Hogyan lehet elkülöníteni a gyanús folyamatokat a Windows rendszerben, és nem törni magát az operációs rendszert? Hogyan készítsünk robusztus és Windows-kompatibilis szoftveres sandboxot hardveres virtualizáció és kernelhorogok nélkül, de az operációs rendszer dokumentált beépített biztonsági mechanizmusait használva? Beszélni fogunk azokról a leggyakoribb problémákról, amelyekkel a szoftveres sandboxok fejlesztői (és végső soron fogyasztói) szembesülnek. És természetesen felajánljuk a saját megoldásunkat :).
Bevezetés, avagy milyen rossz homokozó nélkül élni
A szakemberek között számos axióma van, amelyekről nem szívesen beszélnek. És mi a helyzet az axiómákkal? Vannak és vannak. Mindenki számára világosnak tűnik, mint a kettő és a kettő. Például az egyikük - az aláírás-alapú víruskeresők nem védenek. Nos, vagyis nem védenek, és ennyi. Sok mindent elmondtak és elmeséltek erről sokszor, nagyon sokszor. Példákkal, szép bemutatókkal, táncokkal, táncokkal. És mindenféle csúnya dolog, például Ransomware járványai az aláírási és heurisztikus technológiák hatékonyságának egyik bizonyítéka. Mindenféle titkosító és obfuszkátor sikeresen megoldja azt a problémát, hogy megvédje a már ismert rosszindulatú programokat az észleléstől, és ezt a kártevőt egy ideig nem észlelték a vírusirtók. Ez az idő elég ahhoz, hogy valaki rosszul érezze magát, valaki pedig jól.
Vagyis nem is 0 napról van szó: előveheted a régi, jól ismert szakállas malware-t, morfondírozhatod, eltávolíthatod a viselkedési szignatúrákat (lusta embernél pár napig dolgozhatsz) és újra használhatod, majd újra és újra, amíg meg nem unod, vagy amíg börtönbe nem helyeznek. Ugyanakkor az embereknek, akik eladták a gyógymódot, hogy ez a „legrosszabb” soha ne jöjjön létre, úgy tűnik, semmi közük ehhez; komoly arccal tesznek közzé valamilyen közleményt, és a higiéniáról beszélnek az interneten, elfelejtve elmondani, hogy ha ezt a higiéniát teljesen betartják, akkor az antivírusokra, különösen a fizetősekre, gyakorlatilag nincs szükség.
Sandboxok és megvalósításuk jellemzői
Tehát a víruskeresők nem mentenek, és néha megtörik azt, ami már ott van. – Közelítsük meg a védelmet a másik oldalról, és különítsük el egymástól a folyamatokat – mondta valaki végtelenül okos. Valóban nagyszerű, amikor a gyanús folyamatok valamilyen elszigetelt környezetben, úgynevezett homokozóban futnak. A homokozóban futó rosszindulatú programok nem hagyhatják el a határait, és nem árthatnak az egész rendszernek. Ez megoldás lehet, azonban a meglévő sandbox-megvalósításokban vannak árnyalatok...
A következőkben csak a homokozók építésének minden bonyodalmát tárgyaljuk, melyek ismerete mindenképpen jól jön majd, ha folyamatleválasztó eszközt vagy HIPS-t (Host-based Intrusion Prevention System - behatolásmegelőző rendszer munkaállomásokhoz) kell választani.
Nuance number 1, vagy egy homokozó mindenkinek
A legtöbb homokozó valójában nem biztosítja a folyamat leválasztását. Valójában a legtöbb megvalósításban a védett rendszer két részre oszlik - megbízható és nem megbízható. Normál folyamatok futnak a megbízható részben, elszigetelt folyamatok a nem megbízható részben. Vagyis minden izolált folyamat ugyanabban a sandboxban fut, hozzáférnek egymáshoz és egymás erőforrásaihoz, ugyanazt a rendszerleíró adatbázist és ugyanazt a fájlrendszert használják.
Így a kártevő megveheti a lábát magában a homokozóban, és epizodikusan elindulhat valamelyik elszigetelt alkalmazással (vagy több elszigetelt alkalmazással, vagy bármelyikkel). Ugyanakkor a homokozók gyakran nem naplózzák az elszigetelt folyamatok műveleteit. Azok az akciók, amelyekre a HIPS káromkodik a homokozókban, a legcsekélyebb reakció nélkül is teljesíthető, az elszigeteltséghez igazítva, ami nem túl jó.
