Windows에서 의심스러운 프로세스를 격리하고 OS 자체를 손상시키지 않는 방법은 무엇입니까? 하드웨어 가상화 및 커널 후크 없이 OS의 문서화된 기본 제공 보안 메커니즘을 사용하여 강력한 Windows 호환 소프트웨어 샌드박스를 생성하는 방법은 무엇입니까? 소프트웨어 샌드박스의 개발자(및 궁극적으로 소비자)가 직면하는 가장 일반적인 문제에 대해 이야기하겠습니다. 그리고 물론 우리는 우리만의 솔루션을 제공할 것입니다 :).
소개, 또는 샌드박스 없이 사는 것이 얼마나 나쁜지
전문가들 사이에는 그들이 말하고 싶지 않은 몇 가지 공리가 있습니다. 그리고 공리는 어떻습니까? 그들은 그렇습니다. 2와 2처럼 모든 사람에게 분명한 것 같습니다. 예를 들어, 그 중 하나인 서명 기반 바이러스 백신은 보호하지 않습니다. 즉, 그들은 보호하지 않고 그게 다입니다. 이것에 대해 많은 것들이 여러 번 말해지고 되풀이되었습니다. 예, 아름다운 프레젠테이션, 춤 및 춤과 함께. 그리고 랜섬웨어와 같은 온갖 불쾌한 것들의 전염병은 서명 및 휴리스틱 기술의 비효율성에 대한 증거 중 하나입니다. 모든 종류의 암호화 및 난독 처리기는 이미 알려진 맬웨어를 탐지로부터 보호하는 문제를 성공적으로 해결했으며 한동안 이 맬웨어는 바이러스 백신에 의해 탐지되지 않았습니다. 이번에는 누군가가 기분이 나쁘고 누군가가 기분이 좋을만큼 충분합니다.
즉, 0day에 관한 것도 아닙니다. 오래되고 잘 알려진 턱수염 맬웨어를 가져 와서 변형하고 행동 서명을 제거하고 (게으른 사람을 위해 며칠 동안 작업) 다시 사용할 수 있습니다. 당신이 지루해질 때까지 또는 그들이 당신을 감옥에 넣을 때까지. 동시에, 이 가장 "나쁜" 일이 일어나지 않도록 치료제를 파는 사람들은 그것과 아무 관련이 없는 것처럼 보입니다. 그들은 진지한 얼굴로 어떤 종류의 게시판을 게시하고 인터넷에서 위생에 대해 이야기합니다. 이 위생이 완전히 관찰되면 바이러스 백신, 특히 유료 바이러스 백신이 실제로 필요하지 않다는 것을 잊었습니다.
샌드박스 및 구현 기능
따라서 바이러스 백신은 저장하지 않으며 때로는 이미 존재하는 것을 깨뜨립니다. "상대방으로부터 보호에 접근하고 프로세스를 서로 격리합시다"라고 무한히 똑똑한 누군가가 말했습니다. 실제로 의심스러운 프로세스가 샌드박스라고 하는 격리된 환경에서 실행될 때 유용합니다. 샌드박스에서 실행되는 맬웨어는 한계를 벗어나 전체 시스템에 해를 끼칠 수 없습니다. 이것은 해결책이 될 수 있지만 기존 샌드박스 구현에는 미묘한 차이가 있습니다...
다음으로 프로세스 격리 도구 또는 HIPS(호스트 기반 침입 방지 시스템 - 워크스테이션용 침입 방지 시스템)를 선택해야 할 때 확실히 유용한 지식인 샌드박스 구축의 모든 복잡성에 대해 논의할 것입니다.
뉘앙스 번호 1, 또는 모두를 위한 하나의 샌드박스
대부분의 샌드박스는 실제로 프로세스 격리를 제공하지 않습니다. 실제로 대부분의 구현에서 보호 시스템은 신뢰할 수 있는 부분과 신뢰할 수 없는 부분의 두 부분으로 나뉩니다. 정상적인 프로세스는 신뢰할 수 있는 부분에서 실행되고 격리된 프로세스는 신뢰할 수 없는 부분에서 실행됩니다. 즉, 격리된 모든 프로세스는 동일한 샌드박스에서 실행되고 서로 및 서로의 리소스에 액세스할 수 있으며 동일한 레지스트리와 동일한 파일 시스템을 사용합니다.
