Песочница для проверки вирусов

Обновлено: 18.04.2024

Современные атакующие редко используют старые виды вредоносного кода для атак. Под каждого человека создается свой собственный вирус. То есть, если идет направленная атака на ваших топ-менеджеров или бухгалтеров или администраторов, то каждому пришлют его личную версию вредоносного кода по электронной почте. Да, вот такой вот персональный подход!

Бывает, что присылают ссылку в письме или в форуме: ссылка на файл одна и та же, но каждый раз кликая на эту ссылку, сайт генерирует каждому зашедшему свою модификацию файла.

Это создает сложности для производителей антивирусов: в их базах этого экземпляра нет и нужно как-то этот каждый новый пришедший в компанию файл проверить. Для этого создаются специальные автоматические механизмы проверки. Раньше на слуху был эвристический анализ, в 2020 году новинкой стало то, что продвинутые производители используют модели полученные от Machine Learning для определения вредоносного кода внутри NGFW прямо на лету. Также ML активно применяется для обнаружения фишинговых URL и вредоносных DNS доменов и даже устройств IoT.

Однако, в современных организациях уже около 10 лет основным средством выявления новых и неизвестных видов вредоносного кода является технология под названием песочница или по-английски sandbox. Обычно это облачный сервис, который получает каким-то образом ваш файл на проверку и в ответ возвращает вердикт: хороший или вредоносный. Песочницам нужно нужно несколько минут, чтобы проверить файл, потому что они реально запускают его, если это исполняемый файл и реально просматривают его, если это документ. Если во время работы с файлом, будут замечены какие-то вредоносные действия, то файл будет помечен как вредоносный и этот вердикт, вместе со всеми "анализами" его работы будет вами получен.

Иногда открытием для людей является то, что вредоносный код может быть встроен в неисполняемые файлы DOC, PDF, XLS. Поскольку это частое заблуждение, то его активно используют хакеры. Поэтому нужно также проверять в песочницах неисполняемые файлы. Эти файлы внутри себя песочницы загружают в соответствующие программы просмотра Microsoft Word или Adobe Reader разных версий и проверяют не происходит ли при этом вредоносных действий. Обычно это связано с докачкой другого кода или использованием уязвимостей программ-просмотрщиков, что позволяет запустить произвольные команды. Хорошим примером является Microsoft Word - его файлы часто используют в атаках.

Что не хватает современным песочницам, на мой взгляд, так это информирования пользователей о популярных программах. Часто на проверку уходит уже известная утилита, и песочницы могли бы не только возвращать вердикт, что это хороший файл, но и что это именно эта утилита. Такая информация часто нужна администратору.

Можно ли попробовать такую песочницу сейчас? Да, есть общедоступные сайты, где вы можете свой файл попросить проверить.

Для проверки я выбрал хороший файл putty.exe , который я скачал с сайта разработчика .

Если все движки сказали, что все ок, то с большой вероятностью все ок. Но есть нюансы. ) Существуют специальные методики обнаружения что ты запущен в песочнице, поэтому не всегда такой метод анализа как запуск внутри виртуальной машины - достоверен. Лучше всего запускать вредоносный код на реальной рабочей станции и результат будет более точным. Такая методика получила название bare metal analysis и предоставляется некоторыми мировыми производителями.

Есть еще один вид песочниц: локальные. Они выглядят как обычный сервер, на котором стоят виртуальные машины. Внутри них и запускаются тестируемые образцы и анализируется их поведение. Часто встречаю заблуждение, что локальная и облачная песочница имеют одинаковый функционал. Это ошибочно, потому что облачные решения всегда имеют больше функций и возможностей, например, вышеупомянутый bare metal analysis. Именно поэтому детектирование вредоносного кода в облаке более точное, чем детектирование вредоносного кода на локальной песочнице. Если вы правда хотите искать zero day в своей компании, то использование только локальных песочниц - недостаточно.

Недавно открылся наш национальный сервис проверки, который предоставляется также бесплатно.

Я также загрузил в него тестовый файл putty.exe и меня удивило, только, что песочницы запустились. Загружал несколько раз этот файл и несмотря на то, что файл каждый раз одинаковы песочницы запускались снова и снова. Хотя смысла проверять один и тот же файл уже не было.

В государственном сканере используются движки трех (на дату написания статьи 23 марта 2021) наших российских производителей песочниц.

Также этот сервис бесплатен и вы можете проверить свой файл и на сайте Касперского.

Он называется Threat Intelligence Portal, что означает вы можете не только проверять файлы, но и получать информацию об индикаторах компрометации, таких как IP, DNS, URL, хеш на данном портале. Обычно такие данные нужны при расследовании инцидентов.

