Windows жүйесіндегі күдікті процестерді операциялық жүйенің өзін бұзбай қалай оқшаулауға болады? Аппараттық виртуализациясыз және ядро функциясының ілмектерісіз, бірақ құжатталған кірістірілген ОЖ қауіпсіздік механизмдерін пайдалана отырып, сенімді және Windows үйлесімді бағдарламалық жасақтаманың құмсалғышын қалай жасауға болады? Біз бағдарламалық жасақтаманың құм жәшіктерін әзірлеушілер (және, сайып келгенде, тұтынушылар) кездесетін ең көп кездесетін мәселелер туралы сөйлесетін боламыз. Әрине, біз өз шешімімізді ұсынамыз :).
Кіріспе немесе құмсалғышсыз өмір сүру қаншалықты жаман
Кәсіби мамандар арасында олар туралы айтуды ұнатпайтын бірнеше аксиома бар. Аксиомалар туралы не айта аламыз? Олар бар және бар. Екі мен екінің екі екенін бәрі түсінетін сияқты. Мысалы, олардың бірі - қолтаңбаға негізделген антивирустар қорғамайды. Яғни, олар қорғамайды, бұл бәрі. Бұл туралы талай рет айтылып та, талай рет айтылды. Мысалдармен, әдемі презентациялармен, билермен және қойылымдармен. Ransomware сияқты жағымсыз нәрселердің барлық түрлерінің эпидемиялары қолтаңба және эвристикалық технологиялардың тиімсіздігінің дәлелі болып табылады. Крипторлар мен обфузкаторлардың барлық түрлері бұрыннан белгілі зиянды бағдарламаны анықтаудан қорғау мәселесін сәтті шешеді және біраз уақыт бойы бұл зиянды бағдарлама антивирустармен анықталмайды. Бұл уақыт біреуге өзін жаман сезінсе, біреуге жақсы сезіну үшін жеткілікті.
Яғни, біз тіпті 0day туралы айтып отырған жоқпыз: сіз ескі танымал сақалды зиянды бағдарламаны алып, оны өзгерте аласыз, мінез-құлық қолтаңбаларын алып тастай аласыз (жалқау адам үшін бірнеше күн жұмыс істейді) және оны қайтадан пайдалана аласыз, содан кейін қайтадан, және қайтадан шаршағанша немесе түрмеге түскенше. Сонымен бірге, бұл «жамандық» ешқашан болмасын деп дәрі-дәрмекті сатқан адамдардың бұған еш қатысы жоқ сияқты; Байсалды тұлғалармен олар Интернетте қандай да бір ақпараттық бюллетень шығарады және гигиена туралы айтады, ал егер дәл сол гигиена толығымен сақталса, антивирустар, әсіресе ақылы, іс жүзінде қажет емес екенін айтуды ұмытып кетеді.
Құм жәшіктері және оларды жүзеге асыру ерекшеліктері
Сонымен, антивирустар сақтамайды, бірақ кейде бұрыннан бар нәрсені бұзады. «Қорғауға екінші жағынан жақындайық және процестерді бір-бірімізден оқшаулайық», - деді шексіз ақылды біреу. Күдікті процестер құм жәшік деп аталатын оқшауланған ортада іске қосылғанда өте жақсы. Құм жәшігінде жұмыс істейтін зиянды бағдарлама оның шегінен шығып, бүкіл жүйеге зиян келтіре алмайды. Бұл шешім болуы мүмкін, дегенмен бар құмсалғышты іске асыруда нюанстар бар...
Әрі қарай, біз құм жәшіктерін құрудың барлық қыр-сырын талқылаймыз, олар туралы білім сізге процесті оқшаулау құралын немесе HIPS (Host-based Intrusion Prevention System - жұмыс станциялары үшін интрузияны болдырмау жүйесі) таңдау қажет болғанда пайдалы болады.