따라서 맬웨어는 샌드박스 자체에 발판을 마련하고 격리된 애플리케이션 중 하나(또는 여러 격리된 애플리케이션 또는 그 중 하나)에서 간헐적으로 시작할 수 있습니다. 동시에 샌드박스는 종종 격리된 프로세스의 작업을 기록하지 않습니다. 샌드박스에서 HIPS가 맹세하는 작업은 아주 좋지 않은 격리를 위해 조정된 약간의 반응 없이 상당히 무난합니다.
격리가 이런 식으로 배열되어 있는지 확인하는 방법은 무엇입니까? 매우 간단합니다! 샌드박스에서 두 개의 애플리케이션을 실행합니다. 예를 들어 notepad.exe 및 wordpad.exe입니다. notepad.exe로 텍스트 파일 1.txt를 만듭니다.
물론 이 파일은 데스크탑이 아니라 "가상" 디렉토리에 저장됩니다. 워드패드로 열어보십시오(그림 3).
따라서 한 샌드박스 응용 프로그램에서 만든 파일을 다른 샌드박스 응용 프로그램을 사용하여 열 수 있습니다. 현실을 직시하자, 격리는 그다지 좋지 않습니다. 그러나 적어도 기록으로부터 어떤 종류의 보호가 있을 것입니까? 내용을 변경합니다(그림 4).
그리고 우리는 저장합니다. 이제 notepad.exe를 사용하여 1.txt 파일을 열어 보겠습니다. 물론 샌드박스에서 notepad.exe를 실행해 봅시다(그림 5).
그리고 여기에 우리가 이야기한 내용이 있습니다. 두 개의 격리된 응용 프로그램은 서로 격리되지 않습니다. 그러한 격리가 왜 그렇게 명확하지 않은지 밝혀졌습니다. 컴퓨터의 로컬 폴더에 액세스할 수 없는 랜섬웨어도 가상화된 디렉터리의 모든 것을 암호화할 수 있으며 운이 좋으면 네트워크 리소스도 암호화할 수 있습니다. 샌드박스 설정은 격리된 모든 애플리케이션에 대해 동일하기 때문입니다.
뉘앙스 번호 2 또는 과소 격리
예, 샌드박스 처리된 프로세스는 시스템의 신뢰할 수 있는 부분에 도달할 수 없습니다... 하지만 대부분의 구현에서는 쓰기 전용입니다. 즉, 거의 제한 없이 어디에서나 읽을 수 있고 종종 네트워크에 액세스할 수 있습니다. 이것은 분명히 호환성을 높이기 위해 수행되지만 격리라고 할 수는 없습니다.
선택한 간단한 샌드박스 실험을 시도합니다. 하드 드라이브에 디렉토리를 만듭니다. E:\Photos 라고 해봅시다. 예를 들어 사진을 넣으십시오 (그림 6).
샌드박스에서 Internet Explorer를 실행하고 주어진 이미지를 rghost로 전송해 봅니다.
그래서 어때? 일어난? 경험이 성공하면 그다지 좋지 않습니다. 더 나쁜 것은 샌드박스가 샌드박스 응용 프로그램이 액세스할 수 없는 디렉토리를 지정하는 기능이 없는 경우입니다. 그리고 격리된 응용 프로그램이 현재 사용자의 디렉터리에서 데이터를 읽을 수 있다면 전혀 좋지 않습니다.
대부분의 구현에서 파일 시스템 및 레지스트리의 가상화는 "주문형 복사" 원칙에 따라 구축됩니다. 즉, 파일을 단순히 읽어야 하는 경우 가상 디렉터리에 아날로그가 없으면 소스 디렉터리에서 읽습니다. 동일한 파일이 가상 디렉터리에 있으면 격리된 응용 프로그램이 해당 파일과 함께 작동합니다. 가상 레지스트리에 대해서도 마찬가지입니다. 음, 실제 경로를 따라 파일을 쓰려고 하면 가상 파일 시스템에 쓰게 될 것이 분명합니다. 거의 언제나.
따라서 맬웨어가 이러한 샌드박스에서 "격리"되면 다른 모든 "격리된" 프로세스, 읽을 수 있는 시스템의 거의 모든 데이터 및 가상화(격리된 응용 프로그램에 의해 저장됨)에 대한 전체 액세스 권한을 가질 수 있습니다. 기록을 위한 데이터(종종 격리된 모든 애플리케이션에 공통됨).
뉘앙스 번호 3, 또는 "다른 자전거를 만들자, 너무 재미있다"
회원만 계속 사용 가능
옵션 1. "사이트" 커뮤니티에 가입하여 사이트의 모든 자료 읽기
지정된 기간 동안 커뮤니티에 가입하면 모든 Hacker 자료에 액세스할 수 있고 개인 누적 할인이 증가하며 전문적인 Xakep 점수 등급을 축적할 수 있습니다!
