Jak wyizolować podejrzane procesy w systemie Windows i nie zepsuć samego systemu operacyjnego? Jak stworzyć solidną i kompatybilną z systemem Windows piaskownicę programową bez wirtualizacji sprzętu i haków jądra, ale przy użyciu udokumentowanych wbudowanych mechanizmów bezpieczeństwa systemu operacyjnego? Porozmawiamy o najczęstszych problemach, z jakimi borykają się twórcy (a docelowo konsumenci) piaskownic programowych. I oczywiście zaproponujemy własne rozwiązanie :).
Wprowadzenie, czyli jak źle jest żyć bez piaskownicy
Wśród profesjonalistów istnieje kilka aksjomatów, o których nie lubią mówić. A co z aksjomatami? Są i są. Wydaje się wszystkim, że jest jasne, jak dwa i dwa. Na przykład jeden z nich - antywirusy oparte na sygnaturach nie chronią. Cóż, to znaczy nie chronią i tyle. Wiele rzeczy zostało powiedziane i powtórzone na ten temat wiele, wiele razy. Z przykładami, pięknymi prezentacjami, tańcami i tańcami. A epidemie wszelkiego rodzaju paskudnych rzeczy, takich jak Ransomware, są jednym z dowodów na nieefektywność technologii podpisu i heurystyki. Wszelkiego rodzaju kryptory i zaciemniacze skutecznie rozwiązują problem ochrony znanego już złośliwego oprogramowania przed wykryciem, a od pewnego czasu to złośliwe oprogramowanie nie jest wykrywane przez programy antywirusowe. Ten czas wystarczy, by ktoś poczuł się źle, a ktoś dobrze.
Oznacza to, że nie chodzi nawet o 0day: możesz wziąć stare, dobrze znane brodate złośliwe oprogramowanie, przekształcić je, usunąć sygnatury behawioralne (działa przez kilka dni dla leniwej osoby) i użyć go ponownie, a potem znowu i znowu, dopóki się nie znudzisz lub dopóki nie wsadzą cię do więzienia. Jednocześnie ludzie, którzy sprzedawali lekarstwo, aby ta najbardziej „zła” rzecz nigdy nie nadeszła, wydają się nie mieć z tym nic wspólnego; publikują jakiś biuletyn z poważnymi minami i rozmawiają o higienie w Internecie, zapominając powiedzieć, że jeśli dokładnie przestrzega się tej higieny, to antywirusy, zwłaszcza płatne, są praktycznie niepotrzebne.
Piaskownice i cechy ich implementacji
Tak więc programy antywirusowe nie zapisują, a czasem psują to, co już istnieje. „Podejdźmy do ochrony z drugiej strony i odizolujmy procesy od siebie” — powiedział ktoś nieskończenie mądry. Rzeczywiście, wspaniale jest, gdy podejrzane procesy działają w jakimś odizolowanym środowisku zwanym piaskownicą. Złośliwe oprogramowanie działające w piaskownicy nie może przekroczyć swoich granic i zaszkodzić całemu systemowi. Może to być rozwiązanie, jednak istnieją niuanse w istniejących implementacjach piaskownicy ...
Następnie omówimy tylko wszystkie zawiłości budowania piaskownic, których znajomość z pewnością przyda się, gdy będziesz musiał wybrać narzędzie do izolacji procesów lub HIPS (Host-based Intrusion Prevention System - system zapobiegania włamaniom dla stacji roboczych).
Nuance numer 1, czyli jedna piaskownica dla wszystkich
Większość piaskownic w rzeczywistości nie zapewnia izolacji procesu. Tak naprawdę w większości wdrożeń chroniony system dzieli się na dwie części – zaufaną i niezaufaną. Normalne procesy działają w części zaufanej, procesy izolowane działają w części niezaufanej. Oznacza to, że wszystkie izolowane procesy działają w tej samej piaskownicy, mają dostęp do siebie nawzajem i do swoich zasobów, używają tego samego rejestru i tego samego systemu plików.
W ten sposób złośliwe oprogramowanie może zadomowić się w samej piaskownicy i uruchamiać się epizodycznie z jedną z odizolowanych aplikacji (albo z kilkoma odizolowanymi aplikacjami, albo z dowolną z nich). Jednocześnie piaskownice często nie rejestrują działań izolowanych procesów. Akcje, na które zaklina się HIPS w piaskownicach są całkiem znośne bez najmniejszej reakcji, dostosowane do izolacji, która nie jest zbyt dobra.
