Bagaimana cara mengisolasi proses yang mencurigakan di Windows dan tidak merusak OS itu sendiri? Cara membuat yang andal dan kompatibel dengan perangkat lunak Windows kotak pasir tanpa virtualisasi perangkat keras dan intersepsi fungsi kernel, tetapi menggunakan mekanisme keamanan bawaan OS yang terdokumentasi? Kami akan berbicara tentang masalah paling umum yang dihadapi pengembang (dan akhirnya konsumen) dari kotak pasir perangkat lunak. Dan tentu saja, kami akan menawarkan solusi kami sendiri :).
Pendahuluan, atau betapa buruknya hidup tanpa kotak pasir
Di antara para profesional ada beberapa aksioma yang tidak ingin mereka bicarakan. Dan bagaimana dengan aksioma? Mereka adalah dan. Tampaknya semua orang jelas, seperti dua dan dua. Misalnya, salah satunya - antivirus berbasis tanda tangan tidak melindungi. Nah, yaitu, mereka tidak melindungi, dan hanya itu. Banyak hal telah dikatakan dan diceritakan kembali tentang ini berkali-kali. Dengan contoh, presentasi yang indah, tarian dan tarian. Dan epidemi segala macam hal buruk seperti Ransomware adalah salah satu bukti inefisiensi teknologi tanda tangan dan heuristik. Semua jenis cryptors dan obfuscator berhasil memecahkan masalah melindungi malware yang sudah dikenal dari deteksi, dan untuk beberapa waktu malware ini tidak terdeteksi oleh antivirus. Kali ini cukup bagi seseorang untuk merasa buruk, dan seseorang yang baik.
Artinya, ini bahkan bukan tentang 0 hari: Anda dapat mengambil malware berjanggut lama yang terkenal, mengubahnya, menghapus tanda tangan perilaku (bekerja selama beberapa hari untuk orang yang malas) dan menggunakannya lagi, dan lagi, dan lagi, sampai Anda bosan atau sampai mereka memasukkan Anda ke penjara. Pada saat yang sama, orang-orang yang menjual obat agar hal yang paling "buruk" ini tidak akan pernah datang, tampaknya tidak ada hubungannya dengan itu; mereka menerbitkan semacam buletin dengan wajah serius dan berbicara tentang kebersihan di Internet, lupa untuk mengatakan bahwa jika kebersihan ini diamati sepenuhnya, maka antivirus, terutama yang berbayar, praktis tidak diperlukan.
Kotak pasir dan fitur implementasinya
Jadi, antivirus tidak menyimpan, dan terkadang merusak apa yang sudah ada. "Mari kita mendekati perlindungan dari sisi lain dan mengisolasi proses dari satu sama lain," kata seseorang yang sangat cerdas. Memang, itu bagus ketika proses yang mencurigakan berjalan di beberapa jenis lingkungan terisolasi yang disebut kotak pasir. Malware yang berjalan di sandbox tidak dapat meninggalkan batasnya dan membahayakan seluruh sistem. Ini bisa menjadi solusi, namun ada nuansa dalam implementasi kotak pasir yang ada...
Selanjutnya, kita hanya akan membahas semua seluk-beluk membangun kotak pasir, yang pengetahuannya pasti akan berguna ketika Anda perlu memilih alat isolasi proses atau HIPS (Sistem Pencegahan Intrusi Berbasis Host - sistem pencegahan intrusi untuk stasiun kerja).
Nuansa nomor 1, atau satu kotak pasir untuk semua
Sebagian besar kotak pasir sebenarnya tidak menyediakan isolasi proses. Sebenarnya, di sebagian besar implementasi, sistem yang dilindungi dibagi menjadi dua bagian - tepercaya dan tidak tepercaya. Proses normal berjalan di bagian yang tepercaya, proses yang terisolasi berjalan di bagian yang tidak tepercaya. Artinya, semua proses yang terisolasi berjalan di kotak pasir yang sama, memiliki akses satu sama lain dan sumber daya satu sama lain, menggunakan registri yang sama dan sistem file yang sama.
