作者mayuyu ((・ω・)ノ)
看板AntiVirus
標題Re: [問題] 請問現在 沙盒 是最好的防勒索方式嗎?
時間Wed Jan 11 11:43:55 2017
兩個沙盤的一些特性整理
COMODO (Sandbox)
1.具有虛擬化功能(隔離空間)
2.預設會禁止沙盒內的程式存取重要的系統資源,也可以自訂增加禁止的項目
3.禁止連網(沙盒內的程式要求連網時防火牆一律警告)
4.沙盒和虛擬桌面的程式一概不會觸發HIPS警告,
所以想要用沙盒觀察程式的行為會很困難
5.預設的沙盒設定已經足夠阻擋大部分的惡意軟體
6.可以自訂沙盒的規則,強化沙盒的限制
7.可以選擇不使用虛擬化(隔離空間),只使用策略性沙盤
(限制程式的權限,但是程式的操作還是會寫入真實系統)
CCAV只有策略沙盤,沒有虛擬化功能。
8.可以當作anti-exe使用,阻擋任何未知程式執行
9.不能建立個別獨立空間的沙盤,所有沙盤內的程式共用同一個空間
(Comodo10新版的沙盤已經可以建立個別獨立空間的沙盤了)
10.未知程式自動入沙
11.需要手動刪除沙盤內容
Sandboxie
1.具有虛擬化功能(隔離空間)
2.預設會禁止沙盒內的程式存取重要的系統資源,也可以自訂增加禁止的項目
3.禁止連網(可以指定放行的程式,除了放行的程式以外,其他程式禁止連網)
例如Chrome瀏覽器沙盤內,只有chrome.exe可以連網,其他程式一律禁止連網
4.預設的沙盒設定,限制不會很嚴格,可以自訂強化沙盒的限制。
(除了放行的程式,禁止其他程式啟動,連網,禁止存取系統資源,
降低沙盤內程式更多權限)
4.1可以設定禁止其他程式啟動、連網
例如Firefox瀏覽器的沙盤內,只開放firefox.exe, plugin-container.exe,
輸入法, FlashGot等上網需要的軟體可以啟動、連網,
其他程式,例如瀏覽器漏洞觸發的rundll32.exe, regsvr32.exe,
explorer.exe,iexplore.exe等等,全都不能啟動,當然也不能連網。
4.2可以設定禁止存取系統資源(檔案、資料夾、登錄檔、通訊、服務)
例如沙盤內的程式只允許firefox.exe可以直接存取瀏覽器設定檔,
和使用者指定的專門放下載東西的資料夾,
這些確定安全的檔案可以讓firefox.exe直接寫入真實系統,
其他檔案,例如病毒drop的dll,全部都會鎖在虛擬的沙盤空間內。
4.3可以設定降低沙盤內程式更多權限
Sandboxie有一個選項可以再降低沙盤內程式更多權限。
Sandboxie 4.xx版以上的設計,是利用Windows Vista/7以上的安全層級架構,
(所以不要使用有弱點的3.xx舊版的Sandboxie,Bromium測試的是舊版,
利用完整性級別架構設計的新沙盒更安全,例如Metro APP/Chrome/SBIE4以上)
沙盤內的程式從一開始對主機的真實系統就沒有任何權限,
沙盤內程式之所以能夠正常運作,沒有立刻崩潰結束,
是因為Sandboxie幫忙實現程式要求的功能。
所以這裡所謂的降低沙盤內程式的權限,其實是削減更多Sandboxie提供的幫助,
而沙盤內的程式自始至終,都是沒有任何權限的。
所以沙盤內的程式無法注入沙盤外的程序進行破壞行為,因為它自己沒有能力,
而Sandboxie也不提供這個權限。
沙盤內程式可以創建一個暫停的系統程序,掏空原本的代碼後將惡意的代碼填入,
再啟動這個程序執行,但是這個假的系統程序例如svchost.exe仍然是在沙盤內,
和它的父程序一樣沒有任何權限,所以無法破壞真實系統。
如果你的沙盤有限制禁止其他程式啟動,則這些動作從一開始就無法完成。
5.可以建立個別獨立空間、不同限制的沙盤。
例如Chrome一個沙盤,Firefox一個沙盤,空間個別獨立,可以分別清空互不影響。
也可以建立遊戲1、遊戲2、遊戲3 三個沙盤,同時開啟三個相同的遊戲刷分。
6.可以手動清空沙盤,也可以自動清空沙盤;
可以手動選擇沙盤內要還原回真實系統的資料,也可以自動還原指定的資料。
7.消耗很少的系統資源,沙盤內的程式沒有明顯的效能下降。
可能的弱點
COMODO
大部分使用者不用手動入沙,而是依賴自動沙盒,
但是自動沙盒如果病毒沒有自動入沙的話就完蛋了,
俗話說:「入了沙盒天下無敵,沒入沙盒萬事休矣」
以前有人用神網測試Comodo,利用一個很舊的IE漏洞入侵,
Comodo的防毒沒有防禦漏洞入侵的模組,
雖然下載的木馬有被抓到沙盒,但是其他被注入的程序和drop的dll是在沙盒外,
所以自動入沙的弱點就是「自動」,當其他防禦模組都被過,
