Windows'ta şüpheli işlemler nasıl izole edilir ve işletim sisteminin kendisi bozulmaz? Donanım sanallaştırması ve çekirdek kancaları olmadan, ancak işletim sisteminin belgelenmiş yerleşik güvenlik mekanizmalarını kullanan sağlam ve Windows uyumlu bir yazılım sanal alanı nasıl oluşturulur? Yazılım sanal alanlarının geliştiricilerinin (ve nihayetinde tüketicilerinin) karşılaştığı en yaygın sorunlardan bahsedeceğiz. Ve tabii ki kendi çözümümüzü sunacağız :).
Giriş veya sanal alan olmadan yaşamanın ne kadar kötü olduğu
Profesyoneller arasında hakkında konuşmaktan hoşlanmadıkları birkaç aksiyom vardır. Peki ya aksiyomlar? Onlar ve öyleler. Herkese açık görünüyor, iki ve iki gibi. Örneğin, bunlardan biri - imza tabanlı antivirüsler korumaz. Yani, korumuyorlar ve bu kadar. Bu konuda birçok kez birçok şey söylendi ve yeniden anlatıldı. Örnekler, güzel sunumlar, danslar ve danslarla. Fidye yazılımı gibi her türlü kötü şey salgınları, imza ve buluşsal teknolojilerin verimsizliğinin kanıtlarından biridir. Her türlü şifreleyici ve karartıcı, zaten bilinen kötü amaçlı yazılımları tespitten koruma sorununu başarıyla çözer ve bir süredir bu kötü amaçlı yazılım antivirüsler tarafından algılanmamıştır. Bu sefer birinin kendini kötü hissetmesi ve birinin iyi hissetmesi için yeterli.
Yani, yaklaşık 0 gün bile değil: eski iyi bilinen sakallı kötü amaçlı yazılımı alabilir, değiştirebilir, davranışsal imzaları kaldırabilir (tembel bir kişi için birkaç gün çalışın) ve tekrar kullanabilirsiniz, sonra tekrar ve tekrar, sıkılana kadar ya da seni hapse atana kadar. Aynı zamanda, bu en “kötü” şey asla gelmesin diye tedaviyi satan insanların bununla hiçbir ilgisi yok gibi görünüyor; ciddi yüzlerle bir tür bülten yayınlıyorlar ve internette hijyen hakkında konuşuyorlar, bu hijyene tamamen uyulursa antivirüslere, özellikle ücretli olanlara pratikte ihtiyaç olmadığını söylemeyi unutuyorlar.
Korumalı alanlar ve uygulamalarının özellikleri
Bu nedenle, antivirüsler kaydetmez ve bazen zaten orada olanı bozar. Son derece zeki biri, "Korumaya diğer taraftan yaklaşalım ve süreçleri birbirinden ayıralım," dedi. Gerçekten de, şüpheli süreçlerin korumalı alan adı verilen izole bir ortamda çalışması harikadır. Sandbox içerisinde çalışan kötü amaçlı yazılımlar sınırlarının dışına çıkamazlar ve tüm sisteme zarar verirler. Bu bir çözüm olabilir, ancak mevcut sanal alan uygulamalarında nüanslar var...
Daha sonra, bir süreç izolasyon aracı veya HIPS (Ana Bilgisayar Tabanlı İzinsiz Giriş Önleme Sistemi - iş istasyonları için izinsiz giriş önleme sistemi) seçmeniz gerektiğinde bilgisi kesinlikle kullanışlı olacak olan sanal alanlar oluşturmanın tüm inceliklerini tartışacağız.
1 numaralı nüans veya hepsi için bir sanal alan
Çoğu korumalı alan aslında süreç yalıtımı sağlamaz. Gerçekte, çoğu uygulamada, korunan sistem iki kısma ayrılır - güvenilen ve güvenilmeyen. Güvenilen kısımda normal işlemler, güvenilmeyen kısımda izole edilmiş işlemler çalışır. Yani, tüm yalıtılmış işlemler aynı sanal alanda çalışır, birbirlerine ve birbirlerinin kaynaklarına erişime sahiptir, aynı kayıt defterini ve aynı dosya sistemini kullanır.
