Kaip išskirti įtartinus „Windows“ procesus nepažeidžiant pačios OS? Kaip sukurti patikimą ir su Windows suderinamą programinę smėlio dėžę be aparatinės įrangos virtualizacijos ir branduolio funkcijų kabliukų, bet naudojant dokumentais įmontuotus OS saugos mechanizmus? Kalbėsime apie dažniausiai pasitaikančias problemas, su kuriomis susiduria programinės įrangos smėlio dėžių kūrėjai (ir galiausiai vartotojai). Na, žinoma, mes pasiūlysime savo sprendimą :).
Įvadas, arba kaip blogai gyventi be smėlio dėžės
Tarp profesionalų yra keletas aksiomų, apie kurias jie nemėgsta kalbėti. Ką galime pasakyti apie aksiomas? Jie yra ir yra. Atrodo, kad visi supranta, kaip du ir du yra du. Pavyzdžiui, vienas iš jų yra tai, kad parašu pagrįstos antivirusinės programos neapsaugo. Na, tai yra, jie neapsaugo, ir viskas. Daug dalykų apie tai buvo pasakyta ir perpasakota daug daug kartų. Su pavyzdžiais, gražiais pristatymais, šokiais ir pasirodymais. O įvairiausių bjaurių dalykų, tokių kaip Ransomware, epidemijos yra vienas iš parašų ir euristinių technologijų neefektyvumo įrodymų. Įvairūs šifravimo įrenginiai ir obfuskatoriai sėkmingai išsprendžia seniai žinomų kenkėjiškų programų apsaugos nuo aptikimo problemą ir kurį laiką šios kenkėjiškos programos neaptinka antivirusinės programos. Šio laiko visiškai pakanka, kad vieni pasijustų blogai, o kiti – gerai.
Tai yra, mes net nekalbame apie 0dieną: galite paimti seną gerai žinomą barzdotą kenkėjišką programą, ją pertvarkyti, pašalinti elgesio parašus (padirbėti porą dienų tinginiui) ir vėl naudoti, o tada dar kartą, ir vėl, kol nuo to pavargsi arba kol būsi įkalintas. Tuo pačiu metu žmonės, pardavę vaistus, kad šis „blogas dalykas“ niekada neatsitiktų, atrodo, neturi nieko bendra su tuo; Rimtais veidais leidžia kažkokius naujienlaiškius ir kalba apie higieną internete, pamiršdami pasakyti, kad jei tos pačios higienos laikomasi visiškai, tai antivirusinių, ypač mokamų, praktiškai nereikia.
Smėlio dėžės ir jų įgyvendinimo ypatybės
Taigi, antivirusai negelbsti, o kartais sulaužo tai, kas jau yra. „Prieikime prie apsaugos iš kitos pusės ir atskirkime procesus vienas nuo kito“, – pasakė kažkas be galo protingas. Tikrai puiku, kai įtartini procesai vyksta izoliuotoje aplinkoje, vadinamoje smėlio dėže. Smėlio dėžėje veikianti kenkėjiška programa negali išeiti iš savo ribų ir pakenkti visai sistemai. Tai galėtų būti sprendimas, tačiau esami smėlio dėžės diegimai turi niuansų...
Toliau aptarsime visas smėlio dėžių kūrimo subtilybes, kurių žinios tikrai pravers, kai reikės pasirinkti procesų izoliavimo įrankį arba HIPS (Host-based Intrusion Prevention System – įsibrovimų prevencijos sistema darbo stotims).
Niuansas Nr.1, arba viena smėlio dėžė kiekvienam
Dauguma smėlio dėžių iš tikrųjų neužtikrina proceso izoliacijos. Tiesą sakant, daugelyje diegimų saugoma sistema yra padalinta į dvi dalis - patikimą ir nepatikimą. Patikima dalis vykdo įprastus procesus, o nepatikima dalis – izoliuotus procesus. Tai yra, visi izoliuoti procesai veikia toje pačioje smėlio dėžėje, turi prieigą vienas prie kito ir vienas kito išteklių, naudoja tą patį registrą ir tą pačią failų sistemą.