Jak sprawdzić, czy izolacja jest tak ułożona? Bardzo prosta! Uruchom dwie aplikacje w piaskownicy. Na przykład notepad.exe i wordpad.exe. Utwórz plik tekstowy 1.txt za pomocą programu notepad.exe.
Oczywiście ten plik nie zostanie zapisany na pulpicie, ale w „wirtualnym” katalogu. Spróbuj otworzyć go za pomocą programu Wordpad (rys. 3).
Tak więc plik utworzony przez jedną aplikację działającą w trybie piaskownicy można otworzyć za pomocą innej aplikacji działającej w trybie piaskownicy. Spójrzmy prawdzie w oczy, izolacja nie jest zbyt dobra. Ale może przynajmniej będzie jakieś zabezpieczenie przed zapisem? Zmieniamy treść (ryc. 4).
I oszczędzamy. A teraz spróbujmy otworzyć plik 1.txt za pomocą programu notepad.exe. Oczywiście uruchommy notepad.exe w piaskownicy (rys. 5).
A oto o czym rozmawialiśmy. Dwie izolowane aplikacje nie są od siebie odizolowane. Okazuje się, że taka izolacja została wykonana nie do końca wiadomo dlaczego. Nawet ransomware bez dostępu do lokalnych folderów na komputerze może zaszyfrować wszystko w zwirtualizowanym katalogu, a jeśli masz szczęście, to w zasobach sieciowych, ponieważ ustawienia piaskownicy są takie same dla wszystkich izolowanych aplikacji.
Nuance numer 2, czyli niedostateczna izolacja
Tak, procesy w piaskownicy nie mogą dotrzeć do zaufanej części systemu… ale w większości implementacji jest to tylko zapis. Oznacza to, że mogą czytać z dowolnego miejsca praktycznie bez ograniczeń i często mają dostęp do sieci. Odbywa się to najwyraźniej w celu większej kompatybilności, ale nie można tego nazwać izolacją.
Wypróbuj prosty eksperyment w piaskownicy do wyboru. Utwórz katalog na dysku twardym. Powiedzmy tak: E:\Photos . Umieść w nim np. zdjęcie (ryc. 6).
Uruchom Internet Explorera w piaskownicy i spróbuj wysłać podany obraz do, powiedzmy, rghost.
Więc jak to jest? Stało się? Jeśli doświadczenie jest udane, to nie jest zbyt dobre. Co gorsza, jeśli piaskownica nie ma możliwości określenia katalogów, do których aplikacje piaskownicy nie będą miały dostępu. I wcale nie jest dobrze, jeśli izolowane aplikacje mogą odczytywać dane z katalogów bieżącego użytkownika.
Wirtualizacja systemu plików i rejestru w większości wdrożeń budowana jest na zasadzie „kopiowania na żądanie”. Oznacza to, że jeśli plik musi być po prostu odczytany, to jest odczytywany z katalogu źródłowego, jeśli w katalogu wirtualnym nie ma odpowiednika. Jeśli ten sam plik znajduje się w katalogu wirtualnym, izolowana aplikacja będzie z nim współpracować. To samo można powiedzieć o rejestrze wirtualnym. Cóż, jasne jest, że kiedy spróbujesz napisać plik wzdłuż prawdziwej ścieżki, zostanie on zapisany w wirtualnym systemie plików. Prawie zawsze.
Tym samym, jeśli złośliwe oprogramowanie zostanie „odizolowane” w takiej piaskownicy, to będzie mogło mieć pełny dostęp do wszystkich innych „odizolowanych” procesów, do prawie wszystkich danych w systemie do odczytu oraz do zwirtualizowanych (przechowywanych przez izolowane aplikacje) danych (co jest często wspólne dla wszystkich izolowanych aplikacji) do nagrywania.
