Kako izolirati sumljive procese v sistemu Windows, ne da bi poškodovali sam OS? Kako ustvariti zanesljiv in Windows združljiv peskovnik programske opreme brez virtualizacije strojne opreme in funkcij jedra, vendar z uporabo dokumentiranih vgrajenih varnostnih mehanizmov OS? Govorili bomo o najpogostejših težavah, s katerimi se srečujejo razvijalci (in navsezadnje uporabniki) peskovnikov programske opreme. No, seveda bomo ponudili svojo rešitev :).
Uvod ali kako hudo je živeti brez peskovnika
Med strokovnjaki obstaja nekaj aksiomov, o katerih neradi govorijo. Kaj lahko rečemo o aksiomih? So in so. Zdi se, da je vsem jasno, kako sta dva in dva dva. Na primer, eden od njih je, da antivirusi, ki temeljijo na podpisih, ne ščitijo. No, to pomeni, da ne ščitijo in to je vse. O tem je bilo marsikaj povedanega in pripovedovanega že večkrat. S primeri, lepimi predstavitvami, plesi in nastopi. Epidemije najrazličnejših grdih stvari, kot je izsiljevalska programska oprema, so eden od dokazov o neučinkovitosti podpisnih in hevrističnih tehnologij. Vse vrste kriptorjev in obfuskatorjev uspešno rešujejo problem zaščite dolgo znane zlonamerne programske opreme pred odkrivanjem in nekaj časa te zlonamerne programske opreme ne zaznajo protivirusni programi. Ta čas je povsem dovolj, da se nekateri počutijo slabo, drugi pa dobro.
To pomeni, da sploh ne govorimo o 0day: lahko vzamete staro dobro znano bradato zlonamerno programsko opremo, jo preoblikujete, odstranite vedenjske podpise (deluje nekaj dni za leno osebo) in jo uporabite znova, nato znova in spet, dokler se ne naveličaš ali dokler te ne zaprejo. Hkrati se zdi, da ljudje, ki so zdravilo prodajali, da se ta »slaba stvar« nikoli ne bi zgodila, nimajo nič s tem; Z resnimi obrazi objavljajo nekakšno glasilo in govorijo o higieni na internetu, pri tem pa pozabljajo povedati, da če se ta ista higiena popolnoma upošteva, potem protivirusni programi, zlasti plačljivi, praktično niso potrebni.
Peskovniki in značilnosti njihove izvedbe
Antivirusi torej ne rešujejo, ampak včasih zlomijo že obstoječe. “Pristopimo k zaščiti z druge strani in izolirajmo procese drug od drugega,” je rekel nekdo neskončno pameten. Res je super, ko se sumljivi procesi izvajajo v izoliranem okolju, imenovanem peskovnik. Zlonamerna programska oprema, ki se izvaja v peskovniku, ne more zapustiti peskovnika in škodovati celotnemu sistemu. To bi lahko bila rešitev, vendar obstajajo nianse v obstoječih izvedbah peskovnika ...
Nato bomo razpravljali o vseh zapletenostih gradnje peskovnikov, katerih znanje bo zagotovo prišlo prav, ko boste morali izbrati orodje za izolacijo procesov ali HIPS (Host-based Intrusion Prevention System - sistem za preprečevanje vdorov za delovne postaje).
Niansa št. 1 ali en peskovnik za vse
Večina peskovnikov dejansko ne zagotavlja izolacije procesa. V resnici je v večini izvedb sistem, ki ga ščitimo, razdeljen na dva dela – zaupanja vrednega in nezaupanja vrednega. Zaupanja vreden del izvaja običajne procese, medtem ko nezaupanja vreden izvaja izolirane procese. To pomeni, da se vsi izolirani procesi izvajajo v istem peskovniku, imajo dostop drug do drugega in do virov drug drugega, uporabljajo isti register in isti datotečni sistem.
