eset NOD32, koji se najčešće naziva jednostavno NOD32, cijeli je antivirusni softverski paket koji je stvorila slovačka tvrtka Eset davne 1987. godine.
Postoje dva izdanja programa:
- Kućna verzija.
- Poslovna verzija.
Glavna razlika između poslovne verzije i kućne verzije je mogućnost daljinskog upravljanja i prisutnost zaštite na više platformi. Ništa manje ugodna je značajka koja vam omogućuje jednostavno i fleksibilno prilagođavanje programa svim potrebama.
Eset NOD32. Kako omogućiti ili onemogućiti antivirus?
Često se događa da prilikom instaliranja programa od nas zahtijevaju da isključimo antivirus jer će u suprotnom “pojesti” važnu datoteku bez koje se aplikacija jednostavno ne može pokrenuti.
Još jedan uobičajeni razlog traženja odgovora na pitanje uključivanja/onemogućavanja antivirusa je cilj smanjenja potrošnje resursa "branitelja". To je zbog osobitosti rada antivirusnih programa - oni obično zauzimaju prilično veliku količinu memorije čak i kada su u pasivnom stanju, a kada pokreću druge "teške" programe, ponekad je potrebno pauzirati zaštitu.
Dakle, kako izvršiti zadatak omogućavanja ili onemogućavanja NOD32? Pogledajmo ovaj problem u uputama u nastavku.
1. Pokrenite aplikaciju Eset NOD32 i idi na postavke.
2. U prozoru koji se otvori pronaći ćete sve instalirane servisne pakete NOD32. Posjetite svaku od njih i omogućite/onemogućite opcije ovisno o vašim potrebama.
Eset NOD32. Antivirusna karantena i iznimke.
Karantena- spremište koje je nužno prisutno u bilo kojem antivirusu, bez obzira na njegovog proizvođača i verziju (kućna ili poslovna). Pohranjuje sve sumnjive datoteke koje, prema antivirusu, mogu naštetiti vašem operativnom sustavu na ovaj ili onaj način.
Vrijedno je napomenuti činjenicu da se niti jedan dokument, čak i ako je trojanski, ne briše odmah. Prije svega, neutralizira se prijetnja koju on predstavlja: datoteka se stavlja u karantenu i antivirus strpljivo čeka da korisnik donese odgovornu odluku o daljnjim radnjama – zaraženi dokument možete izbrisati ili ga označiti kao iznimku, što razgovarat ćemo malo kasnije.
Kako pronaći Eset NOD32 antivirusnu karantenu? Jako jednostavno! Pogledajmo upute u nastavku.
1. Trčanje Eset NOD32 i idite na odjeljak Servis.
2. Otvorite karticu Dodatna sredstva. Nalazi se u donjem desnom kutu.
3. Sada imamo potpuni popis dodatnih usluga koje pruža Eset kao dio svoje antivirusne zaštite. Otvoren Karantena.
4. U izborniku koji se otvori, NOD32 vam daje puna prava za upravljanje svim izoliranim datotekama.
Našli smo karantena i pronašao ga glavne funkcije:
- Izoliraj datoteku. Ova opcija vam omogućuje da ručno pronađete zlonamjernu datoteku i blokirate je ako se antivirusni program ne može sam nositi.
- Vratiti. Opcija koja vam omogućuje oporavak slučajno zaključane datoteke.
Jednostavno vraćanje izoliranog dokumenta ne izbjegava uvijek daljnje blokiranje. Može li se to promijeniti? Razmotrimo.
1. Ne napuštajući prozor Karantena, desnom tipkom miša kliknite datoteku koju želite otključati.
2. Odaberite opciju Oporavi i isključi iz skeniranja.
3. Ako ste sigurni u svoje postupke, kliknite Da. Ako ne znate je li datoteka opasna ili bezopasna, preporučamo klik Ne.
Eset NOD32 je izbrisao datoteke. Kako se oporaviti?
Antivirus- ovo je jedina barijera koja koči nevjerojatno velik broj mogućih prijetnji koje mogu prodrijeti u naša računala putem interneta. Sasvim je prirodno da blokira apsolutno sve datoteke sa sličnim operativnim mehanizmom; takve dokumente koji na ovaj ili onaj način ometaju procese sustava ili softvera.
Nažalost, antivirusi ne mogu razlikovati datoteke, jer se svaka zlonamjerna datoteka može lako maskirati kao Windows proces i postupno uništiti računalo iznutra.
Posljedično, program na sve moguće načine pokušava zaštititi računalo, blokirajući sve što, po njegovom mišljenju, predstavlja određenu prijetnju. U većini slučajeva blokirani dokumenti mogu se lako vratiti jednostavnim izuzimanjem, ali povremeno se potpuno izbrišu ako antivirusni program smatra da je datoteka kritično opasna.
Oporavak particije Starus bit će dobar pomoćnik u svakodnevnom radu s datotečnim sustavom. Aplikacija će vas dugoročno osloboditi brige oko vaših osobnih dokumenata i pomoći će vam da vratite datoteku bilo kojeg formata, bez obzira na to kako ste je izgubili.
Možete procijeniti sve šanse za "povrat izgubljenog" prije registracije alata Starus Partition Recovery. Preuzmite program za oporavak osobnih dokumenata izbrisanih antivirusom i isprobajte ga potpuno besplatno. Sve značajke dostupne su u probnoj verziji, uključujući pregled oporavljenih datoteka. Prozor za pregled omogućit će vam da provjerite da određena datoteka nije oštećena ili prepisana te da se može u potpunosti vratiti.
Nadamo se da vam je članak bio koristan i pomogao u rješavanju vaših pitanja.