№1 нюанс немесе барлығына арналған бір құмсалғыш
Көптеген құм жәшіктер процесті оқшаулауды қамтамасыз етпейді. Шындығында, көптеген енгізулерде қорғалатын жүйе екі бөлікке бөлінеді - сенімді және сенімсіз. Сенімді бөлік қалыпты процестерді іске қосады, ал сенімсіз бөлік оқшауланған процестерді іске қосады. Яғни, барлық оқшауланған процестер бір құм жәшігінде жұмыс істейді, бір-біріне және бір-бірінің ресурстарына қол жеткізе алады, бір тізілімді және бірдей файлдық жүйені пайдаланады.
Осылайша, зиянды бағдарлама құм жәшігінің өзінде орын алып, оқшауланған қолданбалардың бірімен (немесе бірнеше оқшауланған қолданбалармен немесе олардың кез келгенімен) кездейсоқ басталуы мүмкін. Сонымен қатар, құм жәшіктер оқшауланған процестердің әрекеттерін жиі тіркемейді. HIPS шағымданатын әрекеттер оқшаулау үшін реттелетін құм жәшіктерде ең аз реакциясыз орын алады, бұл өте жақсы емес.
Оқшаулаудың осылай жасалғанын қалай тексеруге болады? Өте оңай! Құм жәшігінде екі қолданбаны іске қосыңыз. Мысалы, notepad.exe және wordpad.exe. Notepad.exe арқылы 1.txt мәтіндік файлын жасаңыз.
Әрине, бұл файл жұмыс үстелінде сақталмайды, бірақ «виртуалды» каталогта сақталады. Оны Wordpad арқылы ашып көріңіз (3-сурет).
Сонымен, бір құмсалғыш қолданбасы жасаған файлды басқа құмсалғыш қолданбасы ашуы мүмкін. Шындығында, оқшаулау енді жақсы емес. Бірақ, кем дегенде, жазудан қорғаудың қандай да бір түрі болуы мүмкін бе? Біз мазмұнын өзгертеміз (Cурет 4).
Ал біз үнемдейміз. Енді notepad.exe арқылы 1.txt файлын ашып көрейік. Әрине, құмсалғышта notepad.exe файлын іске қосайық (Cурет 5).
Міне, біз осыны айтып отырмыз. Екі оқшауланған қолданба бір-бірінен оқшауланбаған. Мұндай оқшаулаудың неліктен екені толық түсініксіз болып шықты. Тіпті төлем бағдарламасы компьютердегі жергілікті қалталарға қол жеткізе алмай, виртуалдандырылған каталогтағы барлығын шифрлай алады, ал егер сәттілік болса, желі ресурстарында да шифрлай алады, өйткені құм жәшігінің параметрлері барлық оқшауланған қолданбалар үшін бірдей.
№2 нюанс немесе төмен оқшаулау
Иә, оқшауланған процестер жүйенің сенімді бөлігіне жете алмайды... бірақ іске асырудың көпшілігінде ол тек жазуға арналған. Яғни, олар іс жүзінде ешқандай шектеусіз кез келген жерден оқи алады және жиі желіге қол жеткізе алады. Бұл, шамасы, үлкен үйлесімділік үшін жасалды, бірақ оны оқшаулау деп атауға болмайды.
Өзіңіз таңдаған құм жәшігімен қарапайым тәжірибе жасап көріңіз. Қатты дискіде каталог жасаңыз. Мынаны айтайық: E:\Photos. Оған, мысалы, фотосуретті салыңыз (Cурет 6).
Құм жәшігінде Internet Explorer бағдарламасын іске қосыңыз және бұл кескінді, мысалы, rghost-қа жіберіп көріңіз.
Қалай екен? Болды ма? Егер эксперимент сәтті болса, бұл өте жақсы емес. Одан да сорақысы, егер құм жәшігінде оқшауланған қолданбалар қол жеткізе алмайтын каталогтарды көрсету мүмкіндігі болмаса. Оқшауланған қолданбалар ағымдағы пайдаланушы каталогтарынан деректерді оқи алатын болса, бұл жақсы емес.
