Bemutatkozik a Windows Sandbox

 ( trey | 2018. december 19., szerda - 17:07 )

A Windows Kernel Internals blogon mutatja be Hari Pulapaka a Windows Sandbox-ot, a pehelysúlyú desktop környezetet, amelyet nem megbízható helyről származó alkalmazások elszeparált futtatására terveztek. Kipróbálásához Windows 10 Pro / Windows 10 Enterprise build 18301 vagy újabb Insider build szükséges. Élesben valamikor 2019 márciusában mutatkozhat be. További részletek róla itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nahát. Akkor itt az ideje, hogy lecsupasszák a rendszert tökig, majd mindent sandbox alatt futtassanak.

--
robyboy

Szerintem ez nem arra van. Az app szintű sandboxingra eddig is volt megoldásuk és használták is pár szolgáltatásnál: https://www.zdnet.com/article/windows-defender-becomes-first-antivirus-to-run-inside-a-sandbox/

LoL

A defenderes sérülékenységek kapcsán eddig az volt a baj, hogy miért pont a Defender nem fut sandbox-ban, amikor ezt más vírusirtok megoldották.

Más vírusirtók esetében nem maga a vírusírtó fut sandboxban, hanem a vizsgálandó programot futtatja ott. Így ha magában a vírusírtóban van a hiba azon ez nem segít. Pl.: https://googleprojectzero.blogspot.com/2015/06/analysis-and-exploitation-of-eset.html

Nem tudom elképzelni, hogy a Defender nem így működik.

A amennyire én tudom a Defenderben nincs OS-emulációs program elemzés/kód futtatás

Gondolod, hogy fogja és lefuttaja a binárist, lesz ami lesz alapon?
A többiek pedig a komplett Windows-t emulálják?

Amennyire én tudom a Defender gyanús kódrészleteket keres/futtatás közben figyeli az elindított programokat, míg más vírus keresők automatikusan, emulált windows környezetben elindítanak minden letöltött/csatolmányban kapott exe fájlt.

Comodo Antivirus includes a x86 emulator that is used to unpack and monitor obfuscated executables, this is common practice among antivirus products. The idea is that emulators can run the code safely for a short time, giving the sample enough time to unpack itself or do something that can be profiled.

I've found some memory corruption issues with the emulator, but Comodo also implement hundreds of shims for Win32 API calls, so that things like CreateFile, LoadLibrary, and so on appear to work to the emulated code. Astonishingly, some of these shims simply extract the parameters from the emulated address space and pass them directly to the real API, while running as NT AUTHORITY\SYSTEM. The results are then poked back in to the emulator, and the code continues.

The possible attacks here are too numerous to mention.

Here are some of the more obvious mistakes, let's start with USER32!GetKeyState ...

forrás: Comodo: Comodo Antivirus Forwards Emulated API calls to the Real API during scans

keygeneksze biztonságos futtatásához

+1

En inkabb arra lennek kivancsi, hogy a virusirtok altal virusosnak jelolt keygeneknek a valosagban hany szazaleka virusos. Mert van egy olyan erzesem, hogy <50%

Na. Akkor lassan eljutnak a Qubes-OS szintjere? Az irany mar megvan, most mar csak a virtualuzacios komponenseket kell osszedrotozniuk. :-)

Felek, hogy megimt megallnak feluton, es a szokas szerinti majdnem jo rendszer lesz belole.

Tok jo lenne, ha egyszer befejeznek amit elkezdtek, es nem hagynak abba a csinalasat csak mert talaltak valami csicsasabb celt.

ha jól tudom linux alatt sem tudják megoldani úgy az app sandbox-ot hogy ne tudjanak kitörni belőle, win alatt ez menni fog?

+1

A leírás alapján ez vm-hez van közelebb, amit azért könnyebb izolálni és a linuxon is viszonylag megbízhatóan működik elszeparálva a futtató környezettől.

"At its core Windows Sandbox is a lightweight virtual machine, so it needs an operating system image to boot from. One of the key enhancements we have made for Windows Sandbox is the ability to use a copy of the Windows 10 installed on your computer, instead of downloading a new VHD image as you would have to do with an ordinary virtual machine."

Ez valami nyílt forrású megoldás?
--
https://www.digitalocean.com/?refcode=7504fb2af065