Dengan demikian, malware dapat memperoleh pijakan di kotak pasir itu sendiri dan mulai secara episodik dengan salah satu aplikasi yang terisolasi (atau dengan beberapa aplikasi yang terisolasi, atau dengan salah satu dari mereka). Pada saat yang sama, kotak pasir sering tidak mencatat tindakan proses yang terisolasi. Tindakan yang HIPS bersumpah di dalam kotak pasir cukup lumayan tanpa reaksi sedikit pun, disesuaikan dengan isolasi, yang tidak terlalu baik.
Bagaimana cara memeriksa apakah isolasi diatur dengan cara ini? Sangat sederhana! Jalankan dua aplikasi dalam kotak pasir. Misalnya notepad.exe dan wordpad.exe. Buat dengan notepad.exe berkas teks 1.txt.
Tentu saja file yang diberikan tidak akan disimpan di desktop, tetapi di direktori "virtual". Coba buka dengan Wordpad (Gbr. 3).
Jadi, file yang dibuat oleh satu aplikasi sandbox dapat dibuka menggunakan aplikasi sandbox lainnya. Mari kita hadapi itu, isolasi tidak terlalu baik. Tapi mungkin setidaknya akan ada semacam perlindungan dari catatan? Kami mengubah konten (Gbr. 4).
Dan kita simpan. Dan sekarang mari kita coba buka file 1.txt menggunakan notepad.exe. Tentu saja, mari kita jalankan notepad.exe di kotak pasir (Gbr. 5).
Dan inilah yang kami bicarakan. Dua aplikasi yang terisolasi tidak terisolasi satu sama lain. Ternyata isolasi tersebut dibuat tidak sepenuhnya jelas mengapa. Bahkan kriptografer, tanpa mendapatkan akses ke folder lokal di komputer, ia dapat mengenkripsi semuanya dalam direktori virtual, dan jika Anda beruntung, maka pada sumber daya jaringan, karena pengaturan untuk kotak pasir sama untuk semua aplikasi yang terisolasi.
Nuansa nomor 2, atau di bawah isolasi
Ya, proses kotak pasir tidak dapat menjangkau bagian sistem yang tepercaya... tetapi di sebagian besar implementasi, proses ini hanya dapat ditulis. Artinya, mereka dapat membaca dari mana saja tanpa batasan dan seringkali memiliki akses ke jaringan. Ini dilakukan, tampaknya, untuk kompatibilitas yang lebih besar, tetapi ini tidak dapat disebut isolasi.
Cobalah eksperimen kotak pasir sederhana pilihan Anda. Buat direktori di hard drive Anda. Katakanlah ini: E:\Photos . Taruh di dalamnya, misalnya, sebuah foto (Gbr. 6).
Lari Internet Explorer di kotak pasir dan coba kirim gambar yang diberikan ke, katakanlah, rghost.
Jadi gimana? Telah terjadi? Jika pengalaman itu berhasil, maka itu tidak terlalu bagus. Lebih buruk lagi, jika sandbox tidak memiliki kemampuan untuk menentukan direktori yang tidak dapat diakses oleh aplikasi sandbox. Dan sama sekali tidak baik jika aplikasi yang terisolasi dapat membaca data dari direktori pengguna saat ini.
Virtualisasi sistem file dan registri di sebagian besar implementasi dibangun berdasarkan prinsip "salin sesuai permintaan". Artinya, jika file hanya perlu dibaca, maka itu dibaca dari direktori sumber jika tidak ada analog di direktori virtual. Jika file yang sama ada di direktori virtual, maka aplikasi yang terisolasi akan bekerja dengannya. Hal yang sama dapat dikatakan tentang registri virtual. Jelas bahwa ketika Anda mencoba menulis file di sepanjang jalur nyata, itu akan ditulis ke sistem file virtual. Hampir selalu.
Jadi, jika malware "terisolasi" di kotak pasir seperti itu, maka ia akan dapat memiliki akses penuh ke semua proses "terisolasi" lainnya, ke hampir semua data dalam sistem untuk membaca, dan ke virtual (disimpan oleh aplikasi yang terisolasi) data (yang sering umum untuk semua aplikasi yang terisolasi) untuk perekaman.
Nuansa nomor 3, atau "ayo bikin motor lagi, seru banget"
Lanjutan tersedia hanya untuk anggota
Opsi 1. Bergabunglah dengan komunitas "situs" untuk membaca semua materi di situs
Keanggotaan dalam komunitas selama periode yang ditentukan akan memberi Anda akses ke SEMUA materi Peretas, meningkatkan diskon kumulatif pribadi Anda dan memungkinkan Anda untuk mengumpulkan peringkat Skor Xakep profesional!