Көптеген іске асыруларда файлдық жүйе мен тізілімді виртуалдандыру «талап бойынша көшіру» принципіне негізделген. Яғни, егер файлды жай ғана оқу керек болса, виртуалды каталогта аналогы болмаса, ол бастапқы каталогтан оқылады. Егер сол файл виртуалды каталогта болса, онда оқшауланған қолданба онымен жұмыс істейді. Виртуалды тізілім туралы да солай айтуға болады. Файлды нақты жолға жазуға тырысқанда, ол виртуалды файлдық жүйеге жазылатыны анық. Әрдайым дерлік.
Осылайша, егер зиянды бағдарлама осындай құмсалғышта «оқшауланған» болса, онда ол барлық басқа «оқшауланған» процестерге, жүйедегі барлық дерлік оқылатын деректерге және виртуалдандырылған (оқшауланған қолданбаларда сақталған) деректерге (олар) толық қол жеткізе алады. жиі барлық оқшауланған қолданбаларға ортақ) жазуға арналған.
№3 нюанс немесе «басқа велосипед жасайық, бұл өте қызық»
Жалғасы тек мүшелерге ғана қолжетімді
1-нұсқа. Сайттағы барлық материалдарды оқу үшін «сайт» қауымдастығына қосылыңыз
Белгіленген мерзімде қауымдастыққа мүше болу сізге БАРЛЫҚ Hacker материалдарына қол жеткізуге мүмкіндік береді, жеке жинақталған жеңілдіктеріңізді арттырады және кәсіби Xakep Score рейтингін жинауға мүмкіндік береді!
Сондықтан мен клиенттік қолданбамдағы оқшауланған сақтау файлын құлыптауға тырысамын, осылайша менің қолданбамның бірнеше даналары оған бір уақытта қол жеткізе алмайды. Мен келесі синтаксисті қолданамын:
LockStream = жаңа IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Бұл код менің қолданбамды құрылымның FileStream.Lock әдісінен NullReferenceException шығаруға мәжбүр етеді. Ұзындық үшін нөлден басқа мәнді қолдануға тырыстым. Мен файлға байт жазуға тырыстым, содан кейін тек сол байтты блоктадым. Мен не істесем де, дәл сол NullReferenceException мені алаңдатады. Оқшауланған сақтау кезінде мұның мүмкін екенін біреу біледі ме?
Сондай-ақ мен бұл әдісті Silverlight қолданбасында үйреніп жатырмын, Silverlight файлды құлыптауды қолдай ма? MSDN құжаттары бұлай емес екенін көрсетеді, бірақ мен MVP-тен бұл жазбаны көрдім, ол солай дейді.
Жаңарту: Microsoft корпорациясы Connect қолданбасына жіберген қатені түзетті, бірақ ол жақтаудың 4-нұсқасында шығарылмады. Ол келесі SP немесе толық шығарылымда қол жетімді болуы керек.
42 жауап
Бұл Framework қатесіне ұқсайды. Мүмкін мен қателескен шығармын, өйткені бұл шындық болу үшін тым үлкен.
Рефлекторы бар .NET 3.5 SP1 бастапқы кодын қарап отырып, IsoStorageFileStream бағдарламасының өлшемсіз негізгі конструкторды (FileStream()) шақыратынын таба аласыз, бұл нақты инициализацияланбаған негізгі сыныпқа әкеледі. IsolatedStorageFileStream FileStream данасын жасайды және оны қайта анықтайтын барлық әдістерде (Жазу, Оқу, Жуу, Іздеу және т.б.) пайдаланады. Бір қызығы, ол өзінің негізгі класын тікелей пайдаланбайды.
