Windows-da shubhali jarayonlarni qanday ajratish va OTning o'zini buzmaslik kerak? Uskuna virtualizatsiyasi va yadro ilgaklarisiz, lekin OTning hujjatlashtirilgan o'rnatilgan xavfsizlik mexanizmlaridan foydalangan holda mustahkam va Windows-mos keluvchi dasturiy ta'minotni qanday yaratish mumkin? Biz dasturiy ta'minotni sinovdan o'tkazuvchilar (va oxir-oqibat iste'molchilar) duch keladigan eng keng tarqalgan muammolar haqida gaplashamiz. Va, albatta, biz o'z yechimimizni taklif qilamiz :).
Kirish, yoki qum qutisiz yashash qanchalik yomon
Professionallar orasida ular haqida gapirishni yoqtirmaydigan bir nechta aksiomalar mavjud. Aksiomalar haqida nima deyish mumkin? Ular bor va bor. Hammaga tushunarli ko'rinadi, ikki va ikkita kabi. Misol uchun, ulardan biri - imzoga asoslangan antiviruslar himoya qilmaydi. Xo'sh, ya'ni ular himoya qilmaydi, va bu. Bu haqda ko'p marta aytilgan va ko'p marta aytilgan. Misollar, chiroyli taqdimotlar, raqslar va raqslar bilan. Ransomware kabi har xil jirkanch narsalarning epidemiyalari imzo va evristik texnologiyalar samarasizligining isbotlaridan biridir. Barcha turdagi kriptotorlar va obfuskatorlar allaqachon ma'lum bo'lgan zararli dasturlarni aniqlashdan himoya qilish muammosini muvaffaqiyatli hal qilishadi va bir muncha vaqt davomida bu zararli dastur antiviruslar tomonidan aniqlanmadi. Bu vaqt kimdir o'zini yomon, kimdir yaxshi his qilishi uchun etarli.
Ya'ni, bu hatto 0 kun ham emas: siz eski taniqli soqolli zararli dasturni olishingiz, uni o'zgartirishingiz, xatti-harakatlar imzolarini olib tashlashingiz mumkin (dangasa odam uchun bir necha kun ishlaydi) va uni yana ishlatishingiz mumkin, keyin yana va yana, zerikmaguningizcha yoki sizni qamoqqa tashlaguncha. Shu bilan birga, bu eng "yomon" narsa hech qachon kelmasligi uchun davoni sotgan odamlarning bunga hech qanday aloqasi yo'qdek; ular jiddiy yuzlar bilan qandaydir byulletenlarni nashr etishadi va Internetda gigiena haqida gapirishadi, agar bu gigiena to'liq kuzatilsa, antiviruslar, ayniqsa pulliklari deyarli kerak emasligini aytishni unutishadi.
Sandboxlar va ularni amalga oshirish xususiyatlari
Shunday qilib, antiviruslar saqlamaydi va ba'zida allaqachon mavjud bo'lgan narsalarni buzadi. "Keling, himoyaga boshqa tomondan yondashaylik va jarayonlarni bir-biridan ajratib turaylik", dedi cheksiz aqlli kimdir. Darhaqiqat, shubhali jarayonlar qum qutisi deb ataladigan izolyatsiya qilingan muhitda ishlayotganida juda yaxshi. Sandboxda ishlaydigan zararli dastur o'z chegaralarini tark eta olmaydi va butun tizimga zarar etkaza olmaydi. Bu yechim bo'lishi mumkin, ammo mavjud sandbox ilovalarida nuanslar mavjud ...
Keyinchalik, biz qum qutilarini qurishning barcha nozik tomonlarini muhokama qilamiz, bu haqda bilish jarayonni izolyatsiyalash vositasini yoki HIPS (Host-based Intrusion Prevention System - ish stantsiyalari uchun hujumni oldini olish tizimi) ni tanlash kerak bo'lganda foydali bo'ladi.
