Sandbox antivirus
Care este cel mai amuzant lucru în această situație - web este aproape complet absente surse sigure de informații cu privire la acest subiect. Doar o grămadă de pielițe marketoidnoy și texte din care nu primesc una în stilul „o bunica a spus, asculta syudy“. Trebuie să completeze spațiile libere.
defini
Deci, loc cu nisip. Termenul nu a avut loc pe Sandbox copiilor, cum poate cred unii, ci din acel foc folosit. Acest rezervor cu nisip, în cazul în care puteți lucra în condiții de siguranță cu materiale inflamabile sau pentru a arunca ceva deja arde fără să se teamă pîrlească nimic altceva. Reflectând această analogie facilități tehnice la componenta software, poate fi determinată ca o cutie cu nisip moale „mediu de execuție izolat cu drepturi controlate.“ Acesta este modul în care, de exemplu, funcționează Sandbox Java-mașină. Și orice altă cutie de nisip, de asemenea, indiferent de destinație.
Revenind la anti-Sandbox, esența, care este apărarea sistemului de operare de bază de conținut potențial periculoase, există trei modele de bază ale spațiului mediu de testare izolare de restul sistemului.
- Izolarea pe baza de virtualizare completă
Utilizarea oricărei mașini virtuale ca un strat protector peste sistemul de operare musafir care rulează browser-ul și alte programe potențial nedorite, prin care utilizatorul poate obține, oferă un nivel destul de ridicat de protecție a sistemului de lucru de bază.
Dezavantajele acestei abordări, în plus față de distribuție a mărimii monstruoasă și un consum puternic de resurse, înrădăcinate în disconfortul schimbului de date între sistemul principal și o cutie cu nisip. În plus, necesitatea de a reveni în mod constant starea sistemului de fișiere și registru la sursa pentru a elimina contaminarea din sandbox. Dacă nu, atunci, de exemplu, agenții vor continua boților de spam să lucreze în spațiul de siguranță, ca și cum nimic nu sa întâmplat. Blocul lor Sandbox nimic. În plus, nu este clar ce să facă cu medii de stocare portabile (unitate USB, de exemplu) sau descărcate de pe internet jocuri care pot fi marcaje rău intenționate.
Exemple de astfel de abordare, programe
Nu este necesar să se efectueze un motor de mașină virtuală poate podpihivat procese într-un mediu de testare obiecte duplicat și sistemul de fișiere registru, pune într-o aplicație de pe cutia cu nisip mașina utilizatorului. Incercarea de a modifica obiectele de date ar duce la o schimbare în doar copii în cadrul sandbox, datele reale nu vor avea de suferit. Controlul drepturilor face imposibilă pentru a ataca sandbox de bază din interiorul sistemului prin intermediul interfețelor sistemului de operare.
Dezavantajele acestei abordări sunt de asemenea evidente - schimbul de date între virtuală și lumea reală este împiedicată, necesară curățarea constantă a Sandbox containere de virtualizare pentru a reveni la starea inițială, necontaminate. De asemenea, este posibil defalcare sau eludare a acestui tip și randament Leagane cod de program rău intenționat în principal, sistemul neprotejat.
Exemple de astfel de abordare, programe
Sandboxie, BufferZone, ZoneAlarm câmp de forță, izolat miercuri Kaspersky Internet Security, groapa cu nisip Comodo Internet Security, groapa cu nisip Avast Internet Security.
Toate încercările de a schimba obiectele sistemul de fișiere și registru nu este virtualizat, dar luate în considerare în ceea ce privește un set de reguli interne de protecție. Cu cât sunt mai complete și corecte un set, mai mare de protecție împotriva infecției sistemului de bază prevede programul. Adică, această abordare reprezintă un compromis între ușurința schimbului de date între procesele într-un mediu de testare și a sistemului real și nivelul de protecție împotriva modificărilor rău intenționate. Controlul drepturilor face imposibilă pentru a ataca sandbox de bază din interiorul sistemului prin intermediul interfețelor sistemului de operare.
Avantajele acestei abordări includ, de asemenea, nu este nevoie de o revenire permanentă a sistemului de fișiere și registru la starea inițială.
Dezavantajele acestei abordări - complexitatea software-ului a punerii în aplicare a setului mai precisă și adecvată a normelor, numai restrîngerii parțială în sandbox. La fel ca orice cutie de nisip, care lucrează pe baza sistemului de operare, ocolind orice defecțiune posibilă a unui mediu sigur și în afară de cod rău intenționat, în principal, un mediu de execuție nesigur.
Exemple de astfel de abordare, programe
DefenseWall, politica de restricție pentru Windows Software, Limited cont utilizator + ACL.
Exemple de astfel de abordare, programe
GeSWall, Control cont utilizator Windows (UAC).
Metode de a lua o decizie cu privire la plasarea sub protecție
Să trecem la metodele de procesele de luare a deciziilor la sediul sub protecția sandbox. Un total de trei baze:
- Pe baza regulilor
Aceasta este, modulul de decizie se uită la baza interioară a regulilor de lansarea anumitor aplicații sau fișiere potențial periculoase și, în funcție de acest proces începe în sandbox sau în afara acestuia, pe sistemul primar.
