作者mayuyu ((・ω・)ノ)
看板AntiVirus
标题Re: [问题] 请问现在 沙盒 是最好的防勒索方式吗?
时间Wed Jan 11 11:43:55 2017
两个沙盘的一些特性整理
COMODO (Sandbox)
1.具有虚拟化功能(隔离空间)
2.预设会禁止沙盒内的程式存取重要的系统资源,也可以自订增加禁止的项目
3.禁止连网(沙盒内的程式要求连网时防火墙一律警告)
4.沙盒和虚拟桌面的程式一概不会触发HIPS警告,
所以想要用沙盒观察程式的行为会很困难
5.预设的沙盒设定已经足够阻挡大部分的恶意软体
6.可以自订沙盒的规则,强化沙盒的限制
7.可以选择不使用虚拟化(隔离空间),只使用策略性沙盘
(限制程式的权限,但是程式的操作还是会写入真实系统)
CCAV只有策略沙盘,没有虚拟化功能。
8.可以当作anti-exe使用,阻挡任何未知程式执行
9.不能建立个别独立空间的沙盘,所有沙盘内的程式共用同一个空间
(Comodo10新版的沙盘已经可以建立个别独立空间的沙盘了)
10.未知程式自动入沙
11.需要手动删除沙盘内容
Sandboxie
1.具有虚拟化功能(隔离空间)
2.预设会禁止沙盒内的程式存取重要的系统资源,也可以自订增加禁止的项目
3.禁止连网(可以指定放行的程式,除了放行的程式以外,其他程式禁止连网)
例如Chrome浏览器沙盘内,只有chrome.exe可以连网,其他程式一律禁止连网
4.预设的沙盒设定,限制不会很严格,可以自订强化沙盒的限制。
(除了放行的程式,禁止其他程式启动,连网,禁止存取系统资源,
降低沙盘内程式更多权限)
4.1可以设定禁止其他程式启动、连网
例如Firefox浏览器的沙盘内,只开放firefox.exe, plugin-container.exe,
输入法, FlashGot等上网需要的软体可以启动、连网,
其他程式,例如浏览器漏洞触发的rundll32.exe, regsvr32.exe,
explorer.exe,iexplore.exe等等,全都不能启动,当然也不能连网。
4.2可以设定禁止存取系统资源(档案、资料夹、登录档、通讯、服务)
例如沙盘内的程式只允许firefox.exe可以直接存取浏览器设定档,
和使用者指定的专门放下载东西的资料夹,
这些确定安全的档案可以让firefox.exe直接写入真实系统,
其他档案,例如病毒drop的dll,全部都会锁在虚拟的沙盘空间内。
4.3可以设定降低沙盘内程式更多权限
Sandboxie有一个选项可以再降低沙盘内程式更多权限。
Sandboxie 4.xx版以上的设计,是利用Windows Vista/7以上的安全层级架构,
(所以不要使用有弱点的3.xx旧版的Sandboxie,Bromium测试的是旧版,
利用完整性级别架构设计的新沙盒更安全,例如Metro APP/Chrome/SBIE4以上)
沙盘内的程式从一开始对主机的真实系统就没有任何权限,
沙盘内程式之所以能够正常运作,没有立刻崩溃结束,
是因为Sandboxie帮忙实现程式要求的功能。
所以这里所谓的降低沙盘内程式的权限,其实是削减更多Sandboxie提供的帮助,
而沙盘内的程式自始至终,都是没有任何权限的。
所以沙盘内的程式无法注入沙盘外的程序进行破坏行为,因为它自己没有能力,
而Sandboxie也不提供这个权限。
沙盘内程式可以创建一个暂停的系统程序,掏空原本的代码後将恶意的代码填入,
再启动这个程序执行,但是这个假的系统程序例如svchost.exe仍然是在沙盘内,
和它的父程序一样没有任何权限,所以无法破坏真实系统。
如果你的沙盘有限制禁止其他程式启动,则这些动作从一开始就无法完成。
5.可以建立个别独立空间、不同限制的沙盘。
例如Chrome一个沙盘,Firefox一个沙盘,空间个别独立,可以分别清空互不影响。
也可以建立游戏1、游戏2、游戏3 三个沙盘,同时开启三个相同的游戏刷分。
6.可以手动清空沙盘,也可以自动清空沙盘;
可以手动选择沙盘内要还原回真实系统的资料,也可以自动还原指定的资料。
7.消耗很少的系统资源,沙盘内的程式没有明显的效能下降。
可能的弱点
COMODO
大部分使用者不用手动入沙,而是依赖自动沙盒,
但是自动沙盒如果病毒没有自动入沙的话就完蛋了,
俗话说:「入了沙盒天下无敌,没入沙盒万事休矣」
以前有人用神网测试Comodo,利用一个很旧的IE漏洞入侵,
Comodo的防毒没有防御漏洞入侵的模组,
虽然下载的木马有被抓到沙盒,但是其他被注入的程序和drop的dll是在沙盒外,
所以自动入沙的弱点就是「自动」,当其他防御模组都被过,