그래서 내 애플리케이션의 여러 인스턴스가 동시에 액세스할 수 없도록 내 클라이언트 애플리케이션에서 격리된 저장소 파일을 잠그려고 합니다. 다음 구문을 사용하고 있습니다.
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
이 코드로 인해 내 응용 프로그램은 구조체의 FileStream.Lock 메서드에서 NullReferenceException을 발생시킵니다. 길이에 0이 아닌 값을 사용해 보았습니다. 파일에 바이트를 쓰려고 시도한 다음 해당 바이트만 잠갔습니다. 내가 무엇을 하든 동일한 NullReferenceException이 나를 괴롭힙니다. 격리된 스토리지에서 이것이 가능한지 아는 사람이 있습니까?
또한 Silverlight 응용 프로그램에서 이 기술을 조사하고 있는데 Silverlight가 파일 잠금을 지원합니까? MSDN 문서에는 그렇지 않은 것으로 나와 있지만 MVP의 이 게시물에서는 그렇다고 합니다.
업데이트: Microsoft는 내가 Connect에 제출한 버그를 수정했지만 프레임워크 버전 4에서는 릴리스되지 않았습니다. 다음 SP 또는 전체 릴리스에서 사용할 수 있기를 바랍니다.
42 응답
이것은 Framework의 버그처럼 보입니다. 사실이 되기에는 너무 커서 내가 틀렸을 수도 있습니다.
Reflector가 있는 .NET 3.5 SP1 소스 코드를 보면 IsolStorageFileStream이 무차원 기본 생성자(FileStream())를 호출하여 유효하지 않게 초기화된 기본 클래스를 생성한다는 것을 알 수 있습니다. IsolatedStorageFileStream은 FileStream을 인스턴스화하고 이를 재정의하는 모든 메서드(Write, Read, Flush, Seek 등)에서 사용합니다. 기본 클래스를 직접 사용하지 않는 것이 이상합니다.
그러나 잠금 및 잠금 해제는 재정의되지 않으며 여전히 null인 개인 필드(_handle)가 필요합니다(사용된 생성자가 매개 변수가 없기 때문). 그들은 그것이 null이 아니라고 가정하고 재생하고 NRE를 호출합니다.
요약하면 잠금 및 잠금 해제가 지원되지 않거나 작동하지 않습니다.
Mutex 또는 Semaphore와 같은 다른 차단 방법을 사용해야 한다고 생각합니다.
“Eset NOD32 바이러스 백신으로 삭제된 내 파일을 복구하는 방법"라는 요청은 인터넷에서 흔히 볼 수 있는 요청이다. 그럼에도 불구하고 이 문제에 대한 가능한 해결책이 그리 많지 않아 잃어버린 문서를 반환할 방법이 없다는 느낌을 자주 받습니다.
우선, 바이러스 백신은 어떤 식으로든 운영 체제나 설치된 다른 프로그램의 기능에 영향을 미치지 않는 파일을 차단하거나 삭제하지 않는다는 점을 이해해야 합니다.
따라서 문서가 삭제된 경우 악성 여부를 안전하게 의심할 수 있습니다. 그러나 단순히 프로그램을 수정하여 프로세스를 방해하지만 그 자체로는 위협이 되지 않는 파일도 있습니다.
바이러스 백신으로 삭제된 파일을 복구할 수 있는 방법이 있습니까? 확실히 있습니다! 이 기사에서는 Eset NOD32 응용 프로그램이 무엇인지, 작업 기능 및 바이러스 백신으로 지운 파일을 효과적으로 복구하는 방법을 살펴봅니다.
에셋 NOD32란?
현대 세계의 누구에게나 관련 안티바이러스 응용 프로그램이 얼마나 중요하고 가장 중요한지는 비밀이 아닙니다. 대부분의 악성 파일을 제거할 수 있을 뿐만 아니라 어떤 식으로든 시스템에 해를 끼치는 잠재적인 위협이 나타나기 전에 예방할 수 있습니다.
바이러스 백신 에셋 NOD32가장 일반적으로 간단히 NOD32라고 하는 는 1987년에 슬로바키아 회사인 Eset에서 만든 전체 바이러스 백신 소프트웨어 제품군입니다.
프로그램에는 두 가지 버전이 있습니다.
- 홈 버전.
- 비즈니스 버전.