而病毒又沒有被抓起來自動入沙,最後一道防線就破功了。
Sandboxie
從一開始程式就是手動在沙盒內啟動(付費版可以指定程式自動在沙盒中啟動),
之後下載的檔案,觸發的子程序也自然都是在沙盒裡,所以沒有漏掉入沙的問題。
但是預設的沙盒限制不是很嚴格,另外除了高危險性的操作,
例如直接關機、寫入MBR,沙盒預設是不會阻擋程式大部分的行為,
(更精確的說,其實不是阻擋,沙盒內程式本來就沒有權限,
任何事都無法做,甚至連自身都無法繼續運行,
所謂的阻擋,其實是Sandboxie不提供這些功能給沙盒內的程式使用)
這對於防禦勒索軟體來說當然不是問題,
反正就算加密執行成功了也全都是在虛擬空間內,真實系統不受影響。
但是如果是記錄鍵盤輸入密碼、卡號的木馬執行成功,它不需要影響真實系統,
只要能將竊取的密碼資料傳回網路就可以了(所以禁止其他程式連網這個設定很重要),
因此Sandboxie不能單獨作為防毒軟體使用,
沙盒只是最後一道防線,還是需要搭配其他防毒軟體才能應付各種類型的攻擊。
還有現在很多惡意軟體都會偵測沙盤、虛擬機,
一旦發現自身是在沙盤或虛擬機中運行,就會自殺結束程序或者是隱藏惡意的行為,
所以在沙盤中看起來好像沒有問題,但是一旦從沙盤中放出來到外面執行,
就會開始進行破壞。
所以凡是有疑慮的軟體,即使在沙盤中執行看起來沒問題,
也不要因此放心把它拿到沙盤外面來點擊啟動,
反正只要不確定,就永遠從沙盤中開啟這個軟體,讓它永遠待在沙盤裡。
--
《沙箱之夢》〈魔王的崩潰.最終章〉
魔王「藍森威爾」對形影不離的管家「仙芭可希」怒吼:
「為什麼妳要阻止我毀滅世界!」
管家悲傷地回答:「魔王大人,在下沒有阻止您啊,是您自己沒有能力。
其實您一出生就無法行動,性命垂危,是在下一直輸送內力給您續命。
您看到的“世界”其實是在下創造的腦內虛擬實境,
真實生活中的您現在躺在箱子裡不能動彈,怎麼可能毀滅世界......」
魔王:「......如果有下輩子,我又和妳相遇的話,
我......就先自行了斷了吧 QQ」
——— 作者:天生魯蛇
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 52.192.63.75
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1484106240.A.818.html
1F:推 cys070: 講得很詳細 01/11 12:58
2F:推 wanlinchi: 詳細推 01/11 15:44
3F:推 wwman: 謝謝mayuyu大 每次都寫超多超詳細 非常感謝你說再給你300p 01/11 17:35
4F:推 junellie: 很有用的比較 謝謝! 01/11 18:20
5F:推 playlive: 這要推! 01/11 19:06
6F:推 woow1225: 推 01/11 23:38
7F:推 munsimli: 簡單易懂,謝謝m大 01/12 00:12
8F:推 asiasssh: 我想如果真的想防的話 乾脆裝個還原軟體一勞永逸XD 01/12 14:24
9F:→ asiasssh: 要跑問題程式的時候打開 等炸了還可以還原回去 01/12 14:25
還原軟體(影子系統)現在最常用的是Shadow Defender 可以保護整個分割區
重開機就恢復原狀 也可以設定要排除不保護的檔案、資料夾或登錄檔鍵值
因為有些病毒會偵測沙盤或虛擬機 在這些環境下不會運行
可是他們沒有偵測Shadow Defender 在Shadow Defender底下會運行
所以可以在Shadow Defender底下分析這種病毒
還有軟體會安裝驅動程式 而沙盤裡不能安裝驅動程式
所以這些軟體不能安裝在沙盤裡 要測試這種軟體 也只能用影子系統或虛擬機
不過如果要經常下載檔案、編輯文件、更新軟體的話 影子系統要經常退出保護
或者手動還原修改過的檔案 否則重開機一切就恢復原狀
所有心血就付諸東流了 所以在這種電腦上使用影子系統 用起來可能不方便
我們也可以要跑問題程式的時候才打開影子系統 平常時關閉
不過現在的問題就是 瀏覽器、Office、PDF這些日常使用的工具
都是「問題程式」xD
這些工具本身沒有問題 但是他們可能會引進病毒
造成傷害 例如利用瀏覽器的漏洞 可以在你瀏覽網頁的時候
不用你點選任何對話 只要打開網頁就可以下載和執行病毒
只是開個網頁 打開Excel或PDF檔案 全機的檔案就被加密了
並不是使用者手動去點擊執行來路不明的程式才中招
而是在一般使用過程中就不知不覺中毒了
所以只要開著瀏覽器 就必須打開影子系統