Также важно упомянуть песочницы корпоративного уровня компаний Palo Alto Networks, Trend Micro, Check Point, FireEye.

Здесь песочница не стала запускать putty.exe, просто сказала, что файл известный и понятный и хороший.

Типы файлов

Важно также какие типы файлов проверяет песочница. Вредоносный код есть для всех операционных системах Windows, MacOS, Linux, iOS, Android и так далее. В них исполняемые файлы имеют разный формат. Неисполняемые файлы обычно не зависят от операционной системы и они проверяются обычно на базе Windows и приложений под Windows, поскольку это самая популярная операционная система в мире.

А как забирать файлы на проверку

Тот способ, что использовали мы - ручная загрузка на сайт. Однако в реальных корпоративных сетях это нужно делать быстрее и автоматически. Соответственно должен быть какой-то механизм, который забирает файлы с рабочих станций или прямо из сетевого трафика и отправляет на проверку. Об этом будет другая статья.

Я уже более 25 лет помогаю людям и компаниям строить архитектуру безопасности и выбирать нужные решения.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

ОНЛАЙН-ПЕСОЧНИЦЫ

В сети имеется ряд проектов по информационной безопасности, реализующий свои решения в качестве отдельно работающих виртуализированных систем для исполнения кода с последующим анализом произведённых изменений. Как правило, у этих проектов имеются онлайн-версии таких систем с бесплатным использованием. Вы можете благополучно загрузить подозрительный файл и через некоторое время получить полную информацию о том, что он делает, будучи запущен в системе.

ThreatExpert
Система ThreatExpert осуществляет сравнение снимков системы до и после запуска, а также перехват некоторых API в ходе выполнения кода. В результате, Вы получаете отчёт со следующей информацией:

• Какие новые процессы, файлы, ключи реестра и мутексы были созданы в ходе выполнения кода.
• C какими хостами и IP проводилось соединение, также приводятся шестнадцатеричные и ASCII-дампы данных обмена.
• Имеется ли детект популярных антивирусов на присланный файл и файлы, созданные в ходе выполнения.
• Какова возможная страна происхождения кода на основании языковых ресурсов и прочих следов, найденных в коде.
• Возможная категория угрозы (кейлоггер, бэкдор и т.д.) и её уровень.
• Скриншоты новых окон, если таковые были отображены в ходе выполнения.

Возможна регистрация на сайте, в таком случае история всех Ваших анализов будет сохранена, и Вы в любой момент можете её вызвать. Возможна установка программы Submission Applet и автоматическая отправка файлов на анализ из контекстного меню Проводника.

CWSandbox — разработка University of Mannheim, которые продают эту систему. Однако, анализ можно провести в онлайн бесплатно.
Особенностью этой песочницы является то, что анализ выполняется в результате инжектирования библиотеки песочницы в исполняемый код и перехвата всех API-вызовов. Понятно, что если выполняется вызов нативных API либо работа в режиме ядра, песочница не работает. Тем не менее, благодаря тому, что проводится анализ реально работающего файла, CWSandbox иногда даёт большую информпцию, чем все остальные.

Бесплатная онлайн версия имеет ряд ограничений, по сравнению с коммерческой:

• Возможен анализ только РЕ-файлов. Платная версия позволяет анализировать BHO, zip-архивы, документы Microsoft Office.
• В бесплатной версии возможна только загрузка через веб-интерфейс. В платной возможен прим файлов на анализ по почте, через honeypot и др.
• В платной версии возможен выбор проведения анализ в виртуальной среде или на реальной системе.
• Коммерческая версия включает в себя анализ файлов, скачиваемых в ходе выполнения кода, созданный в системных папках или инжектированных в другие процессы.

Anubis
Anubis — один из самый распространённых вариантов песочницы, ставший популярный благодаря исчерпывающему содержанию отчётов и скорости ответа. Некоторые особенности этой системы:

• Возможность указания URL вместо самого вредоносного файла. В таком случае система загрузит указанный URL в Internet Explorer и проанализирует поведение системы.
• Вместе с исследуемым файлом можно загрузить дополнительные библиотеки (в zip-архиве без пароля или с паролем “infected”). Этот приём очень удобен для анализа вредоносных динамических библиотек (если єто так же интересно — отпишитесь в комментах, можно будет посвятить отдельную статью).
• Отчёт предоставляется в различных форматах — HTML, XML, plain text, PDF, также возможно скачивание полного сетевого дампа, полученного в ходе анализа.
• Возможна загрузка файлов в Anubis посредством SSL (удобно, если вас блокирует антивирус на проксе).