Бірақ құлыптау және құлыпты ашу қайта анықталмайды және олар әлі де бос (пайдаланылған конструктор параметрсіз болғандықтан) жеке өрісті (_handle) қажет етеді. Олар бұл нөл емес деп есептейді және оны ойнап, NRE деп атайды.
Қорытындылай келе, құлыптау және құлыпты ашуға қолдау көрсетілмейді (немесе жұмыс істемейді).
Менің ойымша, сіз Mutex немесе Semaphore сияқты басқа құлыптау әдістерін қолдануға мәжбүрсіз.
“Eset NOD32 антивирусымен жойылған файлдарды қалай қалпына келтіруге болады” деген сұранысты Интернетте жиі көруге болады. Дегенмен, бұл мәселені шешудің көптеген мүмкін шешімдері жоқ, бұл көбінесе жоғалған құжаттарды қайтарудың жолдары жоқ деген сезім тудырады.
Ең алдымен, антивирус операциялық жүйенің немесе басқа орнатылған бағдарламалардың жұмысына қандай да бір түрде әсер етпейтін файлды ешқашан блоктамайтынын немесе жоймайтынын түсінуіңіз керек.
Тиісінше, егер сіздің құжатыңыз жойылған болса, оның зиянды екеніне сенімді түрде күмәндануға болады. Дегенмен, бағдарламаны жай ғана өзгертетін, оның процестеріне кедергі келтіретін, бірақ қауіп төндірмейтін файлдар да бар.
Антивируспен жойылған файлды қалпына келтіру жолдары бар ма? Міндетті түрде бар! Бұл мақалада біз Eset NOD32 қосымшасының не екенін, онымен жұмыс істеу мүмкіндіктерін және антивируспен жойылған файлдарды қалпына келтірудің тиімді әдісін қарастырамыз.
Eset NOD32 дегеніміз не?
Қазіргі әлемде антивирустық қосымшалардың қаншалықты маңызды және ең бастысы қаншалықты маңызды екені ешкімге құпия емес. Олар зиянды файлдардың басым көпшілігін жоюға ғана емес, сонымен қатар жүйеге қандай да бір жолмен зиян келтіретін ықтимал қауіптің алдын алуға көмектеседі.
Антивирус Eset NOD32, көбінесе жай NOD32 деп аталады, бұл 1987 жылы словакиялық Eset компаниясы жасаған антивирустық бағдарламалық қамтамасыз етудің толық пакеті.
Бағдарламаның екі нұсқасы бар:
- Үй нұсқасы.
- Бизнес нұсқасы.
Бизнес нұсқасы мен үй нұсқасы арасындағы негізгі айырмашылық қашықтан басқару мүмкіндігі және кросс-платформалық қорғаныстың болуы. Кез келген қажеттіліктерді қанағаттандыру үшін бағдарламаны оңай және икемді түрде теңшеуге мүмкіндік беретін мүмкіндік кем емес жағымды.
Eset NOD32. Антивирусты қалай қосуға немесе өшіруге болады?
Көбінесе белгілі бір бағдарламаны орнатқан кезде бізден антивирусты өшіру қажет болады, өйткені әйтпесе ол маңызды файлды «жейді», онсыз қолданба іске қосылмайды.
Антивирусты қосу/өшіру туралы сұраққа жауап іздеудің тағы бір жалпы себебі - «қорғаушының» ресурстарды тұтынуын азайту мақсаты. Бұл антивирустардың жұмысының ерекшелігіне байланысты - олар әдетте пассивті күйде болса да жеткілікті үлкен жадты алады, ал басқа «ауыр» бағдарламаларды іске қосқан кезде кейде қорғауды кідірту қажет.
Сонымен, NOD32 қосу немесе өшіру тапсырмасын қалай орындауға болады? Төмендегі нұсқауларда бұл мәселені қарастырайық.
1. Қолданбаны іске қосыңыз Eset NOD32және барыңыз Параметрлер.