4
Jadi saya mencoba mengunci file penyimpanan yang terisolasi di aplikasi klien C# saya sehingga beberapa contoh aplikasi saya tidak dapat mengaksesnya secara bersamaan. Saya menggunakan sintaks berikut:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Kode ini menyebabkan aplikasi saya melempar NullReferenceException di dalam metode FileStream.Lock kerangka kerja. Saya mencoba menggunakan nilai bukan nol untuk panjangnya. Saya mencoba menulis satu byte ke file dan kemudian hanya mengunci byte itu. Tidak peduli apa yang saya lakukan, NullReferenceException yang sama menghantui saya. Adakah yang tahu apakah ini mungkin dengan penyimpanan terisolasi?
Saya juga sedang mencari teknik ini dalam aplikasi Silverlight, apakah Silverlight mendukung penguncian file? Dokumen MSDN tampaknya menunjukkan bahwa itu bukan, tetapi saya melihat posting ini dari C # MVP yang mengatakan itu.
Pembaruan: Microsoft telah memperbaiki bug yang saya kirimkan di Connect, tetapi belum dirilis di versi 4 kerangka kerja. Semoga tersedia di SP berikutnya atau rilis penuh.
0
Saya dapat mengatasi kesalahan ini dengan menggunakan refleksi untuk memanggil metode kunci pada bidang IsolatedStorageFileStream dari "m_fs" pribadi seperti: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) sebagai FileStream; m_fs.Lock(0, long.MaxValue); - bsiegel 05 Maret 10-03-05 15:57:55
2 jawaban
Penyortiran:
Aktivitas
4
Ini terlihat seperti bug di Framework. Mungkin saya salah, karena itu terlalu besar untuk menjadi kenyataan.
Melihat kode sumber .NET 3.5 SP1 dengan reflektor, Anda menemukan bahwa IsolStorageFileStream memanggil konstruktor dasar tanpa dimensi (FileStream()), menghasilkan kelas dasar yang tidak diinisialisasi. IsolatedStorageFileStream membuat instance FileStream dan menggunakannya di semua metode yang diganti (Tulis, Baca, Siram, Cari, dll.). Aneh bahwa ia tidak menggunakan kelas dasarnya secara langsung.
Tetapi kunci dan buka kunci tidak diganti dan mereka membutuhkan bidang pribadi (_handle) yang masih nol (karena konstruktor yang digunakan tidak memiliki parameter). Mereka menganggap itu bukan nol dan memainkannya dan memanggil NRE.
Singkatnya, mengunci dan membuka kunci tidak didukung (atau tidak berfungsi).
Jadi saya mencoba mengunci file penyimpanan yang terisolasi di aplikasi klien saya sehingga beberapa contoh aplikasi saya tidak dapat mengaksesnya secara bersamaan. Saya menggunakan sintaks berikut:
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Kode ini menyebabkan aplikasi saya mengeluarkan NullReferenceException dari metode FileStream.Lock struct. Saya mencoba menggunakan nilai bukan nol untuk panjangnya. Saya mencoba menulis satu byte ke file dan kemudian hanya mengunci byte itu. Tidak peduli apa yang saya lakukan, NullReferenceException yang sama menghantui saya. Adakah yang tahu apakah ini mungkin dengan penyimpanan terisolasi?
Saya juga sedang mencari teknik ini dalam aplikasi Silverlight, apakah Silverlight mendukung penguncian file? Dokumen MSDN tampaknya menunjukkan bahwa tidak, tetapi saya melihat posting ini dari MVP yang mengatakan demikian.
Pembaruan: Microsoft telah memperbaiki bug yang saya kirimkan ke Connect, tetapi belum dirilis di versi 4 kerangka kerja. Semoga tersedia di SP berikutnya atau rilis penuh.
42 tanggapan
Ini terlihat seperti bug di Framework. Mungkin saya salah, karena itu terlalu besar untuk menjadi kenyataan.