Nuance raqami 1 yoki hamma uchun bitta sandbox
Ko'pgina qum qutilari jarayonni izolyatsiya qilmaydi. Darhaqiqat, ko'pgina ilovalarda himoyalangan tizim ikki qismga bo'linadi - ishonchli va ishonchsiz. Oddiy jarayonlar ishonchli qismda ishlaydi, izolyatsiya qilingan jarayonlar ishonchsiz qismda ishlaydi. Ya'ni, barcha izolyatsiya qilingan jarayonlar bir xil sandboxda ishlaydi, bir-biriga va bir-birining resurslariga kirish huquqiga ega, bir xil ro'yxatga olish kitobi va bir xil fayl tizimidan foydalanadi.
Shunday qilib, zararli dastur sinov muhitida o'z o'rnini egallashi va izolyatsiya qilingan ilovalardan biri bilan (yoki bir nechta izolyatsiya qilingan ilovalar bilan yoki ularning har biri bilan) epizodik boshlashi mumkin. Shu bilan birga, qum qutilari ko'pincha izolyatsiya qilingan jarayonlarning harakatlarini qayd etmaydi. HIPS qum qutilarida qasam ichadigan harakatlar eng kichik reaktsiyalarsiz, izolyatsiyaga moslashtirilgan, juda yaxshi emas.
Izolyatsiya shu tarzda joylashtirilganligini qanday tekshirish mumkin? Juda oddiy! Sandboxda ikkita dasturni ishga tushiring. Masalan, notepad.exe va wordpad.exe. Notepad.exe yordamida 1.txt matn faylini yarating.
Albatta, bu fayl ish stolida emas, balki "virtual" katalogda saqlanadi. Uni Wordpad yordamida ochishga harakat qiling (3-rasm).
Shunday qilib, bitta sinov muhiti ilovasi tomonidan yaratilgan fayl boshqa sinov muhiti ilovasi yordamida ochilishi mumkin. Keling, tan olaylik, izolyatsiya unchalik yaxshi emas. Lekin, ehtimol, hech bo'lmaganda, rekorddan qandaydir himoya bo'ladi? Tarkibni o'zgartiramiz (4-rasm).
Va biz qutqaramiz. Va endi notepad.exe yordamida 1.txt faylini ochishga harakat qilaylik. Albatta, notepad.exe ni sandboxda ishga tushiramiz (5-rasm).
Va bu erda biz nima haqida gaplashdik. Ikkita alohida dastur bir-biridan ajratilmagan. Ma'lum bo'lishicha, bunday izolyatsiya nima uchun to'liq aniqlanmagan. Hatto kompyuterdagi mahalliy papkalarga kirish imkoniga ega bo'lmagan to'lov dasturi ham virtuallashtirilgan katalogdagi hamma narsani shifrlashi mumkin va agar omadingiz bo'lsa, tarmoq resurslarida, chunki sinov muhiti sozlamalari barcha izolyatsiya qilingan ilovalar uchun bir xil.
Nuance raqami 2 yoki kam izolyatsiya
Ha, sinov muhitiga o'rnatilgan jarayonlar tizimning ishonchli qismiga kira olmaydi... lekin ko'pgina ilovalarda u faqat yozish uchun mo'ljallangan. Ya'ni, ular deyarli hech qanday cheklovlarsiz istalgan joydan o'qishlari va ko'pincha tarmoqqa kirishlari mumkin. Bu, aftidan, ko'proq moslik uchun qilingan, ammo buni izolyatsiya deb atash mumkin emas.
Oʻzingiz tanlagan oddiy sinov muhiti tajribasini sinab koʻring. Qattiq diskingizda katalog yarating. Keling, shunday deylik: E:\Photos . Unga, masalan, fotosuratni qo'ying (6-rasm).
Sandboxda Internet Explorer-ni ishga tushiring va berilgan tasvirni, aytaylik, rghost-ga yuborishga harakat qiling.
Xo'sh, qanday? Bo'ldimi? Agar tajriba muvaffaqiyatli bo'lsa, unda bu juda yaxshi emas. Bundan ham yomoni, agar qum qutisi sinov muhitiga kiritilgan ilovalar kirish imkoniga ega bo'lmagan kataloglarni ko'rsatish imkoniyatiga ega bo'lmasa. Va agar izolyatsiya qilingan ilovalar joriy foydalanuvchining kataloglaridan ma'lumotlarni o'qiy olsa, bu yaxshi emas.