Taigi kenkėjiška programa gali įsitvirtinti pačioje smėlio dėžėje ir sporadiškai įsijungti su viena iš atskirtų programų (arba su keliomis atskiromis programomis, arba su bet kuria iš jų). Tuo pačiu metu smėlio dėžės dažnai neregistruoja izoliuotų procesų veiksmų. Veiksmai, kuriais skundžiasi HIPS, vyksta smėlio dėžėse be menkiausios reakcijos, pakoreguotos izoliacijai, o tai nėra labai gerai.
Kaip patikrinti, ar izoliacija suprojektuota taip? Labai paprasta! Paleiskite dvi programas smėlio dėžėje. Pavyzdžiui, notepad.exe ir wordpad.exe. Sukurkite tekstinį failą 1.txt naudodami notepad.exe.
Žinoma, šis failas bus išsaugotas ne darbalaukyje, o „virtualiame“ kataloge. Pabandykite atidaryti su Wordpad (3 pav.).
Taigi vienos smėlio dėžės programos sukurtą failą gali atidaryti kita smėlio dėžės programa. Pripažinkime, izoliacija nebėra labai gera. Bet gal bus bent kokia apsauga nuo įrašymo? Keičiame turinį (4 pav.).
Ir taupome. Dabar pabandykime atidaryti failą 1.txt naudodami notepad.exe. Žinoma, smėlio dėžėje paleiskite notepad.exe (5 pav.).
Ir apie tai mes kalbėjome. Dvi atskiros programos nėra atskirtos viena nuo kitos. Pasirodo, tokia izoliacija nebuvo iki galo aišku, kodėl. Netgi išpirkos reikalaujančios programos, negaudamos prieigos prie vietinių kompiuterio aplankų, gali užšifruoti viską virtualizuotame kataloge, o jei pasiseks, ir tinklo išteklius, nes smėlio dėžės nustatymai visoms izoliuotoms programoms yra vienodi.
Niuansas Nr.2 arba per maža izoliacija
Taip, izoliuoti procesai negali pasiekti patikimos sistemos dalies... bet daugumoje diegimų ji yra tik rašoma. Tai yra, jie gali skaityti iš bet kur praktiškai be jokių apribojimų ir dažnai turi prieigą prie tinklo. Matyt, tai buvo padaryta siekiant didesnio suderinamumo, tačiau to negalima pavadinti izoliacija.
Išbandykite paprastą eksperimentą su pasirinkta smėlio dėže. Sukurkite katalogą standžiajame diske. Sakykime taip: E:\Nuotraukos. Įdėkite į jį, pavyzdžiui, nuotrauką (6 pav.).
Smėlio dėžėje paleiskite „Internet Explorer“ ir pabandykite nusiųsti šį vaizdą, tarkime, „rghost“.
Taigi kaip yra? Įvyko? Jei eksperimentas buvo sėkmingas, tai nėra labai gerai. Dar blogiau, jei smėlio dėžėje nėra galimybės nurodyti katalogų, prie kurių atskiros programos neturės prieigos. Ir visai negerai, jei atskiros programos gali nuskaityti duomenis iš dabartinio vartotojo katalogų.
Daugumoje diegimų failų sistemos ir registro virtualizavimas yra pagrįstas „kopijavimo pagal pareikalavimą“ principu. Tai yra, jei failą tiesiog reikia perskaityti, tada jis nuskaitomas iš šaltinio katalogo, jei virtualiame kataloge nėra analogo. Jei tas pats failas yra virtualiame kataloge, tada atskira programa veiks su juo. Tą patį galima pasakyti ir apie virtualų registrą. Na, aišku, kad kai bandysite įrašyti failą į tikrąjį kelią, jis bus įrašytas į virtualią failų sistemą. Beveik visada.
Taigi, jei kenkėjiška programa bus „izoliuota“ tokioje smėlio dėžėje, ji galės turėti pilną prieigą prie visų kitų „izoliuotų“ procesų, beveik visų skaitomų sistemos duomenų ir virtualizuotų (atskirų programų saugomų) duomenų (kurie dažnai būdinga visoms atskiroms programoms). taikomosios programos) įrašymui.
Niuansas Nr. 3 arba „pagaminkime kitą dviratį, taip įdomu“
Tęsinys prieinamas tik nariams
1 variantas. Prisijunkite prie „svetainės“ bendruomenės ir perskaitykite visą svetainėje esančią medžiagą
Narystė bendruomenėje per nurodytą laikotarpį suteiks prieigą prie VISOS „Hacker“ medžiagos, padidins asmeninę kaupiamą nuolaidą ir leis kaupti profesionalų „Xakep Score“ įvertinimą!