Melihat kode sumber .NET 3.5 SP1 dengan Reflektor, Anda dapat menemukan bahwa IsolStorageFileStream memanggil konstruktor dasar tanpa dimensi (FileStream()), yang menghasilkan kelas dasar yang diinisialisasi secara tidak valid. IsolatedStorageFileStream membuat instance FileStream dan menggunakannya di semua metode yang diganti (Tulis, Baca, Siram, Cari, dll.). Aneh bahwa ia tidak menggunakan kelas dasarnya secara langsung.
Tetapi penguncian dan pembukaan kunci tidak ditimpa dan memerlukan bidang pribadi (_handle) yang masih nol (karena konstruktor yang digunakan tidak memiliki parameter). Mereka menganggap itu bukan nol dan memainkannya dan memanggil NRE.
Singkatnya, mengunci dan membuka kunci tidak didukung (atau tidak berfungsi).
Saya pikir Anda terpaksa menggunakan metode pemblokiran lain seperti Mutex atau Semaphore.
“Bagaimana memulihkan file saya yang dihapus oleh antivirus Eset NOD32” adalah permintaan yang sering terlihat di Internet. Namun solusi yang memungkinkan masalah ini tidak begitu banyak, yang sering menimbulkan perasaan bahwa tidak ada cara untuk mengembalikan dokumen yang hilang.
Pertama-tama, Anda perlu memahami bahwa antivirus tidak akan pernah memblokir atau menghapus file yang dengan satu atau lain cara tidak memengaruhi fungsi sistem operasi atau program lain yang diinstal.
Oleh karena itu, jika dokumen Anda telah dihapus, Anda dapat dengan aman mencurigai kejahatannya. Namun, ada juga file yang hanya memodifikasi program, mengganggu prosesnya, tetapi tidak menimbulkan ancaman bagi dirinya sendiri.
Apakah ada cara untuk memulihkan file yang dihapus oleh antivirus? Pasti ada! Pada artikel ini, kita akan melihat apa itu aplikasi Eset NOD32, fitur-fiturnya dan metode yang efektif memulihkan file yang dihapus oleh antivirus.
Apa itu Eset NOD32?
Untuk siapa pun di dunia modern Bukan rahasia lagi betapa pentingnya, dan yang paling penting, seberapa relevan aplikasi anti-virus. Mereka memungkinkan tidak hanya untuk menghilangkan sebagian besar file berbahaya, tetapi juga membantu mencegah kemungkinan ancaman bahkan sebelum itu memanifestasikan dirinya, merusak sistem dengan satu atau lain cara.
Anti Virus Atur NOD32, yang paling sering disebut hanya sebagai NOD32, adalah seluruh paket antivirus perangkat lunak, dibuat oleh perusahaan Slovakia Eset pada tahun 1987.
Ada dua edisi program:
- versi rumah.
- Versi bisnis.
Perbedaan utama antara versi bisnis dan versi rumahan adalah kemampuannya untuk kendali jarak jauh dan adanya perlindungan lintas platform. Tidak kalah menyenangkan adalah fitur yang memungkinkan Anda menyesuaikan program dengan mudah dan fleksibel untuk kebutuhan apa pun.
Atur NOD32. Bagaimana cara mengaktifkan atau menonaktifkan antivirus?
Sering terjadi bahwa ketika menginstal program tertentu, kita diharuskan untuk menonaktifkan antivirus, karena jika tidak maka akan "memakan" file penting yang tanpanya aplikasi tidak dapat memulai.
Alasan umum lainnya untuk mencari jawaban atas pertanyaan tentang mengaktifkan / menonaktifkan antivirus adalah tujuan mengurangi konsumsi sumber daya "pembela". Keunikan kerja antivirus mempengaruhi di sini - mereka biasanya mengambil cukup banyak sejumlah besar memori, bahkan dalam keadaan pasif dan ketika memulai program "berat" lainnya, terkadang Anda harus menangguhkan perlindungan.
Jadi bagaimana Anda menyelesaikan tugas mengaktifkan atau menonaktifkan NOD32? Mari kita lihat masalah ini dalam petunjuk di bawah ini.
1. Luncurkan aplikasi Atur NOD32 dan pergi ke Pengaturan.
2. Di jendela yang terbuka, Anda akan menemukan semua paket layanan NOD32 yang terinstal. Kunjungi masing-masing dan aktifkan/nonaktifkan opsi tergantung pada kebutuhan Anda.
Atur NOD32. Karantina dan pengecualian antivirus.