而病毒又没有被抓起来自动入沙,最後一道防线就破功了。
Sandboxie
从一开始程式就是手动在沙盒内启动(付费版可以指定程式自动在沙盒中启动),
之後下载的档案,触发的子程序也自然都是在沙盒里,所以没有漏掉入沙的问题。
但是预设的沙盒限制不是很严格,另外除了高危险性的操作,
例如直接关机、写入MBR,沙盒预设是不会阻挡程式大部分的行为,
(更精确的说,其实不是阻挡,沙盒内程式本来就没有权限,
任何事都无法做,甚至连自身都无法继续运行,
所谓的阻挡,其实是Sandboxie不提供这些功能给沙盒内的程式使用)
这对於防御勒索软体来说当然不是问题,
反正就算加密执行成功了也全都是在虚拟空间内,真实系统不受影响。
但是如果是记录键盘输入密码、卡号的木马执行成功,它不需要影响真实系统,
只要能将窃取的密码资料传回网路就可以了(所以禁止其他程式连网这个设定很重要),
因此Sandboxie不能单独作为防毒软体使用,
沙盒只是最後一道防线,还是需要搭配其他防毒软体才能应付各种类型的攻击。
还有现在很多恶意软体都会侦测沙盘、虚拟机,
一旦发现自身是在沙盘或虚拟机中运行,就会自杀结束程序或者是隐藏恶意的行为,
所以在沙盘中看起来好像没有问题,但是一旦从沙盘中放出来到外面执行,
就会开始进行破坏。
所以凡是有疑虑的软体,即使在沙盘中执行看起来没问题,
也不要因此放心把它拿到沙盘外面来点击启动,
反正只要不确定,就永远从沙盘中开启这个软体,让它永远待在沙盘里。
--
《沙箱之梦》〈魔王的崩溃.最终章〉
魔王「蓝森威尔」对形影不离的管家「仙芭可希」怒吼:
「为什麽你要阻止我毁灭世界!」
管家悲伤地回答:「魔王大人,在下没有阻止您啊,是您自己没有能力。
其实您一出生就无法行动,性命垂危,是在下一直输送内力给您续命。
您看到的“世界”其实是在下创造的脑内虚拟实境,
真实生活中的您现在躺在箱子里不能动弹,怎麽可能毁灭世界......」
魔王:「......如果有下辈子,我又和你相遇的话,
我......就先自行了断了吧 QQ」
——— 作者:天生鲁蛇
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 52.192.63.75
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1484106240.A.818.html
1F:推 cys070: 讲得很详细 01/11 12:58
2F:推 wanlinchi: 详细推 01/11 15:44
3F:推 wwman: 谢谢mayuyu大 每次都写超多超详细 非常感谢你说再给你300p 01/11 17:35
4F:推 junellie: 很有用的比较 谢谢! 01/11 18:20
5F:推 playlive: 这要推! 01/11 19:06
6F:推 woow1225: 推 01/11 23:38
7F:推 munsimli: 简单易懂,谢谢m大 01/12 00:12
8F:推 asiasssh: 我想如果真的想防的话 乾脆装个还原软体一劳永逸XD 01/12 14:24
9F:→ asiasssh: 要跑问题程式的时候打开 等炸了还可以还原回去 01/12 14:25
还原软体(影子系统)现在最常用的是Shadow Defender 可以保护整个分割区
重开机就恢复原状 也可以设定要排除不保护的档案、资料夹或登录档键值
因为有些病毒会侦测沙盘或虚拟机 在这些环境下不会运行
可是他们没有侦测Shadow Defender 在Shadow Defender底下会运行
所以可以在Shadow Defender底下分析这种病毒
还有软体会安装驱动程式 而沙盘里不能安装驱动程式
所以这些软体不能安装在沙盘里 要测试这种软体 也只能用影子系统或虚拟机
不过如果要经常下载档案、编辑文件、更新软体的话 影子系统要经常退出保护
或者手动还原修改过的档案 否则重开机一切就恢复原状
所有心血就付诸东流了 所以在这种电脑上使用影子系统 用起来可能不方便
我们也可以要跑问题程式的时候才打开影子系统 平常时关闭
不过现在的问题就是 浏览器、Office、PDF这些日常使用的工具
都是「问题程式」xD
这些工具本身没有问题 但是他们可能会引进病毒
造成伤害 例如利用浏览器的漏洞 可以在你浏览网页的时候
不用你点选任何对话 只要打开网页就可以下载和执行病毒
只是开个网页 打开Excel或PDF档案 全机的档案就被加密了
并不是使用者手动去点击执行来路不明的程式才中招
而是在一般使用过程中就不知不觉中毒了
所以只要开着浏览器 就必须打开影子系统