Nuance numer 3, czyli „zróbmy kolejny rower, to takie ciekawe”
Ciąg dalszy dostępny tylko dla członków
Opcja 1. Dołącz do społeczności „witryny”, aby przeczytać wszystkie materiały na stronie
Członkostwo w społeczności w określonym czasie da ci dostęp do WSZYSTKICH materiałów hakerskich, zwiększy twoją osobistą kumulatywną zniżkę i pozwoli ci zgromadzić profesjonalną ocenę Xakep Score!
Próbuję więc zablokować izolowany plik pamięci w mojej aplikacji klienckiej, aby wiele instancji mojej aplikacji nie mogło uzyskać do niego dostępu w tym samym czasie. Używam następującej składni:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ten kod powoduje, że moja aplikacja zgłasza wyjątek NullReferenceException z metody FileStream.Lock struktury. Próbowałem użyć niezerowej wartości dla długości. Próbowałem zapisać bajt do pliku, a następnie zablokowałem tylko ten bajt. Bez względu na to, co robię, prześladuje mnie ten sam wyjątek NullReferenceException. Czy ktoś wie, czy jest to możliwe z izolowaną pamięcią masową?
Przyglądam się również tej technice w aplikacji Silverlight, czy Silverlight obsługuje blokowanie plików? Dokumenty MSDN wydają się wskazywać, że tak nie jest, ale widziałem ten post od MVP, który mówi, że tak.
Aktualizacja: Microsoft naprawił błąd, który przesłałem do Connect, ale nie został on wydany w wersji 4 frameworka. Powinno być dostępne, miejmy nadzieję, w następnym SP lub pełnej wersji.
42 odpowiedzi
Wygląda to na błąd w Framework. Może się mylę, bo to naprawdę zbyt duże, żeby było prawdziwe.
Patrząc na kod źródłowy platformy .NET 3.5 SP1 z narzędziem Reflector, można stwierdzić, że IsolStorageFileStream wywołuje bezwymiarowy konstruktor podstawowy (FileStream()), co skutkuje nieprawidłowo zainicjowaną klasą podstawową. IsolatedStorageFileStream tworzy wystąpienie FileStream i używa go we wszystkich metodach, które przesłania (zapis, odczyt, opróżnianie, wyszukiwanie itp.). To dziwne, że nie używa bezpośrednio swojej klasy bazowej.
Ale blokowanie i odblokowywanie nie są nadpisywane i wymagają pola prywatnego (_handle), które nadal jest puste (ponieważ użyty konstruktor jest bez parametrów). Zakładają, że to nie jest zero, grają i sprawdzają NRE.
Podsumowując, blokowanie i odblokowywanie nie jest obsługiwane (lub nie działa).
Myślę, że jesteś zmuszony użyć innych metod blokowania, takich jak Mutex lub Semaphore.
4
Próbuję więc zablokować izolowany plik pamięci masowej w mojej aplikacji klienckiej C#, aby wiele instancji mojej aplikacji nie mogło uzyskać do niego dostępu w tym samym czasie. Używam następującej składni:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ten kod powoduje, że moja aplikacja zgłasza wyjątek NullReferenceException wewnątrz metody FileStream.Lock frameworka. Próbowałem użyć niezerowej wartości dla długości. Próbowałem zapisać bajt do pliku, a następnie zablokowałem tylko ten bajt. Bez względu na to, co robię, prześladuje mnie ten sam wyjątek NullReferenceException. Czy ktoś wie, czy jest to możliwe z izolowaną pamięcią masową?
Przyglądam się również tej technice w aplikacji Silverlight, czy Silverlight obsługuje blokowanie plików? Dokumenty MSDN wydają się wskazywać, że tak nie jest, ale widziałem ten post z C# MVP, który mówi, że tak jest.
Aktualizacja: Microsoft naprawił błąd, który zgłosiłem w Connect, ale nie został on wydany w wersji 4 frameworka. Powinno być dostępne, miejmy nadzieję, w następnym SP lub pełnej wersji.
0
Udało mi się obejść ten błąd, używając odbicia do wywołania metody lock w polu IsolatedStorageFileStream prywatnego „m_fs” w następujący sposób: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) jako FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 05 marca 10 2010-03-05 15:57:55
2 odpowiedzi
Sortowanie:
Działalność
4
Wygląda to na błąd w Framework. Może się mylę, bo to naprawdę zbyt duże, żeby było prawdziwe.