Taigi bandau užrakinti izoliuotą saugyklos failą savo kliento programoje, kad keli mano programos egzemplioriai negalėtų jo pasiekti vienu metu. Aš naudoju šią sintaksę:
LockStream = new IsolatedStorageFileStream("mano.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Dėl šio kodo mano programa išmes NullReferenceException iš struktūros FileStream.Lock metodo. Bandžiau naudoti ne nulinę ilgio reikšmę. Bandžiau įrašyti baitą į failą ir tik tada užblokavau tą baitą. Kad ir ką daryčiau, mane persekioja ta pati NullReferenceException. Ar kas nors žino, ar tai įmanoma naudojant izoliuotą saugyklą?
Taip pat aš mokausi šios technikos „Silverlight“ programoje, ar „Silverlight“ palaiko failų užrakinimą? Atrodo, kad MSDN dokumentai rodo, kad taip nėra, bet mačiau šį MVP įrašą, kuriame teigiama, kad taip yra.
Atnaujinimas: „Microsoft“ ištaisė klaidą, kurią pateikiau „Connect“, tačiau ji nebuvo išleista 4 sistemos versijoje. Tikimasi, kad jis bus pasiekiamas kitame SP arba visame leidime.
42 atsakymai
Tai atrodo kaip sistemos klaida. Galbūt aš klystu, nes tai tikrai per didelis, kad būtų tiesa.
Žvelgdami į .NET 3.5 SP1 šaltinio kodą su Reflector, galite pastebėti, kad IsolStorageFileStream iškviečia bedimensinį bazinį konstruktorių (FileStream()), todėl gaunama nerealizuota bazinė klasė. „IsolatedStorageFileStream“ sukuria „FileStream“ egzempliorių ir naudoja jį visais būdais, kuriuos nepaiso (rašyti, skaityti, išplauti, ieškoti ir kt.). Keista, kad jis tiesiogiai nenaudoja savo bazinės klasės.
Tačiau užrakinimas ir atrakinimas nėra nepaisomi ir jiems reikalingas privatus laukas (_handle), kuris vis tiek yra nulinis (nes naudojamas konstruktorius be parametrų). Jie daro prielaidą, kad tai nėra niekinė, ir paleidžia tai bei suaktyvina NRE.
Apibendrinant galima pasakyti, kad užrakinimas ir atrakinimas nepalaikomas (arba neveikia).
Manau, kad esate priversti naudoti kitus užrakinimo būdus, tokius kaip Mutex arba Semaphore.
4
Taigi bandau užrakinti izoliuotą saugyklos failą savo C# kliento programoje, kad keli mano programos egzemplioriai negalėtų jo pasiekti vienu metu. Aš naudoju šią sintaksę:
LockStream = new IsolatedStorageFileStream("mano.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Dėl šio kodo mano programa įmes „NullReferenceException“ sistemos „FileStream.Lock“ metodo viduje. Bandžiau naudoti ne nulinę ilgio reikšmę. Bandžiau įrašyti baitą į failą ir tik tada užblokavau tą baitą. Kad ir ką daryčiau, mane persekioja ta pati NullReferenceException. Ar kas nors žino, ar tai įmanoma naudojant izoliuotą saugyklą?
Taip pat aš mokausi šios technikos „Silverlight“ programoje, ar „Silverlight“ palaiko failų užrakinimą? Atrodo, kad MSDN dokumentai rodo, kad taip nėra, bet mačiau šį C# MVP įrašą, kuriame teigiama, kad taip yra.
Atnaujinimas: „Microsoft“ ištaisė klaidą, kurią pateikiau „Connect“, tačiau ji nebuvo išleista 4 sistemos versijoje. Tikimasi, kad jis bus pasiekiamas kitame SP arba visame leidime.
0
Man pavyko apeiti šią klaidą iškvietęs užrakto metodą privačios „m_fs“ lauke IsolatedStorageFileStream, pavyzdžiui: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) kaip FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel Kovo 05 d 10 2010-03-05 15:57:55
2 atsakymai
Rūšiavimas:
Veikla
4
Tai atrodo kaip sistemos klaida. Galbūt aš klystu, nes tai tikrai per didelis, kad būtų tiesa.