Hogyan ellenőrizhető, hogy a szigetelés így van-e elrendezve? Nagyon egyszerű! Futtasson két alkalmazást egy homokozóban. Például notepad.exe és wordpad.exe. Hozzon létre egy 1.txt szövegfájlt a notepad.exe segítségével.
Természetesen ez a fájl nem az asztalra lesz mentve, hanem egy "virtuális" könyvtárba. Próbálja meg megnyitni a Wordpad segítségével (3. ábra).
Tehát az egyik sandbox alkalmazás által létrehozott fájl megnyitható egy másik sandbox alkalmazással. Valljuk be, az elszigeteltség nem túl jó. De talán legalább lesz valamiféle védelem a rekordtól? Módosítjuk a tartalmat (4. ábra).
És spórolunk. És most próbáljuk meg megnyitni az 1.txt fájlt a notepad.exe segítségével. Természetesen futtassuk a notepad.exe-t a sandboxban (5. ábra).
És itt van, amiről beszéltünk. Két elszigetelt alkalmazás nincs elválasztva egymástól. Kiderült, hogy az ilyen elszigeteltség oka nem teljesen világos. Még egy olyan zsarolóprogram is, amely nem fér hozzá a számítógép helyi mappáihoz, mindent titkosíthat a virtualizált könyvtárban, és ha szerencséd van, akkor a hálózati erőforrásokon is, mivel a sandbox beállításai minden elszigetelt alkalmazásnál azonosak.
2-es árnyalat, vagy alulszigetelés
Igen, a sandbox folyamatok nem érik el a rendszer megbízható részét... de a legtöbb megvalósításban csak írható. Vagyis gyakorlatilag korlátozás nélkül bárhonnan tudnak olvasni, és gyakran hozzáférnek a hálózathoz. Ez nyilvánvalóan a nagyobb kompatibilitás érdekében történik, de ez nem nevezhető elszigetelésnek.
Próbáljon ki egy egyszerű homokozó kísérletet, amelyet választott. Hozzon létre egy könyvtárat a merevlemezen. Mondjuk ezt: E:\Photos . Tegyen bele például egy fényképet (6. ábra).
Futtassa az Internet Explorert egy homokozóban, és próbálja meg elküldeni az adott képet mondjuk rghostnak.
Szóval hogy is van ez? Megtörtént? Ha a tapasztalat sikeres, akkor az nem túl jó. Még rosszabb, ha a sandbox nem tud olyan könyvtárakat megadni, amelyekhez a sandbox alkalmazások nem férhetnek hozzá. És egyáltalán nem jó, ha az elszigetelt alkalmazások az aktuális felhasználó könyvtáraiból tudnak adatokat olvasni.
A fájlrendszer és a rendszerleíró adatbázis virtualizálása a legtöbb megvalósításban az „igény szerinti másolás” elvén alapul. Vagyis ha a fájlt egyszerűen be kell olvasni, akkor a forráskönyvtárból olvassa be, ha nincs analóg a virtuális könyvtárban. Ha ugyanaz a fájl van a virtuális könyvtárban, akkor az elkülönített alkalmazás működik vele. Ugyanez mondható el a virtuális nyilvántartásról is. Nos, egyértelmű, hogy amikor egy fájlt valódi útvonalon próbál meg írni, az a virtuális fájlrendszerbe kerül. Szinte mindig.
Így, ha a rosszindulatú program „elszigetelt” egy ilyen homokozóban, akkor teljes hozzáférést kap az összes többi „izolált” folyamathoz, a rendszerben található szinte minden adathoz olvasásra, és virtualizálható (elszigetelt alkalmazások által tárolt) adatok (ami gyakran minden elszigetelt alkalmazásban közös) rögzítéshez.
3-as árnyalat, vagy "csináljunk még egy biciklit, olyan érdekes"
Továbbra is csak a tagok számára elérhető
1. lehetőség: Csatlakozzon a "webhely" közösséghez, hogy elolvassa az oldalon található összes anyagot
A meghatározott időszakban a közösséghez való tagság hozzáférést biztosít az ÖSSZES Hacker anyaghoz, növeli a személyes kumulatív kedvezményt, és lehetővé teszi, hogy professzionális Xakep Score értékelést gyűjtsön!
