"A Microsoft nem sandboxolta a Windows Defender-t, így megtettem én"

 ( trey | 2017. augusztus 2., szerda - 17:43 )

A Windows Defender a támadók kiváló célpontja, mert jelen van és be van kapcsolva a windowsos gépek jelentős részén, a core komponense (MsMpEng) SYSTEM joggal fut és a Microsoft a biztonsági szakemberek figyelmeztetései ellenére sem sandboxolta még. Ezzel a Microsoft komoly kockázatnak teszi ki ügyfeleit. A Trail of Bits ezért úgy döntött, hogy sandboxolja a Microsoft helyett a Windows Defender-t, a kódot pedig megnyitotta Flying Sandbox Monster néven.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tegyük fel, hogy hozzáfér egy más felhasználó nevében futó process-hez, vírusgyanús tevékenységnek tűnik.
Hogy fogja bezárni vagy törölni sandbox-ból?

Talán ez is system joggal fog futni? Ez miatt gondolom:

Idézet:
Note: there is some trickery performed to make things work since this is a proof-of-concept that interfaces with an undocumented DLL.

+1

Ezt úgy szokás, hogy a működési mechanizmus a sandboxon kívül van, belülre az kerül, ami érdemben buzerálja az ismeretlen forrásból érkezett kódot. Aminek az eredménye az lesz, hogy 'ok', vagy bármi más (mondjuk crashel egyet a sandbox).
Pont, mint ahogy egy spam elemzőnek kéne mennie: külön processz, unprivileged userrel, kontrollált külső kapcsolódási lehetőségekkel megkapja a levelet, megnézi, okoskodik, az eredmény pedig egy szám, hogy mennyire spam a cucc. Aztán az MTA lesz az, ami az eredmény alapján elirányítja a levelet.

Mindezt Rust-ban...

Az baj, vagy jó?

Hat, ahogy a mondas tartja, "en a Rust szeretem"

Backdoort sandboxolni nem tök mindegy? Rosszabb nem lesz tőle. :D

--
trey @ gépház

Pontosítok: már egy ideje nézegetem, mint nyelvet, sok dolog tetszik (a szintaxisa mondjuk nem), azon törpölök, hogy belevágjak-e. (Mondjuk jobb dologra is el tudnám használni az időmet, ez is igaz)