Žvelgdami į .NET 3.5 SP1 šaltinio kodą su reflektoriumi, pastebėsite, kad IsolStorageFileStream iškviečia bedimensinį bazinį konstruktorių (FileStream()), todėl gaunama nepainicijuota bazinė klasė. „IsolatedStorageFileStream“ sukuria „FileStream“ egzempliorių ir naudoja jį visais būdais, kuriuos nepaiso (rašyti, skaityti, išplauti, ieškoti ir kt.). Keista, kad jis tiesiogiai nenaudoja savo bazinės klasės.
Tačiau užrakinimas ir atrakinimas nėra nepaisomi ir jiems reikia privataus lauko (_handle), kuris vis tiek yra nulinis (nes naudojamas konstruktorius be parametrų). Jie daro prielaidą, kad tai nėra niekinė, ir paleidžia tai bei suaktyvina NRE.
Apibendrinant galima pasakyti, kad užrakinimas ir atrakinimas nepalaikomas (arba neveikia).
“Kaip atkurti „Eset NOD32 antivirus“ ištrintus failus“ – dažnai internete galima pamatyti užklausą. Tačiau galimų šios problemos sprendimų nėra daug, o tai dažnai sukelia jausmą, kad nėra būdų grąžinti prarastus dokumentus.
Visų pirma, reikia suprasti, kad antivirusinė programa niekada neužblokuos ir neištrins failo, kuris vienaip ar kitaip nedaro įtakos operacinės sistemos ar kitų įdiegtų programų veikimui.
Atitinkamai, jei jūsų dokumentas buvo ištrintas, galite drąsiai įtarti, kad jis buvo kenkėjiškas. Tačiau yra ir failų, kurie tiesiog modifikuoja programą, trukdo jos procesams, bet nekelia grėsmės.
Ar yra būdų atkurti antivirusinės programos ištrintą failą? Tikrai yra! Šiame straipsnyje apžvelgsime, kas yra Eset NOD32 programa, darbo su ja ypatybes ir veiksmingą būdą atkurti antivirusinės programos ištrintus failus.
Kas yra Eset NOD32?
Niekam šiuolaikiniame pasaulyje ne paslaptis, kokios svarbios, o svarbiausia, kokios aktualios yra antivirusinės programos. Jie leidžia ne tik pašalinti didžiąją daugumą kenkėjiškų failų, bet ir padėti išvengti galimos grėsmės dar jai nepasireiškus, vienaip ar kitaip pakenkiant sistemai.
Antivirusinė Eset NOD32, kuris dažniausiai vadinamas tiesiog NOD32, yra visas antivirusinės programinės įrangos paketas, kurį dar 1987 metais sukūrė Slovakijos kompanija Eset.
Yra du programos leidimai:
- Namų versija.
- Verslo versija.
Pagrindinis skirtumas tarp verslo versijos ir namų versijos yra nuotolinio valdymo galimybė ir kelių platformų apsauga. Ne mažiau maloni funkcija, leidžianti lengvai ir lanksčiai pritaikyti programą pagal bet kokius poreikius.
Eset NOD32. Kaip įjungti arba išjungti antivirusinę?
Dažnai atsitinka taip, kad diegdami konkrečią programą turime išjungti antivirusinę programą, nes kitaip ji „suvalgys“ svarbų failą, be kurio programa tiesiog negali paleisti.
Kita dažna priežastis ieškant atsakymų į antivirusinės programos įjungimo/išjungimo klausimą yra siekis sumažinti „gynėjo“ išteklių suvartojimą. Taip yra dėl antivirusinių programų darbo ypatumų – jie dažniausiai užima gana daug atminties net ir būdami pasyvioje būsenoje, o paleidžiant kitas „sunkias“ programas kartais reikia pristabdyti apsaugą.
Taigi, kaip atlikti NOD32 įjungimo arba išjungimo užduotį? Pažvelkime į šią problemą toliau pateiktose instrukcijose.
1. Paleiskite programą Eset NOD32 ir eik į Nustatymai.
2. Atsidariusiame lange rasite visus įdiegtus NOD32 paslaugų paketus. Apsilankykite kiekviename iš jų ir įjunkite / išjunkite parinktis, atsižvelgdami į jūsų poreikius.
Eset NOD32. Antivirusinis karantinas ir išimtys.