Patrząc na kod źródłowy .NET 3.5 SP1 z reflektorem, można zauważyć, że IsolStorageFileStream wywołuje bezwymiarowy konstruktor podstawowy (FileStream()), co skutkuje niezainicjowaną klasą podstawową. IsolatedStorageFileStream tworzy wystąpienie FileStream i używa go we wszystkich metodach, które przesłania (zapis, odczyt, opróżnianie, wyszukiwanie itp.). To dziwne, że nie używa bezpośrednio swojej klasy bazowej.
Ale blokada i odblokowanie nie są nadpisywane i potrzebują prywatnego pola (_handle), które nadal ma wartość NULL (ponieważ użyty konstruktor jest bezparametrowy). Zakładają, że to nie jest zero, grają i sprawdzają NRE.
Podsumowując, blokowanie i odblokowywanie nie jest obsługiwane (lub nie działa).
“Jak odzyskać moje pliki usunięte przez program antywirusowy Eset NOD32” to prośba, którą często można zobaczyć w Internecie. Niemniej jednak możliwości rozwiązania tego problemu jest niewiele, co często rodzi poczucie braku możliwości zwrotu utraconych dokumentów.
Przede wszystkim musisz zrozumieć, że program antywirusowy nigdy nie zablokuje ani nie usunie pliku, który w taki czy inny sposób nie wpływa na działanie systemu operacyjnego lub innych zainstalowanych programów.
W związku z tym, jeśli Twój dokument został usunięty, możesz bezpiecznie podejrzewać jego złośliwość. Jednak są też pliki, które po prostu modyfikują program, ingerując w jego procesy, ale same w sobie nie stanowią zagrożenia.
Czy są jakieś sposoby na odzyskanie pliku usuniętego przez program antywirusowy? Zdecydowanie istnieje! W tym artykule przyjrzymy się, czym jest aplikacja Eset NOD32, funkcjom pracy z nią i skutecznemu sposobowi odzyskiwania plików usuniętych przez program antywirusowy.
Co to jest Eset NOD32?
Dla nikogo we współczesnym świecie nie jest tajemnicą, jak ważne i najważniejsze są odpowiednie aplikacje antywirusowe. Pozwalają one nie tylko wyeliminować zdecydowaną większość złośliwych plików, ale także pomagają zapobiegać potencjalnemu zagrożeniu, nawet zanim się ono ujawni, wyrządzając w ten czy inny sposób szkodę systemowi.
Antywirus Eset NOD32, najczęściej nazywany po prostu NOD32, to cały pakiet oprogramowania antywirusowego stworzony przez słowacką firmę Eset w 1987 roku.
Program ma dwie edycje:
- wersja domowa.
- Wersja biznesowa.
Główną różnicą między wersją biznesową a wersją domową jest możliwość zdalnego zarządzania i dostępność ochrony międzyplatformowej. Nie mniej przyjemna jest funkcja, która pozwala łatwo i elastycznie dostosować program do dowolnych potrzeb.
Eset NOD32. Jak włączyć lub wyłączyć program antywirusowy?
Często zdarza się, że podczas instalacji konkretnego programu jesteśmy zobowiązani do wyłączenia antywirusa, ponieważ w przeciwnym razie „zje” on ważny plik, bez którego aplikacja po prostu nie może się uruchomić.
Innym częstym powodem szukania odpowiedzi na pytanie o włączanie / wyłączanie programu antywirusowego jest cel zmniejszenia zużycia zasobów przez „obrońcę”. Na to wpływa specyfika działania programów antywirusowych - zwykle zajmują one dość dużą ilość pamięci, nawet gdy są w stanie pasywnym, a kiedy uruchamiasz inne „ciężkie” programy, czasami musisz wstrzymać ochronę.
Jak więc wykonać zadanie włączania lub wyłączania NOD32? Przyjrzyjmy się temu zagadnieniu w poniższych instrukcjach.
1. Uruchom aplikację Eset NOD32 i idź do Ustawienia.
2. W oknie, które zostanie otwarte, znajdziesz wszystkie zainstalowane pakiety usług NOD32. Odwiedź każdą z nich i włącz/wyłącz opcje w zależności od potrzeb.
Eset NOD32. Kwarantanna antywirusowa i wykluczenia.