Ezért megpróbálok zárolni egy elszigetelt tárolófájlt az ügyfélalkalmazásomban, hogy az alkalmazásom több példánya ne férhessen hozzá egyszerre. A következő szintaxist használom:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ez a kód arra készteti az alkalmazást, hogy egy NullReferenceException kivételt dobjon a struct FileStream.Lock metódusából. Megpróbáltam nullától eltérő értéket használni a hosszhoz. Megpróbáltam egy bájtot írni egy fájlba, majd csak azt a bájtot zároltam. Nem számít, mit csinálok, ugyanaz a NullReferenceException kísért. Tudja valaki, hogy ez lehetséges-e elszigetelt tárolóval?
Én is vizsgálom ezt a technikát egy Silverlight alkalmazásban, támogatja a Silverlight a fájlzárolást? Az MSDN-dokumentumok úgy tűnik, hogy nem, de láttam ezt a bejegyzést az MVP-től, amely szerint igen.
Frissítés: A Microsoft kijavított egy hibát, amelyet benyújtottam a Connectnek, de a keretrendszer 4-es verziójában még nem adták ki. Remélhetőleg a következő SP-ben vagy a teljes kiadásban elérhető lesz.
42 válasz
Ez a Framework hibájának tűnik. Lehet, hogy tévedek, mert tényleg túl nagy ahhoz, hogy igaz legyen.
A .NET 3.5 SP1 forráskódját a Reflektorral nézve azt találhatja, hogy az IsolStorageFileStream meghívja a dimenzió nélküli alapkonstruktort (FileStream()), ami egy nem érvényesen inicializált alaposztályt eredményez. Az IsolatedStorageFileStream példányosít egy FileStream-et, és az összes felülbírált metódusban használja (írás, olvasás, kiürítés, keresés stb.). Furcsa, hogy nem közvetlenül az alaposztályát használja.
De a zárolás és feloldás nincs felülírva, és egy privát mezőt (_handle) igényel, amely továbbra is null (mivel a használt konstruktor paraméter nélküli). Azt feltételezik, hogy ez nem null, és lejátszják, és hívják az NRE-t.
Összefoglalva, a zárolás és a feloldás nem támogatott (vagy nem működik).
Szerintem kénytelen vagy más blokkoló módszereket használni, mint például a Mutex vagy a Semaphore.
4
Tehát megpróbálok zárolni egy elszigetelt tárolófájlt a C# kliens alkalmazásban, hogy az alkalmazásom több példánya ne férhessen hozzá egyszerre. A következő szintaxist használom:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ez a kód arra készteti az alkalmazást, hogy egy NullReferenceException kivételt dobjon a keretrendszer FileStream.Lock metódusán belül. Megpróbáltam nullától eltérő értéket használni a hosszhoz. Megpróbáltam egy bájtot írni egy fájlba, majd csak azt a bájtot zároltam. Nem számít, mit csinálok, ugyanaz a NullReferenceException kísért. Tudja valaki, hogy ez lehetséges-e elszigetelt tárolóval?
Én is vizsgálom ezt a technikát egy Silverlight alkalmazásban, támogatja a Silverlight a fájlzárolást? Úgy tűnik, az MSDN-dokumentumok azt jelzik, hogy nem, de láttam ezt a bejegyzést a C# MVP-től, amely szerint az.
Frissítés: A Microsoft kijavított egy hibát, amelyet a Connect-en küldtem be, de a keretrendszer 4-es verziójában nem adták ki. Remélhetőleg a következő SP-ben vagy a teljes kiadásban elérhető lesz.
0
Sikerült megkerülni ezt a hibát úgy, hogy tükrözéssel hívtam meg a zárolási metódust a privát "m_fs" IsolatedStorageFileStream mezőjében, így: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) mint FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel Március 05 10 2010-03-05 15:57:55
2 válasz
Válogató:
Tevékenység
4
Ez a Framework hibájának tűnik. Lehet, hogy tévedek, mert tényleg túl nagy ahhoz, hogy igaz legyen.