비즈니스 버전과 홈 버전의 주요 차이점은 원격 관리 가능성과 교차 플랫폼 보호의 가용성입니다. 모든 요구에 맞게 프로그램을 쉽고 유연하게 사용자 정의할 수 있는 기능도 그다지 유쾌하지 않습니다.
에셋 NOD32. 바이러스 백신을 활성화 또는 비활성화하는 방법은 무엇입니까?
특정 프로그램을 설치할 때 바이러스 백신을 비활성화해야 하는 경우가 종종 있습니다. 그렇지 않으면 응용 프로그램을 시작할 수 없는 중요한 파일을 "먹을" 것이기 때문입니다.
바이러스 백신 활성화/비활성화 문제에 대한 답을 찾는 또 다른 일반적인 이유는 "방어자"의 리소스 소비를 줄이는 것이 목표입니다. 이것은 바이러스 백신 작업의 특성이 영향을 미치는 곳입니다. 일반적으로 수동 상태에 있어도 상당히 많은 양의 메모리를 차지하며 다른 "무거운"프로그램을 시작할 때 때때로 보호를 일시 중지해야합니다.
그렇다면 NOD32를 활성화 또는 비활성화하는 작업을 어떻게 완료합니까? 아래 지침에서 이 문제를 살펴보겠습니다.
1. 애플리케이션 실행 에셋 NOD32그리고 로 이동 설정.
2. 열리는 창에서 설치된 모든 NOD32 서비스 패키지를 찾을 수 있습니다. 각각을 방문하여 필요에 따라 옵션을 활성화/비활성화하십시오.
에셋 NOD32. 바이러스 백신 격리 및 제외.
건강격리- 제조업체 및 버전(가정 또는 비즈니스)에 관계없이 모든 바이러스 백신에 반드시 존재하는 리포지토리입니다. 바이러스 백신에 따르면 어떤 식 으로든 운영 체제에 해를 끼칠 수있는 모든 의심스러운 파일을 저장합니다.
트로이 목마일지라도 어떤 문서도 즉시 삭제되지 않는다는 사실은 주목할 가치가 있습니다. 우선, 여기에서 발생하는 위협이 무력화됩니다. 파일이 검역되고 바이러스 백신은 추가 조치에 대한 사용자의 책임 있는 결정을 참을성 있게 기다립니다. 감염된 문서를 삭제하거나 예외로 표시할 수 있습니다. 나중에.
Eset NOD32 안티바이러스 검역소를 찾는 방법은 무엇입니까? 매우 간단합니다! 아래 지침을 살펴보겠습니다.
1. 달리다 에셋 NOD32섹션으로 이동 서비스.
2. 탭 열기 추가 자금. 오른쪽 하단 모서리에 있습니다.
3. 바이러스 백신의 일부로 Eset에서 제공하는 추가 서비스의 전체 목록이 있습니다. 열려 있는 건강격리.
4. 열리는 메뉴에서 NOD32는 격리된 모든 파일을 관리할 수 있는 전체 권한을 부여합니다.
우리는 발견 건강격리그리고 그를 찾았다 주요 기능:
- 파일 분리. 이 옵션을 사용하면 바이러스 백신이 자체적으로 대처할 수 없는 경우 악성 파일을 수동으로 찾아 차단할 수 있습니다.
- 복원하다. 실수로 잠긴 파일을 복원할 수 있는 옵션입니다.
단순히 격리된 문서를 복원한다고 해서 추가 잠금이 항상 방지되는 것은 아닙니다. 변경할 수 있습니까? 생각해 봅시다.
1. 창문을 떠나지 않고 건강격리, 잠금을 해제하려는 파일을 마우스 오른쪽 버튼으로 클릭합니다.
2. 옵션을 선택하세요 스캔에서 복원 및 제외.
3. 자신의 행동에 자신이 있다면 클릭 예. 파일이 위험한지 무해한지 모르는 경우 클릭하는 것이 좋습니다. 아니요.
Eset NOD32 삭제된 파일. 복구하는 방법?
바이러스 백신인터넷을 통해 컴퓨터에 침투할 수 있는 엄청나게 많은 위협을 막는 유일한 장벽입니다. 유사한 작동 메커니즘을 가진 모든 파일을 절대적으로 차단하는 것은 매우 자연스러운 일입니다. 어떤 식으로든 시스템 또는 소프트웨어 프로세스를 방해하는 문서.
안타깝게도 바이러스 백신은 파일을 구별할 수 없습니다. 악성 파일은 쉽게 Windows 프로세스로 위장하여 내부에서 컴퓨터를 점차적으로 파괴할 수 있기 때문입니다.