或者乾脆从一开始就把浏览器丢到沙盘里执行
我们也许会觉得一开始就丢到沙盘里很麻烦
听到沙盘就觉得是很复杂的东西
其实一点也不会麻烦
我们可以把沙盘想像为是系统上一个隔离的空间
一个特别的「文件柜」 专为执行特定工作而设计
譬如说建立一个Chrome浏览器的沙盘 这个特别的Chrome文件柜
就是为了浏览网页这个特定的工作而设计的一个独立空间
所有浏览网页相关的文件和资料都储存在这个文件柜里。
而如果Chrome文件柜里的工作,需要修改主系统柜里的资料,
它会copy复制一份文件到它自己的文件柜里,
而不会动到主系统柜里的正本,所以可以保护主系统柜里的资料不受破坏。
等到所有工作进行到一个段落,我们确定所有的修改都没有问题,
再把需要保留的资料更新到主系统的资料柜里。
同理我们可以建立Firefox专用文件柜、Office专用文件柜、
MEGAsync专用文件柜、iTunes专用文件...等等各种各样的文件柜,
每个文件柜都有专门的使用目的,具有特定的权限。
例如Firefox文件柜中只有浏览相关的工作可以执行,
只有firefox.exe可以直接读写主系统的Firefox设定档;
MEGAsync文件柜中只有MEGAsync.exe可以连网和直接存取MEGA下载资料夹;
像这样子,一个一个沙盘其实就是一个一个专用的文件柜,
利用工作的权职划分来分类,不但可以保护主系统柜的资料,
也更方便我们进行不同目的、不同工作的文件管理和清理。
沙盘真的一点也不麻烦,其实我觉得作业系统应该内建沙盘管理的功能xD
10F:推 hirokofan: ....还原软体可没办法救你的档案啊 01/12 15:26
※ 编辑: mayuyu (52.192.63.75), 01/12/2017 20:20:37
11F:→ George017: 要救档案要靠备份档及备份软体啦 01/12 21:41
12F:→ George017: 不过签名档还真是传神啊 01/12 21:42
13F:→ mayuyu: 魔王会这麽鲁其实也是仙芭可希害的 01/12 22:10
14F:→ mayuyu: 一出生的时候就让他生在匿名使用者群组/不信任的强制层级 01/12 22:10
15F:→ mayuyu: 拿的令牌什麽权限都没有 01/12 22:10
16F:→ mayuyu: 全系统上下只有仙芭可希一个人鸟他的呼叫和要求 01/12 22:10
17F:→ mayuyu: 仙芭可希不在的话他马上就挂了 01/12 22:11
18F:→ mayuyu: 这麽可怜当然注定了一生命运悲惨xD 01/12 22:11
19F:→ George017: 系统内建沙盘的话,如果系统有漏洞... 01/14 15:30
20F:→ George017: 不过有效型的沙盘设定感觉蛮复杂的(要知道正常运行会有 01/14 15:33
21F:→ George017: 哪些程序) 01/14 15:33
22F:推 lcjjaff: 推详细教学文:) 01/14 20:23
23F:推 canandmap: 推 01/15 00:49
24F:推 PhilHughes65: 好 01/15 02:47
25F:推 ltyintw: 可惜现在的游戏的防外挂程式都很讨厌有沙盒功功能的软体 01/15 11:35
26F:→ ltyintw: 在早期被滥用於多开,後来就被限制了,也会搭配IP上限 01/15 11:36
27F:→ fatstan: 影子系统的话微软有出EWF(Enhanced Write Filter) 01/16 13:04
28F:→ fatstan: 不过是用在比较旧的作业系统上面(win7) 01/16 13:08
29F:→ fatstan: 或是FBWF 而Windows10是UWF 不过好像只有在专业版x64有 01/16 13:13
30F:→ fatstan: 更正一下 EWF是XP FBWF是WIN7 01/16 13:14
31F:→ fatstan: UWF在WIN8就有了 01/16 13:17
32F:推 terrytina19: 推M大专业文! 01/16 17:28
33F:推 FantasyNova: 推一下偶像麻友友 每篇文都精辟 01/17 09:08
34F:推 penguinfuko: 推mayuyu,每次看到需要的文章都是这个作者。 02/03 22:43
35F:推 DINJIAPC: 就是因为有键盘侧录问题 所以卡巴才放弃虚拟沙盒 02/13 04:24
36F:推 Scutum: 实用的好文 02/27 21:00