Böylece, kötü amaçlı yazılım, korumalı alanın kendisinde bir yer edinebilir ve izole edilmiş uygulamalardan biriyle (veya birkaç izole edilmiş uygulamayla veya bunlardan herhangi biriyle) epizodik olarak başlayabilir. Aynı zamanda, sanal alanlar genellikle yalıtılmış işlemlerin eylemlerini günlüğe kaydetmez. HIPS'in kum havuzlarında yemin ettiği eylemler, en ufak bir tepki olmadan oldukça fena, izolasyon için ayarlanmış ki bu pek iyi değil.
İzolasyonun bu şekilde düzenlenip düzenlenmediği nasıl kontrol edilir? Çok basit! Bir sanal alanda iki uygulama çalıştırın. Örneğin notepad.exe ve wordpad.exe. notepad.exe ile bir metin dosyası 1.txt oluşturun.
Elbette bu dosya masaüstüne değil, "sanal" bir dizine kaydedilecektir. Wordpad ile açmayı deneyin (Şek. 3).
Böylece, bir sanal alan uygulaması tarafından oluşturulan bir dosya, başka bir sanal alan uygulaması kullanılarak açılabilir. Kabul edelim, izolasyon pek iyi değil. Ama belki en azından kayıttan bir tür koruma olacaktır? İçeriği değiştiriyoruz (Şek. 4).
Ve kurtarıyoruz. Şimdi notepad.exe kullanarak 1.txt dosyasını açmaya çalışalım. Tabii ki, notepad.exe'yi sanal alanda çalıştıralım (Şekil 5).
Ve işte konuştuklarımız. İki izole uygulama birbirinden izole değildir. Böyle bir izolasyonun neden yapıldığı tam olarak netleşmediği ortaya çıktı. Bilgisayardaki yerel klasörlere erişimi olmayan bir fidye yazılımı bile sanallaştırılmış dizindeki ve şanslıysanız ağ kaynaklarındaki her şeyi şifreleyebilir, çünkü sanal alan ayarları tüm yalıtılmış uygulamalar için aynıdır.
2 numaralı nüans veya yetersiz izolasyon
Evet, korumalı alan işlemleri sistemin güvenilir kısmına ulaşamaz... ancak çoğu uygulamada salt yazılır. Yani, neredeyse hiçbir kısıtlama olmadan her yerden okuyabilirler ve genellikle ağa erişimleri vardır. Görünüşe göre bu, daha fazla uyumluluk için yapılıyor, ancak buna izolasyon denemez.
Seçtiğiniz basit bir sanal alan deneyini deneyin. Sabit sürücünüzde bir dizin oluşturun. Şunu söyleyelim: E:\Photos . İçine örneğin bir fotoğraf koyun (Şek. 6).
Internet Explorer'ı bir sanal alanda çalıştırın ve verilen görüntüyü örneğin rghost'a göndermeye çalışın.
Peki nasıl? Olmuş? Deneyim başarılıysa, o zaman çok iyi değildir. Daha da kötüsü, korumalı alan, korumalı alandaki uygulamaların erişemeyeceği dizinleri belirleme yeteneğine sahip değilse. Yalıtılmış uygulamaların mevcut kullanıcının dizinlerinden veri okuyabilmesi hiç de iyi değil.
Çoğu uygulamada dosya sisteminin ve kayıt defterinin sanallaştırılması, "talep üzerine kopyala" ilkesi üzerine kuruludur. Yani, dosyanın basitçe okunması gerekiyorsa, sanal dizinde analog yoksa kaynak dizinden okunur. Aynı dosya sanal dizinde varsa, izole edilen uygulama onunla çalışacaktır. Aynı şey sanal kayıt defteri için de söylenebilir. Gerçek bir yol boyunca bir dosya yazmaya çalıştığınızda, bunun sanal dosya sistemine yazılacağı açıktır. Neredeyse her zaman.
Bu nedenle, kötü amaçlı yazılım böyle bir sanal alanda "izole edilmiş" ise, diğer tüm "izole edilmiş" işlemlere, sistemdeki neredeyse tüm verilere okuma ve sanallaştırma (izole uygulamalar tarafından depolanan) için tam erişime sahip olacaktır. kayıt için veri (genellikle tüm yalıtılmış uygulamalarda ortaktır).
3 numaralı nüans veya "başka bir bisiklet yapalım, çok ilginç"
Yalnızca üyelere açık olmaya devam ediyor
Seçenek 1. Sitedeki tüm materyalleri okumak için "site" topluluğuna katılın
Belirtilen süre boyunca topluluğa üyelik, TÜM Hacker malzemelerine erişmenizi, kişisel kümülatif indiriminizi artırmanızı ve profesyonel bir Xakep Puanı puanı kazanmanızı sağlar!