Tako se zlonamerna programska oprema lahko uveljavi v samem peskovniku in se občasno začne z eno od izoliranih aplikacij (ali z več izoliranimi aplikacijami ali s katero koli od njih). Hkrati pa peskovniki pogosto ne beležijo dejanj izoliranih procesov. Akcije, nad katerimi se pritožuje HIPS, potekajo v peskovnikih brez najmanjše reakcije, prilagojene izolaciji, kar ni zelo dobro.
Kako preveriti, ali je izolacija zasnovana tako? Zelo preprosto! Zaženite dve aplikaciji v peskovniku. Na primer notepad.exe in wordpad.exe. Ustvarite besedilno datoteko 1.txt z notepad.exe.
Seveda ta datoteka ne bo shranjena na namizju, ampak v "virtualnem" imeniku. Poskusite ga odpreti z Wordpadom (slika 3).
Torej lahko datoteko, ki jo je ustvarila ena aplikacija v peskovniku, odpre druga aplikacija v peskovniku. Priznajmo si, izolacija ni več dobra. A morda bo vsaj kakšna zaščita pred snemanjem? Spremenimo vsebino (slika 4).
In prihranimo. Zdaj pa poskusimo odpreti datoteko 1.txt z uporabo notepad.exe. Seveda poženimo notepad.exe v peskovniku (slika 5).
In o tem smo govorili. Dve izolirani aplikaciji nista ločeni druga od druge. Izkazalo se je, da takšni izolaciji ni bilo povsem jasno, zakaj. Tudi izsiljevalska programska oprema, ne da bi pridobila dostop do lokalnih map na računalniku, lahko šifrira vse v virtualiziranem imeniku, in če imate srečo, tudi na omrežnih virih, saj so nastavitve peskovnika enake za vse izolirane aplikacije.
Niansa št. 2 ali podizolacija
Da, izolirani procesi ne morejo doseči zaupanja vrednega dela sistema ... vendar je v večini izvedb samo za pisanje. To pomeni, da lahko berejo od koder koli tako rekoč brez omejitev in imajo pogosto dostop do omrežja. To je bilo očitno storjeno zaradi večje združljivosti, vendar temu ne moremo reči izolacija.
Preizkusite preprost poskus s peskovnikom po vaši izbiri. Ustvarite imenik na trdem disku. Recimo to: E:\Fotografije. Vanj postavite na primer fotografijo (slika 6).
Zaženite Internet Explorer v peskovniku in poskusite to sliko poslati na primer rghost.
Kako je torej? Se je zgodilo? Če je bil poskus uspešen, potem to ni zelo dobro. Še huje je, če peskovnik nima možnosti določanja imenikov, do katerih izolirane aplikacije ne bodo imele dostopa. In sploh ni dobro, če lahko izolirane aplikacije berejo podatke iz imenikov trenutnega uporabnika.
Virtualizacija datotečnega sistema in registra v večini izvedb temelji na principu »kopiraj na zahtevo«. Se pravi, če je treba datoteko samo prebrati, se prebere iz izvornega imenika, če v navideznem imeniku ni analoga. Če je ista datoteka prisotna v virtualnem imeniku, bo izolirana aplikacija delovala z njo. Enako lahko rečemo za virtualni register. No, jasno je, da ko poskušate datoteko zapisati na pravo pot, bo zapisana v navidezni datotečni sistem. Skoraj vedno.
Torej, če je zlonamerna programska oprema "izolirana" v takšnem peskovniku, potem bo lahko imela popoln dostop do vseh drugih "izoliranih" procesov, skoraj vseh berljivih podatkov v sistemu in virtualiziranih (shranjenih v izoliranih aplikacijah) podatkov (ki je pogosto skupno vsem izoliranim aplikacijam).aplikacije) za snemanje.
Niansa št. 3 ali "naredimo še eno kolo, tako zanimivo"
Nadaljevanje je na voljo samo članom
Možnost 1. Pridružite se skupnosti »site«, da preberete vsa gradiva na spletnem mestu
Članstvo v skupnosti v določenem obdobju vam bo omogočilo dostop do VSEH hekerskih gradiv, povečalo vaš osebni kumulativni popust in vam omogočilo, da si naberete profesionalno oceno Xakep Score!