결과적으로 프로그램은 PC를 보호하기 위해 가능한 모든 방법을 시도하고 특정 위협을 제기하는 모든 것을 차단합니다. 대부분의 경우 차단된 문서는 예외를 설정하는 것만으로 쉽게 복원할 수 있지만 바이러스 백신이 파일을 매우 위험하다고 판단하는 경우 완전히 삭제되는 경우도 있습니다.
Starus 파티션 복구파일 시스템에 대한 일상적인 작업에서 좋은 도우미가 될 것입니다. 이 응용 프로그램은 장기적으로 개인 문서에 대한 우려를 덜어주고 파일을 어떻게 잃어버렸는지에 관계없이 모든 형식의 파일을 복구하는 데 도움이 됩니다.
Starus 파티션 복구 도구를 등록하기 전에 "분실된 것을 반환"할 수 있는 모든 기회를 평가할 수 있습니다. 바이러스 백신으로 지워진 개인 문서를 복구하는 프로그램을 다운로드하고 무료로 사용해 보세요. 복구된 파일의 미리보기를 포함하여 모든 기능을 평가판에서 사용할 수 있습니다. 미리보기 창에서 특정 파일이 손상되거나 덮어쓰이지 않았으며 완전히 복구 가능한지 확인할 수 있습니다.
이 기사가 귀하에게 유용하고 제기된 질문을 해결하는 데 도움이 되었기를 바랍니다.
4
그래서 내 애플리케이션의 여러 인스턴스가 동시에 액세스할 수 없도록 C# 클라이언트 애플리케이션에서 격리된 저장소 파일을 잠그려고 합니다. 다음 구문을 사용하고 있습니다.
LockStream = new IsolatedStorageFileStream("my.lck", FileMode.OpenOrCreate, isoStore); lockStream.Lock(0, 0);
이 코드로 인해 내 애플리케이션은 프레임워크의 FileStream.Lock 메서드 내에서 NullReferenceException을 발생시킵니다. 길이에 0이 아닌 값을 사용해 보았습니다. 파일에 바이트를 쓰려고 시도한 다음 해당 바이트만 잠갔습니다. 내가 무엇을 하든 동일한 NullReferenceException이 나를 괴롭힙니다. 격리된 스토리지에서 이것이 가능한지 아는 사람이 있습니까?
또한 Silverlight 응용 프로그램에서 이 기술을 조사하고 있는데 Silverlight가 파일 잠금을 지원합니까? MSDN 문서는 그렇지 않다고 나타내는 것 같지만 C# MVP에서 이 게시물을 보았습니다.
업데이트: Microsoft는 내가 Connect에서 제출한 버그를 수정했지만 프레임워크 버전 4에서는 릴리스되지 않았습니다. 다음 SP 또는 전체 릴리스에서 사용할 수 있기를 바랍니다.
0
다음과 같이 개인 "m_fs"의 IsolatedStorageFileStream 필드에서 잠금 메서드를 호출하기 위해 리플렉션을 사용하여 이 오류를 해결할 수 있었습니다. lockStream = new IsolatedStorageFileStream("q.lck", FileMode.OpenOrCreate, isoStore); FileStream m_fs = typeof (IsolatedStorageFileStream) .InvokeMember(("m_fs"), BindingFlags.GetField | BindingFlags.NonPublic | BindingFlags.Instance, null, lockStream, null) as FileStream; m_fs.Lock(0, long.MaxValue); - 비시겔 3월 05일 10 2010-03-05 15:57:55
답변 2개
분류:
활동
4
이것은 Framework의 버그처럼 보입니다. 사실이 되기에는 너무 커서 내가 틀렸을 수도 있습니다.
리플렉터가 있는 .NET 3.5 SP1 소스 코드를 보면 IsolStorageFileStream이 무차원 기본 생성자(FileStream())를 호출하여 초기화되지 않은 기본 클래스를 생성한다는 것을 알 수 있습니다. IsolatedStorageFileStream은 FileStream을 인스턴스화하고 이를 재정의하는 모든 메서드(Write, Read, Flush, Seek 등)에서 사용합니다. 기본 클래스를 직접 사용하지 않는 것이 이상합니다.
그러나 잠금 및 잠금 해제는 재정의되지 않으며 여전히 null인 개인 필드(_handle)가 필요합니다(사용된 생성자가 매개 변수가 없기 때문). 그들은 그것이 null이 아니라고 가정하고 재생하고 NRE를 호출합니다.
요약하면 잠금 및 잠금 해제가 지원되지 않거나 작동하지 않습니다.