Bu nedenle, istemci uygulamamdaki yalıtılmış bir depolama dosyasını kilitlemeye çalışıyorum, böylece uygulamamın birden çok örneği ona aynı anda erişemez. Aşağıdaki sözdizimini kullanıyorum:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Bu kod, uygulamamın yapının FileStream.Lock yönteminden bir NullReferenceException oluşturmasına neden oluyor. Uzunluk için sıfır olmayan bir değer kullanmayı denedim. Bir dosyaya bir bayt yazmaya çalıştım ve sonra yalnızca o baytı kilitledim. Ne yaparsam yapayım, aynı NullReferenceException beni rahatsız ediyor. Yalıtılmış depolama ile bunun mümkün olup olmadığını bilen var mı?
Ayrıca bir Silverlight uygulamasında bu tekniği inceliyorum, Silverlight dosya kilitlemeyi destekliyor mu? MSDN belgeleri öyle olmadığını gösteriyor gibi görünüyor, ancak MVP'den öyle olduğunu söyleyen bu gönderiyi gördüm.
Güncelleme: Microsoft, Connect'e gönderdiğim bir hatayı düzeltti, ancak çerçevenin 4. sürümünde yayınlanmadı. Umarım bir sonraki SP'de veya tam sürümde mevcut olacaktır.
42 yanıt
Bu, Framework'teki bir hataya benziyor. Belki de yanılıyorum, çünkü gerçek olamayacak kadar büyük.
Reflector ile .NET 3.5 SP1 kaynak koduna baktığınızda, IsolStorageFileStream'in boyutsuz temel oluşturucuyu (FileStream()) çağırdığını ve bunun da geçersiz olarak başlatılmış bir temel sınıfla sonuçlandığını görebilirsiniz. İzoleStorageFileStream, bir FileStream başlatır ve onu geçersiz kıldığı tüm yöntemlerde kullanır (Yaz, Oku, Temizle, Ara, vb.). Temel sınıfını doğrudan kullanmaması garip.
Ancak kilitleme ve kilit açma geçersiz kılınmaz ve hala boş olan özel bir alan (_handle) gerektirir (çünkü kullanılan kurucu parametresizdir). Boş olmadığını varsayarlar ve oynarlar ve NRE'yi ararlar.
Özetlemek gerekirse, kilitleme ve kilit açma desteklenmez (veya çalışmaz).
Mutex veya Semaphore gibi diğer engelleme yöntemlerini kullanmak zorunda olduğunuzu düşünüyorum.
4
Bu nedenle, C# istemci uygulamamdaki yalıtılmış bir depolama dosyasını kilitlemeye çalışıyorum, böylece uygulamamın birden çok örneği ona aynı anda erişemez. Aşağıdaki sözdizimini kullanıyorum:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Bu kod, uygulamamın çerçevenin FileStream.Lock yöntemi içinde bir NullReferenceException oluşturmasına neden olur. Uzunluk için sıfır olmayan bir değer kullanmayı denedim. Bir dosyaya bir bayt yazmaya çalıştım ve sonra yalnızca o baytı kilitledim. Ne yaparsam yapayım, aynı NullReferenceException beni rahatsız ediyor. Yalıtılmış depolama ile bunun mümkün olup olmadığını bilen var mı?
Ayrıca bir Silverlight uygulamasında bu tekniği inceliyorum, Silverlight dosya kilitlemeyi destekliyor mu? MSDN belgeleri öyle olmadığını gösteriyor gibi görünüyor, ancak bu yazıyı C# MVP'den öyle olduğunu söyleyen gördüm.
Güncelleme: Microsoft, Connect'te gönderdiğim bir hatayı düzeltti, ancak çerçevenin 4. sürümünde yayınlanmadı. Umarım bir sonraki SP'de veya tam sürümde mevcut olacaktır.
0
Özel "m_fs"nin İzoleStorageFileStream alanındaki kilit yöntemini şu şekilde çağırmak için yansımayı kullanarak bu hatayı çözebildim: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) FileStream olarak; m_fs.Lock(0, uzun.MaxValue); - kuşatma 05 Mart 10 2010-03-05 15:57:55
2 cevap
Sıralama:
Aktivite
4
Bu, Framework'teki bir hataya benziyor. Belki de yanılıyorum, çünkü gerçek olamayacak kadar büyük.