Kwarantanna- repozytorium, które jest koniecznie obecne w każdym programie antywirusowym, niezależnie od jego producenta i wersji (domowej lub biznesowej). Przechowuje wszystkie podejrzane pliki, które według programu antywirusowego w taki czy inny sposób mogą zaszkodzić systemowi operacyjnemu.
Warto zauważyć, że żaden dokument, nawet jeśli jest to trojan, nie jest natychmiast usuwany. Przede wszystkim neutralizowane jest zagrożenie z niego płynące: plik jest poddawany kwarantannie, a program antywirusowy cierpliwie czeka na odpowiedzialną decyzję użytkownika co do dalszych działań – można albo usunąć zainfekowany dokument, albo oznaczyć go jako wyjątek, co trochę przeanalizujemy później.
Jak znaleźć kwarantannę programu antywirusowego Eset NOD32? Bardzo prosta! Rzućmy okiem na poniższe instrukcje.
1. Uruchomić Eset NOD32 i przejdź do sekcji Praca.
2. Otwórz kartę Dodatkowe fundusze. Znajduje się w prawym dolnym rogu.
3. Mamy pełną listę dodatkowych usług świadczonych przez Eset w ramach jego programu antywirusowego. otwarty Kwarantanna.
4. W menu, które zostanie otwarte, NOD32 daje pełne uprawnienia do zarządzania wszystkimi izolowanymi plikami.
Znaleźliśmy kwarantanna i znalazłem go główne funkcje:
- Wyizoluj plik. Ta opcja umożliwia ręczne znalezienie złośliwego pliku i zablokowanie go, jeśli program antywirusowy nie poradzi sobie samodzielnie.
- Przywrócić. Opcja umożliwiająca przywrócenie przypadkowo zablokowanego pliku.
Proste przywrócenie izolowanego dokumentu nie zawsze pozwala uniknąć dalszych blokad. Czy można to zmienić? Rozważmy.
1. bez wychodzenia z okna Kwarantanna, kliknij prawym przyciskiem myszy plik, który chcesz odblokować.
2. Wybierz opcję Przywróć i wyklucz ze skanowania.
3. Jeśli jesteś pewny swoich działań, kliknij Tak. Jeśli nie wiesz, czy plik jest niebezpieczny, czy nieszkodliwy, zalecamy kliknięcie NIE.
Eset NOD32 usunięte pliki. Jak odzyskać zdrowie?
Antywirus jest jedyną barierą, która powstrzymuje niewiarygodnie dużą liczbę możliwych zagrożeń, które mogą przeniknąć do naszych komputerów przez Internet. To całkiem naturalne, że blokuje absolutnie wszystkie pliki o podobnym mechanizmie działania; takich dokumentów, które w taki czy inny sposób ingerują w procesy systemu lub oprogramowania.
Niestety programy antywirusowe nie są w stanie rozróżnić plików, ponieważ każdy złośliwy plik może łatwo ukryć się jako proces systemu Windows i stopniowo niszczyć komputer od środka.
W związku z tym program stara się w każdy możliwy sposób chronić komputer, blokując wszystko, co jego zdaniem stanowi określone zagrożenie. W większości przypadków zablokowane dokumenty można łatwo przywrócić, po prostu robiąc wyjątek, ale czasami są one całkowicie usuwane, jeśli program antywirusowy uzna plik za krytycznie niebezpieczny.
Odzyskiwanie partycji Starus będzie dobrym pomocnikiem w codziennej pracy z systemem plików. Aplikacja na dłuższą metę uwolni Cię od obaw o dokumenty osobiste i pomoże odzyskać plik dowolnego formatu, niezależnie od tego, w jaki sposób go utraciłeś.
Możesz ocenić wszystkie szanse na „zwrócenie utraconego” przed zarejestrowaniem narzędzia Starus Partition Recovery. Pobierz program do odzyskiwania dokumentów osobistych usuniętych przez program antywirusowy i wypróbuj go za darmo. Wszystkie funkcje są dostępne w wersji próbnej, w tym podgląd odzyskanych plików. Okno podglądu da Ci możliwość upewnienia się, że dany plik nie jest uszkodzony lub nadpisany i że można go w pełni odzyskać.
Mamy nadzieję, że artykuł był dla Ciebie przydatny i pomógł rozwiązać postawione pytania.