Ko'pgina ilovalarda fayl tizimi va registrni virtualizatsiya qilish "talab bo'yicha nusxa ko'chirish" tamoyili asosida qurilgan. Ya'ni, agar faylni oddiygina o'qish kerak bo'lsa, virtual katalogda analog bo'lmasa, u manba katalogidan o'qiladi. Agar virtual katalogda xuddi shu fayl mavjud bo'lsa, u holda izolyatsiya qilingan dastur u bilan ishlaydi. Virtual registr haqida ham shunday deyish mumkin. Xo'sh, faylni haqiqiy yo'l bo'ylab yozishga harakat qilganingizda, u virtual fayl tizimiga yozilishi aniq. Deyarli har doim.
Shunday qilib, agar zararli dastur bunday sinov muhitida "izolyatsiya qilingan" bo'lsa, u boshqa barcha "izolyatsiya qilingan" jarayonlarga, o'qish uchun tizimdagi deyarli barcha ma'lumotlarga va virtualizatsiyaga (izolyatsiya qilingan ilovalar tomonidan saqlanadi) to'liq kirish imkoniyatiga ega bo'ladi. yozib olish uchun ma'lumotlar (ko'pincha barcha izolyatsiya qilingan ilovalar uchun keng tarqalgan).
Nuance raqami 3 yoki "boshqa velosiped yasaymiz, bu juda qiziq"
Davomi faqat aʼzolar uchun mavjud
Variant 1. Saytdagi barcha materiallarni o'qish uchun "sayt" jamoasiga qo'shiling
Belgilangan muddatda hamjamiyatga a'zolik sizga BARCHA Hacker materiallariga kirish imkonini beradi, shaxsiy jami chegirmangizni oshiradi va professional Xakep Score reytingini to'plash imkonini beradi!
Shunday qilib, men mijoz ilovamdagi izolyatsiyalangan saqlash faylini qulflashga harakat qilyapman, shunda mening ilovamning bir nechta nusxalari bir vaqtning o'zida unga kira olmaydi. Men quyidagi sintaksisdan foydalanaman:
LockStream = yangi IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ushbu kod mening ilovamga strukturaning FileStream.Lock usulidan NullReferenceException ni tashlashiga olib keladi. Uzunlik uchun nolga teng bo'lmagan qiymatdan foydalanishga harakat qildim. Men faylga bayt yozishga harakat qildim va keyin faqat shu baytni qulfladim. Nima qilsam ham, xuddi shu NullReferenceException meni ta'qib qilmoqda. Bu izolyatsiyalangan saqlash bilan mumkinmi yoki yo'qligini kimdir biladimi?
Bundan tashqari, men Silverlight ilovasida ushbu texnikani ko'rib chiqyapman, Silverlight faylni qulflashni qo'llab-quvvatlaydimi? MSDN hujjatlari unday emasligini ko'rsatayotganga o'xshaydi, lekin men MVP-dan bu postni ko'rdim, unda shunday bo'ladi.
Yangilash: Microsoft men Connect-ga yuborgan xatolikni tuzatdi, lekin u ramkaning 4-versiyasida chiqarilmadi. U umid qilamanki, keyingi SP yoki to'liq versiyada mavjud bo'lishi kerak.
42 ta javob
Bu Framework'dagi xatoga o'xshaydi. Balki men noto'g'ridir, chunki bu haqiqat bo'lishi uchun juda katta.
Reflector bilan .NET 3.5 SP1 manba kodiga qarab, IsoStorageFileStream o'lchovsiz asosiy konstruktorni (FileStream()) chaqirishini ko'rishingiz mumkin, bu esa haqiqiy bo'lmagan boshlang'ich sinfga olib keladi. IsolatedStorageFileStream FileStream ni yaratadi va uni bekor qilgan barcha usullarda (Yozish, O'qish, Flush, Qidirish va boshqalar) foydalanadi. Ajablanarlisi shundaki, u o'zining asosiy sinfini to'g'ridan-to'g'ri ishlatmaydi.