Bir yansıtıcıyla .NET 3.5 SP1 kaynak koduna baktığınızda, IsolStorageFileStream'in boyutsuz temel oluşturucuyu (FileStream()) çağırdığını ve bunun da başlatılmamış bir temel sınıfla sonuçlandığını görürsünüz. İzoleStorageFileStream, bir FileStream başlatır ve onu geçersiz kıldığı tüm yöntemlerde kullanır (Yaz, Oku, Temizle, Ara, vb.). Temel sınıfını doğrudan kullanmaması garip.
Ancak kilitleme ve kilit açma geçersiz kılınmaz ve hala boş olan özel bir alana (_handle) ihtiyaç duyarlar (çünkü kullanılan yapıcı parametresizdir). Boş olmadığını varsayarlar ve oynarlar ve NRE'yi ararlar.
Özetlemek gerekirse, kilitleme ve kilit açma desteklenmez (veya çalışmaz).
“Eset NOD32 antivirüs tarafından silinen dosyalarımı nasıl kurtarırım” İnternette sıklıkla görülebilen bir taleptir. Bununla birlikte, bu sorunun pek çok olası çözümü yoktur ve bu da genellikle kayıp belgeleri iade etmenin hiçbir yolu olmadığı hissine neden olur.
Her şeyden önce, antivirüsün işletim sisteminin veya diğer yüklü programların çalışmasını bir şekilde etkilemeyen bir dosyayı asla engellemeyeceğini veya silmeyeceğini anlamanız gerekir.
Buna göre, belgeniz silinmişse, kötü niyetli olduğundan güvenle şüphelenebilirsiniz. Bununla birlikte, programı basitçe değiştiren, işlemlerine müdahale eden, ancak kendi başına bir tehdit oluşturmayan dosyalar da vardır.
Antivirüs tarafından silinen bir dosyayı kurtarmanın herhangi bir yolu var mı? Kesinlikle var! Bu yazıda Eset NOD32 uygulamasının ne olduğuna, onunla çalışmanın özelliklerine ve antivirüs tarafından silinen dosyaları kurtarmanın etkili bir yoluna bakacağız.
Eset NOD32 nedir?
Modern dünyada anti-virüs uygulamalarının ne kadar önemli ve en önemlisi ilgili olduğu kimse için bir sır değil. Yalnızca kötü amaçlı dosyaların büyük çoğunluğunu ortadan kaldırmaya izin vermekle kalmaz, aynı zamanda olası bir tehdidi daha ortaya çıkmadan önlemeye yardımcı olur ve sisteme bir şekilde zarar verir.
antivirüs Eset NOD32, en yaygın olarak basitçe NOD32 olarak anılır, 1987'de Slovak şirketi Eset tarafından oluşturulan eksiksiz bir antivirüs yazılımı paketidir.
Programın iki sürümü vardır:
- ev versiyonu.
- İş sürümü.
İşletme sürümü ile ev sürümü arasındaki temel fark, uzaktan yönetim olasılığı ve platformlar arası korumanın kullanılabilirliğidir. Programı herhangi bir ihtiyaç için kolayca ve esnek bir şekilde özelleştirmenize izin veren özellik daha az hoş değil.
Eset NOD32. Antivirüs nasıl etkinleştirilir veya devre dışı bırakılır?
Genellikle, belirli bir programı kurarken, antivirüs programını devre dışı bırakmamız gerekir, çünkü aksi takdirde, uygulamanın onsuz başlayamayacağı önemli bir dosyayı "yer".
Antivirüsün etkinleştirilmesi / devre dışı bırakılması sorusuna yanıt aramanın bir başka yaygın nedeni, "savunucunun" kaynak tüketimini azaltma hedefidir. Antivirüslerin çalışmasının özelliğinin etkilediği yer burasıdır - genellikle pasif durumdayken bile oldukça büyük miktarda bellek kaplarlar ve diğer "ağır" programları başlattığınızda, bazen korumayı duraklatmanız gerekir.
Peki, NOD32'yi etkinleştirme veya devre dışı bırakma görevini nasıl tamamlarsınız? Aşağıdaki talimatlarda bu konuya bakalım.
1. Uygulamayı başlat Eset NOD32 Ve git Ayarlar.
2. Açılan pencerede kurulu tüm NOD32 servis paketlerini bulacaksınız. Her birini ziyaret edin ve ihtiyaçlarınıza göre seçenekleri etkinleştirin/devre dışı bırakın.
Eset NOD32. Antivirüs karantinası ve istisnalar.