A .NET 3.5 SP1 forráskódot reflektálóval nézve azt találja, hogy az IsolStorageFileStream meghívja a dimenzió nélküli alapkonstruktort (FileStream()), ami inicializálatlan alaposztályt eredményez. Az IsolatedStorageFileStream példányosít egy FileStream-et, és az összes felülbírált metódusban használja (írás, olvasás, kiürítés, keresés stb.). Furcsa, hogy nem közvetlenül az alaposztályát használja.
De a zárolás és feloldás nincs felülírva, és szükségük van egy privát mezőre (_handle), amely továbbra is null (mivel a használt konstruktor paraméter nélküli). Azt feltételezik, hogy ez nem null, és lejátszják, és hívják az NRE-t.
Összefoglalva, a zárolás és a feloldás nem támogatott (vagy nem működik).
“Az Eset NOD32 antivirus által törölt fájlok helyreállítása” – az interneten gyakran látható kérés. Ennek ellenére nincs sok lehetséges megoldás erre a problémára, ami gyakran azt az érzést kelti, hogy nincs mód az elveszett dokumentumok visszaküldésére.
Először is meg kell értenie, hogy a víruskereső soha nem blokkol vagy töröl olyan fájlt, amely valamilyen módon nem befolyásolja az operációs rendszer vagy más telepített programok működését.
Ennek megfelelően, ha a dokumentumot törölték, nyugodtan gyanakodhat a rosszindulatúságára. Vannak azonban olyan fájlok is, amelyek egyszerűen módosítják a programot, beavatkoznak a folyamataiba, de önmagukban nem jelentenek veszélyt.
Van valami módszer a vírusirtó által törölt fájlok helyreállítására? Határozottan van! Ebben a cikkben megvizsgáljuk, mi az Eset NOD32 alkalmazás, a vele való munka jellemzői, valamint a víruskereső által törölt fájlok visszaállításának hatékony módja.
Mi az Eset NOD32?
A modern világban senki előtt nem titok, mennyire fontosak, és ami a legfontosabb, relevánsak a vírusirtó alkalmazások. Nemcsak a rosszindulatú fájlok túlnyomó többségének eltávolítását teszik lehetővé, hanem segítenek megelőzni egy lehetséges fenyegetést, még mielőtt az megnyilvánulna, és így vagy úgy károsítaná a rendszert.
Vírusirtó Eset NOD32 A leggyakrabban egyszerűen NOD32 néven emlegetett vírusirtó szoftverek teljes csomagja, amelyet a szlovák Eset cég hozott létre még 1987-ben.
A programnak két kiadása van:
- otthoni verzió.
- Üzleti verzió.
A fő különbség az üzleti verzió és az otthoni verzió között a távoli kezelés lehetősége és a platformok közötti védelem elérhetősége. Nem kevésbé kellemes az a funkció, amely lehetővé teszi a program egyszerű és rugalmas testreszabását bármilyen igényhez.
Eset NOD32. Hogyan lehet engedélyezni vagy letiltani a víruskeresőt?
Gyakran előfordul, hogy egy adott program telepítésekor le kell tiltanunk a víruskeresőt, mert különben „megeszik” egy fontos fájlt, amely nélkül az alkalmazás egyszerűen nem indul el.
Egy másik gyakori ok, amiért választ keresnek a vírusirtó engedélyezésének / letiltásának kérdésére, a „védő” erőforrás-felhasználásának csökkentése. Itt befolyásolja a víruskeresők munkájának sajátossága - általában még passzív állapotban is meglehetősen sok memóriát foglalnak el, és más „nehéz” programok indításakor néha szüneteltetni kell a védelmet.
Tehát hogyan lehet végrehajtani a NOD32 engedélyezésének vagy letiltásának feladatát? Nézzük meg ezt a problémát az alábbi utasításokban.
1. Indítsa el az alkalmazást Eset NOD32és menj oda Beállítások.
2. A megnyíló ablakban megtalálja az összes telepített NOD32 szolgáltatáscsomagot. Keresse fel mindegyiket, és engedélyezze/letiltja a lehetőségeket az Ön igényei szerint.
Eset NOD32. Víruskereső karantén és kizárások.
Karantén- olyan adattár, amely minden víruskeresőben szükségszerűen jelen van, függetlenül annak gyártójától és verziójától (otthoni vagy üzleti). Minden gyanús fájlt tárol, amelyek a vírusirtó szerint ilyen vagy olyan módon károsíthatják az operációs rendszert.