2. Ашылған терезеде барлық орнатылған NOD32 қызмет пакеттерін табасыз. Олардың әрқайсысына кіріп, қажеттіліктеріңізге байланысты опцияларды қосыңыз/өшіріңіз.
Eset NOD32. Вирусқа қарсы карантин және ерекше жағдайлар.
Карантин- өндірушісіне және нұсқасына қарамастан (үй немесе бизнес) кез келген антивируста міндетті түрде болатын репозиторий. Ол антивирусқа сәйкес операциялық жүйеге қандай да бір жолмен зиян келтіруі мүмкін барлық күдікті файлдарды сақтайды.
Айта кету керек, бірде-бір құжат, тіпті ол троян болса да, бірден жойылмайды. Ең алдымен, одан туындайтын қауіп бейтараптандырылады: файл карантинге қойылады және антивирус пайдаланушының келесі әрекеттері бойынша жауапты шешім қабылдауын шыдамдылықпен күтеді - сіз вирус жұққан құжатты жоюға немесе оны ерекшелік ретінде белгілеуге болады. сәл кейінірек талқылаймыз.
Eset NOD32 антивирус карантинін қалай табуға болады? Өте оңай! Төмендегі нұсқауларды қарастырайық.
1. Жүгіру Eset NOD32және бөлімге өтіңіз Қызмет.
2. Қойындыны ашыңыз Қосымша қаражат. Ол төменгі оң жақ бұрышта орналасқан.
3. Енді бізде Eset антивирусының бөлігі ретінде ұсынатын қосымша қызметтердің толық тізімі бар. Ашық Карантин.
4. Ашылатын мәзірде NOD32 сізге барлық оқшауланған файлдарды басқаруға толық құқық береді.
Біз таптық карантинжәне оны тапты негізгі функциялары:
- Файлды оқшаулау. Бұл опция зиянды файлды қолмен табуға және антивирус өздігінен жеңе алмаса, оны блоктауға мүмкіндік береді.
- Қалпына келтіру. Кездейсоқ құлыпталған файлды қалпына келтіруге мүмкіндік беретін опция.
Оқшауланған құжатты жай қалпына келтіру әрқашан әрі қарай блоктауды болдырмайды. Мұны өзгертуге бола ма? қарастырайық.
1. Терезеден шықпай Карантин, құлпын ашқыңыз келетін файлды тінтуірдің оң жақ түймешігімен басыңыз.
2. Опцияны таңдаңыз Қалпына келтіру және сканерлеуден шығару.
3. Егер сіз өз әрекеттеріңізге сенімді болсаңыз, басыңыз Иә. Файлдың қауіпті немесе зиянсыз екенін білмесеңіз, басуды ұсынамыз Жоқ.
Eset NOD32 жойылған файлдар. Қалай қалпына келтіруге болады?
Антивирус- бұл Интернет арқылы біздің компьютерлерімізге енуі мүмкін ықтимал қауіптердің керемет санын ұстап тұратын жалғыз кедергі. Ол ұқсас жұмыс механизмі бар барлық файлдарды блоктайтыны табиғи нәрсе; жүйелік немесе бағдарламалық процестерге қандай да бір жолмен кедергі келтіретін құжаттар.
Өкінішке орай, антивирустар файлдарды ажырата алмайды, себебі кез келген зиянды файл Windows процесі ретінде оңай жасырынып, компьютерді ішінен бірте-бірте жойып жіберуі мүмкін.
Демек, бағдарлама өзінің пікірінше, белгілі бір қауіп төндіретін барлық нәрселерді бұғаттап, ДК-ны қорғауға тырысады. Көп жағдайда бұғатталған құжаттарды ерекшелік жасау арқылы оңай қалпына келтіруге болады, бірақ антивирус файлды өте қауіпті деп санаса, кейде олар толығымен жойылады.