Karantina- üreticisine ve sürümüne (ev veya iş yeri) bakılmaksızın herhangi bir antivirüste mutlaka bulunan bir depo. Antivirüse göre bir şekilde işletim sisteminize zarar verebilecek tüm şüpheli dosyaları depolar.
Trojan bile olsa hiçbir belgenin anında silinmediğini belirtmekte fayda var. Her şeyden önce, ondan yayılan tehdit etkisiz hale getirilir: dosya karantinaya alınır ve antivirüs, kullanıcının sonraki eylemlerle ilgili sorumlu kararını sabırla bekler - virüslü belgeyi silebilir veya biraz analiz edeceğimiz bir istisna olarak işaretleyebilirsiniz. Daha sonra.
Eset NOD32 antivirus karantinası nasıl bulunur? Çok basit! Aşağıdaki talimatlara bir göz atalım.
1. Koşmak Eset NOD32 ve bölüme git Hizmet.
2. sekme aç Ek fonlar. Sağ alt köşede bulunur.
3. Eset tarafından antivirüsünün bir parçası olarak sağlanan ek hizmetlerin tam bir listesine sahibiz. Açık Karantina.
4. Açılan menüde, NOD32 size izole edilmiş tüm dosyaları yönetmeniz için tam haklar verir.
Bulduk karantina ve onu buldum ana fonksiyonlar:
- Dosyayı izole et. Bu seçenek, kötü amaçlı bir dosyayı manuel olarak bulmanızı ve antivirüs kendi başına başa çıkamıyorsa onu engellemenizi sağlar.
- Eski haline getirmek. Yanlışlıkla kilitlenmiş bir dosyayı geri yüklemenizi sağlayan bir seçenek.
Yalıtılmış bir belgeyi basitçe geri yüklemek her zaman daha fazla kilitlenmeyi önlemez. Bu değiştirilebilir mi? Hadi düşünelim.
1. pencereden çıkmadan Karantina, kilidini açmak istediğiniz dosyaya sağ tıklayın.
2. Bir seçenek seçin Geri yükle ve taramadan hariç tut.
3. Eylemlerinize güveniyorsanız, tıklayın Evet. Dosyanın tehlikeli veya zararsız olup olmadığını bilmiyorsanız, tıklamanızı öneririz. HAYIR.
Eset NOD32 dosyaları sildi. Nasıl iyileşirim?
antivirüsİnternet üzerinden bilgisayarlarımıza sızabilecek inanılmaz sayıda olası tehdidi engelleyen tek engeldir. Benzer bir çalışma mekanizmasına sahip tüm dosyaları kesinlikle engellemesi oldukça doğaldır; bir şekilde sistem veya yazılım süreçlerine müdahale eden bu tür belgeler.
Ne yazık ki, antivirüsler dosyaları ayırt edemez, çünkü herhangi bir kötü amaçlı dosya kendini kolayca bir Windows işlemi olarak gizleyebilir ve bilgisayarı içeriden yavaş yavaş yok edebilir.
Sonuç olarak, program PC'yi korumak için mümkün olan her yolu dener ve kendisine göre belirli bir tehdit oluşturan her şeyi engeller. Çoğu durumda, engellenen belgeler, yalnızca bir istisna yapılarak kolayca geri yüklenebilir, ancak antivirüs dosyayı kritik derecede tehlikeli bulursa, bazen tamamen silinirler.
Starus Bölüm Kurtarma dosya sistemi ile günlük çalışmalarda iyi bir yardımcı olacaktır. Uygulama sizi uzun vadede kişisel belgelerle ilgili tüm endişelerinizden kurtaracak ve nasıl kaybetmiş olursanız olun herhangi bir formattaki dosyayı kurtarmanıza yardımcı olacaktır.
Starus Partition Recovery aracına kaydolmadan önce tüm "kayıpları geri getirme" şanslarını değerlendirebilirsiniz. Antivirüs tarafından silinen kişisel belgeleri kurtarmak için programı indirin ve ücretsiz olarak deneyin. Kurtarılan dosyaların önizlemesi de dahil olmak üzere tüm özellikler deneme sürümünde mevcuttur. Önizleme penceresi, belirli bir dosyanın zarar görmediğinden veya üzerine yazılmadığından ve tamamen kurtarılabilir olduğundan emin olmanızı sağlar.
Makalenin sizin için yararlı olduğunu ve sorulan soruları çözmenize yardımcı olduğunu umuyoruz.