Érdemes megjegyezni, hogy egyetlen dokumentum sem törlődik azonnal, még ha trójai is. Mindenekelőtt a belőle származó fenyegetést semlegesítik: a fájl karanténba kerül, és a vírusirtó türelmesen várja a felhasználó felelősségteljes döntését a további lépésekről - vagy törölheti a fertőzött dokumentumot, vagy megjelölheti kivételként, amit egy kicsit elemzünk. a későbbiekben.
Hogyan találhatom meg az Eset NOD32 víruskereső karantént? Nagyon egyszerű! Vessünk egy pillantást az alábbi utasításokra.
1. Fuss Eset NOD32és menj a szakaszhoz Szolgáltatás.
2. Nyisson meg egy lapot További alapok. A jobb alsó sarokban található.
3. Az Eset által a vírusirtó részeként nyújtott további szolgáltatások teljes listájával rendelkezünk. nyisd ki Karantén.
4. A megnyíló menüben a NOD32 teljes jogot biztosít az összes elszigetelt fájl kezeléséhez.
Megtaláltuk karanténés megtalálta őt fő funkciókat:
- Fájl elkülönítése. Ez az opció lehetővé teszi, hogy manuálisan megtalálja a rosszindulatú fájlokat, és blokkolja azt, ha a víruskereső önmagában nem tud megbirkózni.
- Helyreállítás. Egy lehetőség, amely lehetővé teszi a véletlenül zárolt fájlok visszaállítását.
Egy elszigetelt dokumentum egyszerű visszaállítása nem mindig kerüli el a további zárolásokat. Lehet ezen változtatni? Mérlegeljük.
1. anélkül, hogy elhagyná az ablakot Karantén, kattintson jobb gombbal a feloldani kívánt fájlra.
2. Válassz egy lehetőséget Visszaállítás és kizárás a vizsgálatból.
3. Ha biztos a tetteiben, kattintson Igen. Ha nem tudja, hogy a fájl veszélyes-e vagy ártalmatlan, javasoljuk, hogy kattintson Nem.
Eset NOD32 törölt fájlokat. Hogyan lehet felépülni?
Vírusirtó ez az egyetlen akadály, amely visszatartja a hihetetlenül nagy számú lehetséges fenyegetést, amely az interneten keresztül behatolhat számítógépeinkbe. Teljesen természetes, hogy teljesen minden hasonló működési mechanizmusú fájlt blokkol; olyan dokumentumokat, amelyek valamilyen módon zavarják a rendszer- vagy szoftverfolyamatokat.
Sajnos az antivírusok nem képesek megkülönböztetni a fájlokat, mert minden rosszindulatú fájl könnyen Windows-folyamatnak álcázhatja magát, és belülről fokozatosan tönkreteheti a számítógépet.
Következésképpen a program minden lehetséges módon megpróbálja megvédeni a számítógépet, blokkolva mindent, ami véleménye szerint bizonyos fenyegetést jelent. A legtöbb esetben a blokkolt dokumentumokat egyszerűen vissza lehet állítani egy kivétellel, de esetenként teljesen törlődnek, ha a vírusirtó kritikusan veszélyesnek ítéli a fájlt.
Starus partíció helyreállítás jó segítője lesz a fájlrendszerrel való mindennapi munkának. Az alkalmazás hosszú távon mentesíti Önt a személyes dokumentumokkal kapcsolatos aggodalmaktól, és segít visszaállítani bármilyen formátumú fájlt, függetlenül attól, hogyan vesztette el azokat.
A Starus Partition Recovery eszköz regisztrálása előtt felmérheti az összes esélyt az „elveszett visszaadására”. Töltse le a programot az antivírus által törölt személyes dokumentumok helyreállítására, és próbálja ki ingyenesen. Minden funkció elérhető a próbaverzióban, beleértve a helyreállított fájlok előnézetét is. Az előnézeti ablak lehetőséget ad arra, hogy megbizonyosodjon arról, hogy egy adott fájl nem sérült vagy nincs felülírva, és teljesen helyreállítható-e.
Reméljük, hogy a cikk hasznos volt az Ön számára, és segített a feltett kérdések megoldásában.