Zato poskušam zakleniti izolirano datoteko za shranjevanje v svoji odjemalski aplikaciji, tako da več primerkov moje aplikacije ne more dostopati do nje hkrati. Uporabljam naslednjo sintakso:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ta koda povzroči, da moja aplikacija vrže izjemo NullReferenceException iz metode FileStream.Lock strukture. Za dolžino sem poskusil uporabiti neničelno vrednost. Poskušal sem zapisati bajt v datoteko in nato samo blokiral ta bajt. Ne glede na to, kaj počnem, me preganja ista NullReferenceException. Ali kdo ve, če je to mogoče z izoliranim skladiščenjem?
Prav tako se učim te tehnike v aplikaciji Silverlight, ali Silverlight podpira zaklepanje datotek? Zdi se, da dokumenti MSDN kažejo, da temu ni tako, vendar sem videl to objavo MVP, ki pravi, da je tako.
Posodobitev: Microsoft je popravil napako, ki sem jo poslal v Connect, vendar ni bila izdana v različici 4 ogrodja. Upajmo, da bi moral biti na voljo v naslednji SP ali polni izdaji.
42 odgovora
To je videti kot napaka v ogrodju. Mogoče se motim, ker je to res preveliko, da bi bilo res.
Če pogledate izvorno kodo .NET 3.5 SP1 z Reflectorjem, lahko ugotovite, da IsolStorageFileStream pokliče brezdimenzijski osnovni konstruktor (FileStream()), kar ima za posledico neresnično inicializiran osnovni razred. IsolatedStorageFileStream ustvari primerek FileStream in ga uporablja v vseh metodah, ki jih preglasi (Write, Read, Flush, Seek itd.). Nenavadno je, da svojega osnovnega razreda ne uporablja neposredno.
Toda zaklepanje in odklepanje nista preglasena in zahtevata zasebno polje (_handle), ki je še vedno nič (ker je uporabljeni konstruktor brez parametrov). Predvidevajo, da ni ničelno, in ga predvajajo ter sprožijo NRE.
Če povzamem, zaklepanje in odklepanje ni podprto (ali ne deluje).
Mislim, da ste prisiljeni uporabljati druge metode zaklepanja, kot sta Mutex ali Semaphore.
4
Zato poskušam zakleniti izolirano datoteko za shranjevanje v moji odjemalski aplikaciji C#, tako da več primerkov moje aplikacije ne more dostopati do nje hkrati. Uporabljam naslednjo sintakso:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ta koda povzroči, da moja aplikacija vrže izjemo NullReferenceException znotraj metode FileStream.Lock ogrodja. Za dolžino sem poskusil uporabiti neničelno vrednost. Poskušal sem zapisati bajt v datoteko in nato samo blokiral ta bajt. Ne glede na to, kaj počnem, me preganja ista NullReferenceException. Ali kdo ve, če je to mogoče z izoliranim skladiščenjem?
Prav tako se učim te tehnike v aplikaciji Silverlight, ali Silverlight podpira zaklepanje datotek? Zdi se, da dokumenti MSDN kažejo, da temu ni tako, vendar sem videl to objavo pri C# MVP, ki pravi, da je.
Posodobitev: Microsoft je popravil napako, ki sem jo poslal v Connect, vendar ni bila izdana v različici 4 ogrodja. Upajmo, da bi moral biti na voljo v naslednji SP ali polni izdaji.
0
To napako sem lahko zaobšel tako, da sem z refleksijo poklical metodo zaklepanja v polju IsolatedStorageFileStream zasebnega "m_fs", takole: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) kot FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 5. marec 10 2010-03-05 15:57:55
2 odgovora
Razvrščanje:
dejavnost
4
To je videti kot napaka v ogrodju. Mogoče se motim, ker je to res preveliko, da bi bilo res.