Avantajele acestei abordări - cel mai înalt nivel de protecție. Închis ca un fișiere de program malware, care provin din locuri potențial periculoase prin spațiul de siguranță și non-fișiere executabile care conțin script-uri rău intenționate.
Dezavantaje - poate fi o problemă atunci când instalarea software-ului, care a venit prin spațiul de siguranță (deși liste albe și simplifică foarte mult sarcina), necesitatea de a porni manual procesele în principal, zona de încredere pentru actualizări de software, actualizate numai în sine (de exemplu, Mozilla FireFox, Utorrent sau Opera ).
Exemple de astfel de abordare, programe
DefenseWall, Sandboxie, BufferZone, GeSWall.
Când creați un nou utilizator se acordă dreptul de acces la anumite resurse, precum și restricțiile privind accesul la altul. Dacă este necesar, programul de lucru a fost interzis pentru un anumit utilizator sau o resursă care aveți nevoie să te deconectezi un utilizator în sistem, cu un set adecvat de drepturi și rulați programul sau rulați-l sub un astfel de utilizator fără a pereloginivaniya membru principal de operare (Fast Comutare utilizatori).
Avantajele acestei abordări - un nivel relativ bun de securitate de ansamblu a sistemului.
Dezavantaje - protecția non-trivialitate a controlului, posibilitatea de a infecției prin permis să modifice resursele deoarece unitatea de decizie nu urmărește astfel de modificări.
Exemple de astfel de abordare, programe
Deci, care rulează Windows Limited cont și de protecție bazate pe RSP și ACL.
În acest caz, modulul de decizie „arată“ la fișierul executabil și încearcă să ghicească bazate pe dovezi indirecte, rulați-l pe sistemul gazdă sau într-o cutie cu nisip.
Avantajele acestei abordări - este mai transparent pentru utilizator, decât pe bază de reguli. Mai ușor de întreținut și de vânzări pentru compania - producător.
Dezavantaje - inferioritatea o astfel de protecție. În plus, modulul euristica că decizia ar putea „dor“ de pe modulul executabil, astfel de soluții arată practic zero rezistență la non-fișiere executabile care conțin script-uri rău intenționate. Ei bine, plus o serie de probleme (de exemplu, instalarea de extensii rău intenționate din interiorul browser-ul, de la isprăvile corpului).
Exemple de astfel de abordare, programe
Kaspersky Internet Security HIPS, groapa cu nisip Comodo Internet Security.
Separat, am să acorde o atenție la metoda de utilizare a sandbox ca un mijloc euristice, și anume, rula programul în ea pentru o anumită perioadă de timp, urmată de o analiză de acțiune și adoptarea soluției generale de malignitate - o cutie cu nisip antivirus cu drepturi depline, această abordare nu este numit. Ei bine, ce fel de cutie cu nisip antivirus, care este stabilit doar pentru o perioadă scurtă de timp, cu posibilitatea de retragere completă?
Moduri de utilizare a anti-virus de testare securizate
Există doar două cele mai importante:- modul de protecție în timp real
La începutul procesului, care poate fi o amenințare pentru sistemul de bază, acesta este plasat automat în sandbox.
Utilizatorul se decide să lanseze orice altă aplicație în sandbox.
Leagane cu un mod de operare principal ca „protecție permanentă“ pot avea de asemenea și modul de pornire manuală. Precum și vice-versa.
Sandbox cu izolație pe baza unor norme caracterizate prin utilizarea de protecție în timp real, deoarece schimbul de date între sistem și procesele principale din cadrul sandbox este complet transparent.
Pentru Sandbox euristică este, de asemenea, caracterizat prin utilizarea de protecție în timp real, deoarece schimbul de date între sistem și procesele principale din cadrul sandbox este absolut irelevant sau redus la acel contor.
Pentru Sandbox neevristicheskih cu izolație pe baza modului caracteristic de mână de protecție virtualizare parțială. Acest lucru se datorează comunicațiilor trudeau între procesele într-un mediu de testare și sistemul de operare principal.
exemple:- DefenseWall (Sandbox bazat pe reguli izolate) are un mod de funcționare principal „regula permanentă“. Cu toate acestea, cererile de pornire manuală în interiorul sandbox, precum și din afara acesteia, sunt prezente.
- Sandboxie (Sandbox și izolate pe baza de virtualizare parțială) are un mod principal de funcționare „manual“. Dar atunci când cumpără modul „regula permanentă“, puteți activa licența.
- Sandbox Comodo Internet Security (Sandbox cu virtualizare bazate pe izolație parțială) are un mod de funcționare principal „constantă euristice“. Cu toate acestea, cererile de lansare manual în cadrul sandbox, precum și în afara acesteia, sunt prezente.
concluzie
Aceasta este, în principalele lucruri, de bază, orice profesionist care se respectă ar trebui să știe despre Leagane anti-virus. Fiecare program individual de caracteristicile lor de punere în aplicare pe care le dețineți deja va trebui să găsească, să înțeleagă și să aprecieze avantajele și dezavantajele pe care le poartă.