Starus бөлімін қалпына келтіруфайлдық жүйемен күнделікті жұмыста жақсы көмекші болады. Қолданба сізді ұзақ мерзімді перспективада жеке құжаттарыңызға қатысты кез келген уайымнан босатады және оны қалай жоғалтқаныңызға қарамастан кез келген форматтағы файлды қалпына келтіруге көмектеседі.
Starus Partition Recovery құралын тіркемес бұрын «жоғалғанды қалпына келтірудің» барлық мүмкіндіктерін бағалай аласыз. Антивирус өшірген жеке құжаттарды қалпына келтіру үшін бағдарламаны жүктеп алыңыз және оны толығымен тегін көріңіз. Барлық мүмкіндіктер сынақ нұсқасында қол жетімді, соның ішінде қалпына келтірілген файлдарды алдын ала қарау. Алдын ала қарау терезесі белгілі бір файлдың зақымдалмағанына немесе қайта жазылмағанына және оны толығымен қалпына келтіруге болатынына көз жеткізуге мүмкіндік береді.
Мақала сізге пайдалы болды және сұрақтарыңызды шешуге көмектесті деп үміттенеміз.
4
Сондықтан менің C# клиенттік қолданбамдағы оқшауланған сақтау файлын құлыптауға тырысамын, осылайша менің қолданбамның бірнеше даналары оған бір уақытта қол жеткізе алмайды. Мен келесі синтаксисті қолданамын:
LockStream = жаңа IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
Бұл код менің қолданбамның NullReferenceException файлын фреймворктің FileStream.Lock әдісіне шығаруына себеп болады. Ұзындық үшін нөлден басқа мәнді қолдануға тырыстым. Мен файлға байт жазуға тырыстым, содан кейін тек сол байтты бұғаттадым. Мен не істесем де, дәл сол NullReferenceException мені алаңдатады. Оқшауланған сақтау арқылы мұның мүмкін екенін біреу біледі ме?
Сондай-ақ мен бұл әдісті Silverlight қолданбасында үйреніп жатырмын, Silverlight файлды құлыптауды қолдай ма? MSDN құжаттары бұлай емес екенін көрсететін сияқты, бірақ мен C# MVP-ден бұл жазбаны көрдім, ол солай дейді.
Жаңарту: Microsoft корпорациясы мен Connect қызметіне жіберген қатені түзетті, бірақ ол жақтаудың 4-нұсқасында шығарылмады. Ол келесі SP немесе толық шығарылымда қол жетімді болуы керек.
0
Жеке "m_fs" IsolatedStorageFileStream өрісінде құлыптау әдісін шақыру үшін рефлексияны пайдалану арқылы осы қатені айналып шыға алдым: lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof(IsolatedStorageFileStream).InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) FileStream ретінде; m_fs.Lock(0, long.MaxValue); - Бсигель 05 наурыз 10 2010-03-05 15:57:55
2 жауап
Сұрыптау:
Белсенділік
4
Бұл Framework қатесіне ұқсайды. Мүмкін мен қателескен шығармын, өйткені бұл шындық болу үшін тым үлкен.
Рефлекторы бар .NET 3.5 SP1 бастапқы кодын қарап отырып, IsoStorageFileStream қолданбасының өлшемсіз негізгі конструкторды (FileStream()) шақыратынын табасыз, бұл инициализацияланбаған негізгі сыныпқа әкеледі. IsolatedStorageFileStream FileStream данасын жасайды және оны қайта анықтайтын барлық әдістерде (Жазу, Оқу, Жуу, Іздеу және т.б.) пайдаланады. Бір қызығы, ол өзінің негізгі класын тікелей пайдаланбайды.
Бірақ құлыптау және құлыпты ашу қайта анықталмайды және олар әлі де бос (пайдаланылған конструктор параметрсіз болғандықтан) жеке өрісті (_handle) қажет етеді. Олар бұл нөл емес деп есептейді және оны ойнап, NRE деп атайды.
Қорытындылай келе, құлыптау және құлыпты ашуға қолдау көрсетілмейді (немесе жұмыс істемейді).