Karantinas- saugykla, kuri būtinai yra bet kurioje antivirusinėje programoje, nepriklausomai nuo jos gamintojo ir versijos (namų ar verslo). Jame saugomi visi įtartini failai, kurie, anot antivirusinės, gali vienaip ar kitaip pakenkti jūsų operacinei sistemai.
Verta pažymėti, kad nei vienas dokumentas, net jei tai yra Trojos arklys, nėra ištrinamas akimirksniu. Pirmiausia neutralizuojama jo keliama grėsmė: failas patalpinamas į karantiną ir antivirusas kantriai laukia, kol vartotojas priims atsakingą sprendimą dėl tolesnių veiksmų – užkrėstą dokumentą galite arba ištrinti, arba pažymėti kaip išimtį, kuri aptarsime šiek tiek vėliau.
Kaip rasti Eset NOD32 antivirusinę karantiną? Labai paprasta! Pažvelkime į toliau pateiktas instrukcijas.
1. Bėk Eset NOD32 ir eikite į skyrių Aptarnavimas.
2. Atidarykite skirtuką Papildomos lėšos. Jis yra apatiniame dešiniajame kampe.
3. Dabar turime pilną papildomų paslaugų, kurias teikia Eset kaip antivirusinės programos dalį, sąrašą. Atviras Karantinas.
4. Atsidariusiame meniu NOD32 suteikia visas teises valdyti visus izoliuotus failus.
Mes radome karantinas ir jį surado pagrindines funkcijas:
- Išskirti failą. Ši parinktis leidžia rankiniu būdu rasti kenkėjišką failą ir jį užblokuoti, jei antivirusinė programa negali susidoroti pati.
- Atkurti. Parinktis, leidžianti atkurti netyčia užrakintą failą.
Paprasčiausiai atkūrus atskirtą dokumentą ne visada išvengiama tolesnio blokavimo. Ar galima tai pakeisti? Pasvarstykime.
1. Neišlipant pro langą Karantinas, dešiniuoju pelės mygtuku spustelėkite failą, kurį norite atrakinti.
2. Pasirinkite parinktį Atkurti ir pašalinti iš nuskaitymo.
3. Jei esate įsitikinęs savo veiksmais, spustelėkite Taip. Jei nežinote, ar failas pavojingas, ar nekenksmingas, rekomenduojame spustelėti Nr.
Eset NOD32 ištrinti failai. Kaip atsigauti?
Antivirusinė– tai vienintelė kliūtis, sulaikanti neįtikėtinai daug galimų grėsmių, kurios gali prasiskverbti į mūsų kompiuterius internetu. Visiškai natūralu, kad jis blokuoja absoliučiai visus failus su panašiu veikimo mechanizmu; tokius dokumentus, kurie vienaip ar kitaip trukdo sistemos ar programinės įrangos procesams.
Deja, antivirusinės programos nesugeba atskirti failų, nes bet koks kenkėjiškas failas gali lengvai užmaskuoti save kaip Windows procesą ir palaipsniui sunaikinti kompiuterį iš vidaus.
Todėl programa visais įmanomais būdais stengiasi apsaugoti kompiuterį, blokuodama viską, kas, jos nuomone, kelia tam tikrą grėsmę. Daugeliu atvejų užblokuotus dokumentus galima lengvai atkurti tiesiog padarius išimtį, tačiau kartais jie visiškai ištrinami, jei antivirusinė programa mano, kad failas yra labai pavojingas.
„Starus“ skaidinio atkūrimas bus geras asistentas kasdieniame darbe su failų sistema. Programa ilgainiui atleis jus nuo rūpesčių dėl jūsų asmeninių dokumentų ir padės atkurti bet kokio formato failą, nepaisant to, kaip jį praradote.
Prieš registruodami „Starus Partition Recovery“ įrankį, galite įvertinti visas galimybes „atgauti tai, kas buvo prarasta“. Atsisiųskite programą, kad atkurtumėte asmeninius antivirusinės programos ištrintus dokumentus, ir išbandykite visiškai nemokamai. Visos funkcijos pasiekiamos bandomojoje versijoje, įskaitant atkurtų failų peržiūrą. Peržiūros langas leis jums įsitikinti, kad tam tikras failas nėra pažeistas ar perrašytas ir gali būti visiškai atkurtas.
Tikimės, kad straipsnis jums buvo naudingas ir padėjo išspręsti jūsų klausimus.