Če pogledate izvorno kodo .NET 3.5 SP1 z reflektorjem, ugotovite, da IsolStorageFileStream pokliče brezdimenzijski osnovni konstruktor (FileStream()), kar ima za posledico neinicializiran osnovni razred. IsolatedStorageFileStream ustvari primerek FileStream in ga uporablja v vseh metodah, ki jih preglasi (Write, Read, Flush, Seek itd.). Nenavadno je, da svojega osnovnega razreda ne uporablja neposredno.
Toda zaklepanje in odklepanje nista preglasena in potrebujeta zasebno polje (_handle), ki je še vedno nič (ker je uporabljeni konstruktor brez parametrov). Predvidevajo, da ni ničelno, in ga predvajajo ter sprožijo NRE.
Če povzamem, zaklepanje in odklepanje ni podprto (ali ne deluje).
“Kako obnoviti datoteke, ki jih je izbrisal protivirusni program Eset NOD32” je zahteva, ki jo lahko pogosto zasledimo na spletu. Vendar pa ni veliko možnih rešitev za to težavo, kar pogosto ustvarja občutek, da izgubljene dokumente ni mogoče vrniti.
Najprej morate razumeti, da protivirusni program nikoli ne bo blokiral ali izbrisal datoteke, ki na tak ali drugačen način ne vpliva na delovanje operacijskega sistema ali drugih nameščenih programov.
V skladu s tem, če je bil vaš dokument izbrisan, lahko varno sumite, da je bil zlonameren. Vendar pa obstajajo tudi datoteke, ki preprosto spremenijo program, posegajo v njegove procese, vendar ne predstavljajo grožnje.
Ali obstajajo načini za obnovitev datoteke, ki jo je izbrisal protivirusni program? Vsekakor obstaja! V tem članku bomo preučili, kaj je aplikacija Eset NOD32, značilnosti dela z njo in učinkovit način za obnovitev datotek, ki jih je izbrisal protivirusni program.
Kaj je Eset NOD32?
Nikomur v sodobnem svetu ni skrivnost, kako pomembne in, kar je najpomembneje, kako pomembne so protivirusne aplikacije. Omogočajo vam ne le odstranitev velike večine zlonamernih datotek, ampak tudi pomagajo preprečiti morebitno grožnjo, še preden se pokaže in tako ali drugače škoduje sistemu.
Antivirus Eset NOD32, ki se najpogosteje imenuje preprosto NOD32, je celoten protivirusni programski paket, ki ga je leta 1987 ustvarilo slovaško podjetje Eset.
Obstajata dve različici programa:
- Domača različica.
- Poslovna različica.
Glavna razlika med poslovno različico in domačo različico je možnost daljinskega upravljanja in prisotnost zaščite med platformami. Nič manj prijetna ni funkcija, ki vam omogoča enostavno in prilagodljivo prilagajanje programa vsem potrebam.
Eset NOD32. Kako omogočiti ali onemogočiti antivirus?
Pogosto se zgodi, da moramo pri namestitvi določenega programa onemogočiti protivirusni program, saj bo v nasprotnem primeru »pojedel« pomembno datoteko, brez katere se aplikacija preprosto ne more zagnati.
Drug pogost razlog za iskanje odgovorov na vprašanje o omogočanju / onemogočanju protivirusnega programa je cilj zmanjšanja porabe virov »branilca«. To je posledica posebnosti delovanja protivirusnih programov - običajno zavzamejo precej veliko količino pomnilnika, tudi ko so v pasivnem stanju, pri izvajanju drugih "težkih" programov pa je včasih treba začasno ustaviti zaščito.
Kako torej opravite nalogo omogočanja ali onemogočanja NOD32? Oglejmo si to težavo v spodnjih navodilih.
1. Zaženite aplikacijo Eset NOD32 in pojdi na nastavitve.
2. V oknu, ki se odpre, boste našli vse nameščene servisne pakete NOD32. Obiščite vsakega in omogočite/onemogočite možnosti glede na vaše potrebe.
Eset NOD32. Protivirusna karantena in izjeme.