Karantina- repositori yang selalu ada di antivirus apa pun, terlepas dari pabrikan dan versinya (rumah atau bisnis). Ini menyimpan semua file mencurigakan yang, menurut antivirus, dalam satu atau lain cara dapat membahayakan sistem operasi Anda.
Perlu dicatat fakta bahwa tidak ada dokumen, bahkan jika itu adalah Trojan, yang dihapus secara instan. Pertama-tama, ancaman yang berasal darinya dinetralkan: file dikarantina dan antivirus dengan sabar menunggu keputusan pengguna yang bertanggung jawab tentang tindakan lebih lanjut - Anda dapat menghapus dokumen yang terinfeksi atau menandainya sebagai pengecualian, yang akan kami analisis sedikit nanti.
Bagaimana cara menemukan karantina antivirus Eset NOD32? Sangat sederhana! Mari kita lihat petunjuk di bawah ini.
1. Lari Atur NOD32 dan pergi ke bagian Melayani.
2. Buka tab Dana tambahan. Letaknya di pojok kanan bawah.
3. Muncul di hadapan kita daftar lengkap layanan tambahan yang disediakan oleh Eset sebagai bagian dari antivirusnya. Membuka Karantina.
4. Di menu yang terbuka, NOD32 memberi Anda hak penuh untuk mengelola semua file yang terisolasi.
Kami menemukan karantina dan menemukannya fungsi utama:
- Mengisolasi file. Opsi ini memungkinkan Anda untuk menemukan file berbahaya secara manual dan memblokirnya jika antivirus tidak dapat mengatasinya sendiri.
- Membangun kembali. Opsi yang memungkinkan Anda memulihkan file yang terkunci secara tidak sengaja.
Cukup memulihkan dokumen yang terisolasi tidak selalu menghindari penguncian lebih lanjut. Bisakah ini diubah? Mari kita pertimbangkan.
1. tanpa meninggalkan jendela Karantina, klik kanan pada file yang ingin Anda buka kuncinya.
2. Pilih opsi Pulihkan dan kecualikan dari pemindaian.
3. Jika Anda yakin dengan tindakan Anda, klik Ya. Jika Anda tidak tahu apakah file tersebut berbahaya atau tidak, kami sarankan untuk mengklik Bukan.
Eset NOD32 menghapus file. Bagaimana memulihkan?
Anti Virus adalah satu-satunya penghalang yang menahan sejumlah besar kemungkinan ancaman yang dapat menembus komputer kita melalui Internet. Sangat wajar bahwa itu benar-benar memblokir semua file dengan mekanisme operasi yang serupa; dokumen semacam itu yang dalam satu atau lain cara mengganggu proses sistem atau perangkat lunak.
Sayangnya, antivirus tidak dapat membedakan file, karena file berbahaya apa pun dapat dengan mudah menyamar sebagai proses jendela dan secara bertahap menghancurkan komputer dari dalam.
Akibatnya, program mencoba dengan segala cara yang mungkin untuk melindungi PC, memblokir segala sesuatu yang, menurut pendapatnya, menimbulkan ancaman tertentu. Dalam kebanyakan kasus, dokumen yang dikunci dapat dengan mudah dipulihkan hanya dengan membuat pengecualian, tetapi terkadang mereka penghapusan lengkap jika antivirus menganggap file tersebut sangat berbahaya.
Pemulihan Partisi Starus akan menjadi penolong yang baik dalam pekerjaan sehari-hari dengan berkas sistem. Aplikasi ini akan membebaskan Anda dari segala kekhawatiran tentang dokumen pribadi dalam jangka panjang dan akan membantu Anda memulihkan file dalam format apa pun, terlepas dari bagaimana Anda kehilangannya.
Anda dapat mengevaluasi semua peluang untuk "mengembalikan yang hilang" sebelum mendaftarkan alat Pemulihan Partisi Starus. Unduh program untuk memulihkan dokumen pribadi yang terhapus oleh antivirus dan coba secara gratis. PADA versi percobaan semua fungsi tersedia, termasuk pratinjau file yang dipulihkan. Jendela pratinjau akan memungkinkan untuk memastikan bahwa file tertentu tidak rusak atau ditimpa dan dapat dipulihkan sepenuhnya.
Kami berharap artikel ini bermanfaat bagi Anda dan membantu menyelesaikan pertanyaan yang diajukan.