Lekin qulflash va qulfni ochish bekor qilinmaydi va ular hali ham null bo'lgan shaxsiy maydonni (_handle) talab qiladi (chunki foydalanilgan konstruktor parametrsiz). Ular buni null emas deb hisoblashadi va uni o'ynashadi va NREni chaqirishadi.
Xulosa qilib aytganda, qulflash va qulfdan chiqarish qo'llab-quvvatlanmaydi (yoki ishlamaydi).
O'ylaymanki, siz Mutex yoki Semafor kabi boshqa blokirovka usullaridan foydalanishga majbursiz.
4
Shuning uchun men C# mijoz ilovamdagi izolyatsiyalangan saqlash faylini qulflashga harakat qilyapman, shunda mening ilovamning bir nechta nusxalari bir vaqtning o'zida unga kira olmaydi. Men quyidagi sintaksisdan foydalanaman:
LockStream = yangi IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Ushbu kod mening ilovamning FileStream.Lock usuli ichida NullReferenceException ni tashlashiga olib keladi. Uzunlik uchun nolga teng bo'lmagan qiymatdan foydalanishga harakat qildim. Men faylga bayt yozishga harakat qildim va keyin faqat shu baytni qulfladim. Nima qilsam ham, xuddi shu NullReferenceException meni ta'qib qilmoqda. Bu izolyatsiyalangan saqlash bilan mumkinmi yoki yo'qligini kimdir biladimi?
Bundan tashqari, men Silverlight ilovasida ushbu texnikani ko'rib chiqyapman, Silverlight faylni qulflashni qo'llab-quvvatlaydimi? MSDN hujjatlari unday emasligini ko'rsatadi, lekin men C# MVP dan bu postni ko'rdim, bu shunday deydi.
Yangilash: Microsoft Connect-da men yuborgan xatolikni tuzatdi, lekin u ramkaning 4-versiyasida chiqarilmadi. U umid qilamanki, keyingi SP yoki to'liq versiyada mavjud bo'lishi kerak.
0
Shaxsiy "m_fs" ning IsolatedStorageFileStream maydonida bloklash usulini chaqirish uchun aks ettirish orqali ushbu xatoni hal qila oldim: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) FileStream sifatida; m_fs.Lock(0, long.MaxValue); - bsiegel 05 mart 10 2010-03-05 15:57:55
2 ta javob
Tartiblash:
Faoliyat
4
Bu Framework'dagi xatoga o'xshaydi. Balki men noto'g'ridir, chunki bu haqiqat bo'lishi uchun juda katta.
Reflektor bilan .NET 3.5 SP1 manba kodiga nazar tashlasangiz, IsoStorageFileStream o‘lchamsiz tayanch konstruktorni (FileStream()) chaqirishini, natijada boshlang‘ich sinfga olib kelishini topasiz. IsolatedStorageFileStream FileStream ni yaratadi va uni bekor qilgan barcha usullarda (Yozish, O'qish, Flush, Qidirish va boshqalar) foydalanadi. Ajablanarlisi shundaki, u o'zining asosiy sinfini to'g'ridan-to'g'ri ishlatmaydi.
Lekin qulflash va qulfni ochish bekor qilinmaydi va ular hali ham null bo'lgan shaxsiy maydonga (_handle) kerak (chunki foydalanilgan konstruktor parametrsiz). Ular buni null emas deb hisoblashadi va uni o'ynashadi va NREni chaqirishadi.
Xulosa qilib aytganda, qulflash va qulfdan chiqarish qo'llab-quvvatlanmaydi (yoki ishlamaydi).
“Eset NOD32 antivirusi tomonidan o'chirilgan fayllarimni qanday tiklash mumkin” degan soʻrovni Internetda tez-tez koʻrish mumkin. Shunga qaramay, bu muammoni hal qilishning mumkin bo'lgan usullari unchalik ko'p emas, bu ko'pincha yo'qolgan hujjatlarni qaytarishning hech qanday usuli yo'q degan tuyg'uni keltirib chiqaradi.
Avvalo, antivirus hech qachon operatsion tizim yoki boshqa o'rnatilgan dasturlarning ishlashiga ta'sir qilmaydigan faylni hech qachon bloklamasligi yoki o'chirilmasligini tushunishingiz kerak.
