- A hozzászóláshoz be kell jelentkezni
- 4637 megtekintés
Hozzászólások
Nahát. Akkor itt az ideje, hogy lecsupasszák a rendszert tökig, majd mindent sandbox alatt futtassanak.
--
robyboy
- A hozzászóláshoz be kell jelentkezni
Szerintem ez nem arra van. Az app szintű sandboxingra eddig is volt megoldásuk és használták is pár szolgáltatásnál: https://www.zdnet.com/article/windows-defender-becomes-first-antivirus-…
- A hozzászóláshoz be kell jelentkezni
LoL
A defenderes sérülékenységek kapcsán eddig az volt a baj, hogy miért pont a Defender nem fut sandbox-ban, amikor ezt más vírusirtok megoldották.
- A hozzászóláshoz be kell jelentkezni
Más vírusirtók esetében nem maga a vírusírtó fut sandboxban, hanem a vizsgálandó programot futtatja ott. Így ha magában a vírusírtóban van a hiba azon ez nem segít. Pl.: https://googleprojectzero.blogspot.com/2015/06/analysis-and-exploitatio…
- A hozzászóláshoz be kell jelentkezni
Nem tudom elképzelni, hogy a Defender nem így működik.
- A hozzászóláshoz be kell jelentkezni
A amennyire én tudom a Defenderben nincs OS-emulációs program elemzés/kód futtatás
- A hozzászóláshoz be kell jelentkezni
Gondolod, hogy fogja és lefuttaja a binárist, lesz ami lesz alapon?
A többiek pedig a komplett Windows-t emulálják?
- A hozzászóláshoz be kell jelentkezni
Amennyire én tudom a Defender gyanús kódrészleteket keres/futtatás közben figyeli az elindított programokat, míg más vírus keresők automatikusan, emulált windows környezetben elindítanak minden letöltött/csatolmányban kapott exe fájlt.
Comodo Antivirus includes a x86 emulator that is used to unpack and monitor obfuscated executables, this is common practice among antivirus products. The idea is that emulators can run the code safely for a short time, giving the sample enough time to unpack itself or do something that can be profiled.
I've found some memory corruption issues with the emulator, but Comodo also implement hundreds of shims for Win32 API calls, so that things like CreateFile, LoadLibrary, and so on appear to work to the emulated code. Astonishingly, some of these shims simply extract the parameters from the emulated address space and pass them directly to the real API, while running as NT AUTHORITY\SYSTEM. The results are then poked back in to the emulator, and the code continues.
The possible attacks here are too numerous to mention.
Here are some of the more obvious mistakes, let's start with USER32!GetKeyState ...
forrás: Comodo: Comodo Antivirus Forwards Emulated API calls to the Real API during scans
- A hozzászóláshoz be kell jelentkezni
keygeneksze biztonságos futtatásához
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
En inkabb arra lennek kivancsi, hogy a virusirtok altal virusosnak jelolt keygeneknek a valosagban hany szazaleka virusos. Mert van egy olyan erzesem, hogy <50%
- A hozzászóláshoz be kell jelentkezni
Na. Akkor lassan eljutnak a Qubes-OS szintjere? Az irany mar megvan, most mar csak a virtualuzacios komponenseket kell osszedrotozniuk. :-)
Felek, hogy megimt megallnak feluton, es a szokas szerinti majdnem jo rendszer lesz belole.
Tok jo lenne, ha egyszer befejeznek amit elkezdtek, es nem hagynak abba a csinalasat csak mert talaltak valami csicsasabb celt.
- A hozzászóláshoz be kell jelentkezni
ha jól tudom linux alatt sem tudják megoldani úgy az app sandbox-ot hogy ne tudjanak kitörni belőle, win alatt ez menni fog?
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
A leírás alapján ez vm-hez van közelebb, amit azért könnyebb izolálni és a linuxon is viszonylag megbízhatóan működik elszeparálva a futtató környezettől.
"At its core Windows Sandbox is a lightweight virtual machine, so it needs an operating system image to boot from. One of the key enhancements we have made for Windows Sandbox is the ability to use a copy of the Windows 10 installed on your computer, instead of downloading a new VHD image as you would have to do with an ordinary virtual machine."
- A hozzászóláshoz be kell jelentkezni
Ez valami nyílt forrású megoldás?
--
https://www.digitalocean.com/?refcode=7504fb2af065
- A hozzászóláshoz be kell jelentkezni