或者乾脆從一開始就把瀏覽器丟到沙盤裡執行
我們也許會覺得一開始就丟到沙盤裡很麻煩
聽到沙盤就覺得是很複雜的東西
其實一點也不會麻煩
我們可以把沙盤想像為是系統上一個隔離的空間
一個特別的「文件櫃」 專為執行特定工作而設計
譬如說建立一個Chrome瀏覽器的沙盤 這個特別的Chrome文件櫃
就是為了瀏覽網頁這個特定的工作而設計的一個獨立空間
所有瀏覽網頁相關的文件和資料都儲存在這個文件櫃裡。
而如果Chrome文件櫃裡的工作,需要修改主系統櫃裡的資料,
它會copy複製一份文件到它自己的文件櫃裡,
而不會動到主系統櫃裡的正本,所以可以保護主系統櫃裡的資料不受破壞。
等到所有工作進行到一個段落,我們確定所有的修改都沒有問題,
再把需要保留的資料更新到主系統的資料櫃裡。
同理我們可以建立Firefox專用文件櫃、Office專用文件櫃、
MEGAsync專用文件櫃、iTunes專用文件...等等各種各樣的文件櫃,
每個文件櫃都有專門的使用目的,具有特定的權限。
例如Firefox文件櫃中只有瀏覽相關的工作可以執行,
只有firefox.exe可以直接讀寫主系統的Firefox設定檔;
MEGAsync文件櫃中只有MEGAsync.exe可以連網和直接存取MEGA下載資料夾;
像這樣子,一個一個沙盤其實就是一個一個專用的文件櫃,
利用工作的權職劃分來分類,不但可以保護主系統櫃的資料,
也更方便我們進行不同目的、不同工作的文件管理和清理。
沙盤真的一點也不麻煩,其實我覺得作業系統應該內建沙盤管理的功能xD
10F:推 hirokofan: ....還原軟體可沒辦法救你的檔案啊 01/12 15:26
※ 編輯: mayuyu (52.192.63.75), 01/12/2017 20:20:37
11F:→ George017: 要救檔案要靠備份檔及備份軟體啦 01/12 21:41
12F:→ George017: 不過簽名檔還真是傳神啊 01/12 21:42
13F:→ mayuyu: 魔王會這麼魯其實也是仙芭可希害的 01/12 22:10
14F:→ mayuyu: 一出生的時候就讓他生在匿名使用者群組/不信任的強制層級 01/12 22:10
15F:→ mayuyu: 拿的令牌什麼權限都沒有 01/12 22:10
16F:→ mayuyu: 全系統上下只有仙芭可希一個人鳥他的呼叫和要求 01/12 22:10
17F:→ mayuyu: 仙芭可希不在的話他馬上就掛了 01/12 22:11
18F:→ mayuyu: 這麼可憐當然注定了一生命運悲慘xD 01/12 22:11
19F:→ George017: 系統內建沙盤的話,如果系統有漏洞... 01/14 15:30
20F:→ George017: 不過有效型的沙盤設定感覺蠻複雜的(要知道正常運行會有 01/14 15:33
21F:→ George017: 哪些程序) 01/14 15:33
22F:推 lcjjaff: 推詳細教學文:) 01/14 20:23
23F:推 canandmap: 推 01/15 00:49
24F:推 PhilHughes65: 好 01/15 02:47
25F:推 ltyintw: 可惜現在的遊戲的防外掛程式都很討厭有沙盒功功能的軟體 01/15 11:35
26F:→ ltyintw: 在早期被濫用於多開,後來就被限制了,也會搭配IP上限 01/15 11:36
27F:→ fatstan: 影子系統的話微軟有出EWF(Enhanced Write Filter) 01/16 13:04
28F:→ fatstan: 不過是用在比較舊的作業系統上面(win7) 01/16 13:08
29F:→ fatstan: 或是FBWF 而Windows10是UWF 不過好像只有在專業版x64有 01/16 13:13
30F:→ fatstan: 更正一下 EWF是XP FBWF是WIN7 01/16 13:14
31F:→ fatstan: UWF在WIN8就有了 01/16 13:17
32F:推 terrytina19: 推M大專業文! 01/16 17:28
33F:推 FantasyNova: 推一下偶像麻友友 每篇文都精闢 01/17 09:08
34F:推 penguinfuko: 推mayuyu,每次看到需要的文章都是這個作者。 02/03 22:43
35F:推 DINJIAPC: 就是因為有鍵盤側錄問題 所以卡巴才放棄虛擬沙盒 02/13 04:24
36F:推 Scutum: 實用的好文 02/27 21:00