Shunga ko'ra, agar sizning hujjatingiz o'chirilgan bo'lsa, uning zararli ekanligiga ishonch bilan shubha qilishingiz mumkin. Shu bilan birga, dasturni oddiygina o'zgartiradigan, uning jarayonlariga aralashadigan, ammo o'z-o'zidan xavf tug'dirmaydigan fayllar ham mavjud.
Antivirus tomonidan o'chirilgan faylni tiklashning har qanday usullari bormi? Albatta bor! Ushbu maqolada biz Eset NOD32 ilovasi nima ekanligini, u bilan ishlashning xususiyatlarini va antivirus tomonidan o'chirilgan fayllarni tiklashning samarali usulini ko'rib chiqamiz.
Eset NOD32 nima?
Zamonaviy dunyoda antivirus dasturlari qanchalik muhim va eng muhimi, tegishli ekanligi hech kimga sir emas. Ular nafaqat zararli fayllarning katta qismini yo'q qilishga imkon beradi, balki u yoki bu tarzda tizimga zarar etkazadigan mumkin bo'lgan tahdidning oldini olishga yordam beradi.
Antivirus Eset NOD32, odatda oddiygina NOD32 deb ataladi, bu Slovakiyaning Eset kompaniyasi tomonidan 1987 yilda yaratilgan antivirus dasturlari to'plamidir.
Dasturning ikkita nashri mavjud:
- uy versiyasi.
- Biznes versiyasi.
Biznes versiyasi va uy versiyasi o'rtasidagi asosiy farq masofadan boshqarish imkoniyati va platformalararo himoyaning mavjudligi. Dasturni har qanday ehtiyojlar uchun osongina va moslashuvchan tarzda sozlash imkonini beruvchi xususiyat bundan kam yoqimli emas.
Eset NOD32. Antivirusni qanday yoqish yoki o'chirish mumkin?
Ko'pincha ma'lum bir dasturni o'rnatishda bizdan antivirusni o'chirib qo'yishimiz kerak bo'ladi, chunki aks holda u muhim faylni "yeydi", ularsiz dastur ishga tushmaydi.
Antivirusni yoqish / o'chirish haqidagi savolga javob izlashning yana bir keng tarqalgan sababi - bu "himoyachi" ning resurs sarfini kamaytirish maqsadi. Bu antiviruslar ishining o'ziga xos xususiyati ta'sir qiladi - ular odatda passiv holatda ham juda katta hajmdagi xotirani egallaydi va boshqa "og'ir" dasturlarni ishga tushirganingizda, ba'zida himoyani to'xtatib qo'yishingiz kerak bo'ladi.
Xo'sh, NOD32-ni yoqish yoki o'chirish vazifasini qanday bajarasiz? Keling, ushbu masalani quyidagi ko'rsatmalarda ko'rib chiqaylik.
1. Ilovani ishga tushiring Eset NOD32 va ga boring Sozlamalar.
2. Ochilgan oynada siz barcha o'rnatilgan NOD32 xizmat paketlarini topasiz. Har biriga tashrif buyuring va ehtiyojlaringizga qarab variantlarni yoqing/o'chiring.
Eset NOD32. Antivirus karantini va istisnolar.
Karantin- ishlab chiqaruvchisi va versiyasidan (uy yoki biznes) qat'i nazar, har qanday antivirusda mavjud bo'lgan ombor. Antivirusga ko'ra, u yoki bu tarzda operatsion tizimingizga zarar etkazishi mumkin bo'lgan barcha shubhali fayllarni saqlaydi.
Shuni ta'kidlash kerakki, hech qanday hujjat, hatto troyan bo'lsa ham, bir zumda o'chirilmaydi. Avvalo, undan kelib chiqadigan tahdid zararsizlantiriladi: fayl karantinga olinadi va antivirus sabr bilan foydalanuvchining keyingi harakatlar bo'yicha mas'uliyatli qarorini kutadi - siz zararlangan hujjatni o'chirishingiz yoki uni istisno sifatida belgilashingiz mumkin, biz buni biroz tahlil qilamiz. keyinroq.