Karantena- repozitorij, ki je nujno prisoten v katerem koli protivirusnem programu, ne glede na njegovega proizvajalca in različico (domačo ali poslovno). V njem so shranjene vse sumljive datoteke, ki lahko po mnenju antivirusa tako ali drugače škodujejo vašemu operacijskemu sistemu.
Omeniti velja dejstvo, da se noben dokument, tudi če je trojanski, ne izbriše takoj. Najprej je nevtralizirana grožnja, ki jo predstavlja: datoteka se postavi v karanteno in antivirus potrpežljivo čaka, da se uporabnik odgovorno odloči o nadaljnjih dejanjih – okuženi dokument lahko izbrišete ali označite kot izjemo, kar bomo razpravljali malo kasneje.
Kako najti protivirusno karanteno Eset NOD32? Zelo preprosto! Oglejmo si spodnja navodila.
1. Teči Eset NOD32 in pojdite na razdelek Storitev.
2. Odprite zavihek Dodatna sredstva. Nahaja se v spodnjem desnem kotu.
3. Zdaj imamo popoln seznam dodatnih storitev, ki jih ponuja Eset kot del svojega protivirusnega programa. Odprto Karantena.
4. V meniju, ki se odpre, vam NOD32 daje polne pravice za upravljanje vseh izoliranih datotek.
Smo ugotovili karantena in ga našel glavne funkcije:
- Izoliraj datoteko. Ta možnost vam omogoča, da ročno poiščete zlonamerno datoteko in jo blokirate, če protivirusni program ne zmore sam.
- Obnovi. Možnost, ki vam omogoča obnovitev pomotoma zaklenjene datoteke.
Preprosta obnovitev izoliranega dokumenta se ne izogne vedno nadaljnji blokadi. Ali je to mogoče spremeniti? Razmislimo.
1. Ne da bi zapustil okno Karantena, z desno tipko miške kliknite datoteko, ki jo želite odkleniti.
2. Izberite možnost Obnovi in izključi iz skeniranja.
3. Če ste prepričani v svoja dejanja, kliknite ja. Če ne veste, ali je datoteka nevarna ali neškodljiva, priporočamo klik št.
Izbrisane datoteke Eset NOD32. Kako okrevati?
Antivirus- to je edina ovira, ki zadržuje neverjetno veliko število možnih groženj, ki lahko prodrejo v naše računalnike prek interneta. Povsem naravno je, da blokira absolutno vse datoteke s podobnim mehanizmom delovanja; takšni dokumenti, ki tako ali drugače posegajo v sistemske ali programske procese.
Na žalost protivirusni programi ne morejo razlikovati datotek, saj se lahko katera koli zlonamerna datoteka zlahka prikrije kot proces Windows in postopoma uniči računalnik od znotraj.
Posledično program na vse možne načine poskuša zaščititi računalnik in blokira vse, kar po njegovem mnenju predstavlja določeno grožnjo. V večini primerov je mogoče blokirane dokumente enostavno obnoviti preprosto z izjemo, vendar so občasno popolnoma izbrisani, če protivirusni program meni, da je datoteka kritično nevarna.
Obnovitev particije Starus bo dober pomočnik pri vsakodnevnem delu z datotečnim sistemom. Aplikacija vas bo dolgoročno razbremenila skrbi glede vaših osebnih dokumentov in vam bo pomagala obnoviti datoteko katere koli oblike, ne glede na to, kako ste jo izgubili.
Preden registrirate orodje Starus Partition Recovery, lahko ocenite vse možnosti za "obnovitev izgubljenega". Prenesite program za obnovitev osebnih dokumentov, ki jih je izbrisal protivirusni program, in ga preizkusite popolnoma brezplačno. Vse funkcije so na voljo v preizkusni različici, vključno s predogledom obnovljenih datotek. Okno za predogled vam bo omogočilo, da se prepričate, da določena datoteka ni poškodovana ali prepisana in jo je mogoče v celoti obnoviti.
Upamo, da vam je bil članek koristen in vam je pomagal rešiti vaša vprašanja.