Eset NOD32 antivirus karantinini qanday topish mumkin? Juda oddiy! Keling, quyidagi ko'rsatmalarni ko'rib chiqaylik.
1. Yugurish Eset NOD32 va bo'limga o'ting Xizmat.
2. Yorliq oching Qo'shimcha mablag'lar. U pastki o'ng burchakda joylashgan.
3. Bizda Eset tomonidan antivirusning bir qismi sifatida taqdim etiladigan qo'shimcha xizmatlarning to'liq ro'yxati mavjud. Ochiq Karantin.
4. Ochilgan menyuda NOD32 sizga barcha ajratilgan fayllarni boshqarish uchun to'liq huquqlarni beradi.
topdik karantin va uni topdi asosiy funktsiyalari:
- Faylni izolyatsiya qilish. Ushbu parametr zararli faylni qo'lda topish va agar antivirus o'z-o'zidan bardosh bera olmasa, uni bloklash imkonini beradi.
- Qayta tiklash. Tasodifiy bloklangan faylni tiklash imkonini beruvchi variant.
Izolyatsiya qilingan hujjatni oddiygina tiklash har doim ham keyingi qulflardan qocha olmaydi. Buni o'zgartirish mumkinmi? Keling, ko'rib chiqaylik.
1. derazadan chiqmasdan Karantin, qulfni ochmoqchi bo'lgan faylni o'ng tugmasini bosing.
2. Variantni tanlang Qayta tiklash va skanerlashdan chiqarib tashlash.
3. Agar harakatlaringizga ishonchingiz komil bo'lsa, bosing Ha. Agar fayl xavfli yoki zararsiz ekanligini bilmasangiz, bosishni tavsiya qilamiz Yo'q.
Eset NOD32 o'chirilgan fayllar. Qanday qilib tiklanish kerak?
Antivirus Bu bizning kompyuterlarimizga Internet orqali kirib kelishi mumkin bo'lgan juda ko'p sonli tahdidlarni ushlab turadigan yagona to'siqdir. Shunga o'xshash ishlash mexanizmiga ega bo'lgan barcha fayllarni mutlaqo bloklashi tabiiydir; tizim yoki dasturiy jarayonlarga u yoki bu tarzda xalaqit beradigan bunday hujjatlar.
Afsuski, antiviruslar fayllarni ajrata olmaydi, chunki har qanday zararli fayl o'zini Windows jarayoni sifatida osongina yashirishi va asta-sekin kompyuterni ichkaridan yo'q qilishi mumkin.
Shunday qilib, dastur shaxsiy kompyuterni himoya qilish uchun har tomonlama harakat qiladi, uning fikricha, ma'lum bir xavf tug'diradigan hamma narsani bloklaydi. Ko'pgina hollarda, bloklangan hujjatlarni istisno qilish orqali osongina tiklash mumkin, ammo antivirus faylni juda xavfli deb hisoblasa, ba'zida ular butunlay o'chiriladi.
Starus bo'limini tiklash fayl tizimi bilan kundalik ishda yaxshi yordamchi bo'ladi. Ilova sizni uzoq muddatda shaxsiy hujjatlar bilan bog'liq har qanday tashvishlardan xalos qiladi va uni qanday yo'qotganingizdan qat'i nazar, istalgan formatdagi faylni tiklashga yordam beradi.
Starus Partition Recovery vositasini ro'yxatdan o'tkazishdan oldin "yo'qolganlarni qaytarish" uchun barcha imkoniyatlarni baholashingiz mumkin. Antivirus tomonidan o'chirilgan shaxsiy hujjatlarni tiklash dasturini yuklab oling va uni bepul sinab ko'ring. Barcha funksiyalar sinov versiyasida mavjud, shu jumladan tiklangan fayllarni oldindan ko'rish. Oldindan ko'rish oynasi sizga ma'lum bir fayl buzilmagan yoki qayta yozilmaganligiga va to'liq tiklanishiga ishonch hosil qilish imkoniyatini beradi.
Umid qilamizki, maqola siz uchun foydali bo'ldi va qo'yilgan savollarni hal qilishga yordam berdi.