Joebox
И наконец — он. Joebox, Великий и Ужасный. Будучи результатом трудов Стэфана Бульманна, на мой взгляд Joebox — самая мощная система для анализа. Особенностью этой системы является то, что она единственная осуществляет перехваты SSDT и EAT ядра в ходе анализа файлов. С одной стороны, это приводит к потере небольшого количества информации вызовов верхнего уровня (например, создание новых процессов посредством ShellExecute или WinExec), однако с другой стороны позволяет изучать вредоносные файлы, работающие с нативными API или в режиме ядра. Кроме того, Joebox предоставляет следующие возможности в анализе:

• Joebox поддерживает загрузку и изучение поведения исполняемых файлов, DLL, драйверов ядра, документов Microsoft Word, PDF-файлов и др.
• Вы можете выбрать среду выполнения кода:Windows XP, Windows Vista, или Windows 7.
• Вы можете выбрать выполнение кода в виртуальной среде либо на реальной системе (в последнем случае реализуется решение на базе FOG)
• Возможно получение полного дампа сетевого трафика, накопленного в ходе анализа.
• Имеется поддержка модулей популярных песочниц amun и nepenthes для автоматической загрузки новых образцов из песочниц в Joebox.
• Имеется поддержка скриптов AutoIT19 для организации контролируемой среды выполнения вредоносных файлов в Joebox.

Особенную важность, на мой взгляд, имеет именно поддержка скриптового языка. На сайте проекта имеется описание возможных функций и их толкование, укажу только на наиболее популярные.

Точно так же можно анализировать BHO — достаточно прописать нужные ключи в реестр. Однако часто возникает проблема: AppInit_DLLs справедлив только для вновь созданных процессов, как быть, если инжект нужно сделать в explorer.exe? Для этого подойдёт следующий скрипт:
Script
Func KillProcess($process)
Local $hproc
Local $pid = ProcessExists($process)
If $pid = 0 Then
Return
EndIf
$hproc = DllCall(
“kernel32.dll”, “hwnd”, “OpenProcess”,
“dword”, BitOR(0x0400,0x0004,0x0001),
“int”, 0, “dword”, $pid)
If UBound($hproc) > 0 Then
If $hproc[0] = 0 Then Return
Else
Return
EndIf
$hproc = $hproc[0]
Local $code = DllStructCreate(“dword”)
$ret = DllCall(
“kernel32.dll”, “int”, “TerminateProcess”,
“hwnd”, $hproc, “uint”, DllStructGetData($code,1))
Return
EndFunc
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$NewFile = @SystemDir & “/” & “malware.dll”
FileCopy(“c:\malware.dll”, $NewFile, 1)
RegWrite(
“HKLM\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows”,
“AppInit_DLLs”, “REG_SZ”, “malware.dll”)
KillProcess(“explorer.exe”)
; убиваем процесс, который автоматически будет перезапущен winlogon.exe
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()
EndScript

3. Если необходимо, чтобы обращение в сеть происходило из определённой страны, можно сконфигурировать прокси в выполняемой среде Joebox:
Script
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$ProxyServer = “1.2.3.4:8080”
; определяем нашу проксю
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyServer”, “REG_SZ”, $ProxyServer)
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyEnable”, “REG_DWORD”, 1)
; и включаем её в настройках
_JBLoadProvidedBin()
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()

Безусловно, наличие такой гибкости и богатства возможностей делает Joebox одним из самых востребованных песочниц — и в этом его худшая сторона. Мне приходилось ждать иногда по несколько дней, пока придёт результат анализа. Что же, авторы предлагают купить свою собственную копию этой замечательной песочницы, но довольно за дорого. Как же построить свою собственную систему для анализа файлов без особенных затрат — об этом будет в следующей статье, если, конечно, Хабраобщество одобрит этот опус и у меня окончательно не растает карма ;)

P.S. Примеры других онлайн-песочниц:

Спасибо ahtox74 за напоминание.

Одно из обязательных свойств современных целевых атак — их способность проникнуть в ИТ-инфраструктуру жертвы незаметно для защитных систем. Передовое вредоносное ПО использует методы маскировки, которые превращают его в невидимку. Помочь в таких случаях может динамический анализ, который выполняется в специализированной среде — песочнице. Технологии песочниц занимают центральное место в концепции киберзащиты Trend Micro, получившей название Connected Threat Defence. В этом посте мы поговорим о том, как песочницы используются в решениях Trend Micro.

О песочницах

Технологии песочниц предоставляют самые эффективные механизмы по защите от целевых атак и атак с использованием уязвимостей нулевого дня. Принцип работы песочницы заключается в том, что подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. А вот если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу.

Использование изолированных виртуальных машин для выполнения проверяемых объектов и эмуляция взаимодействия с пользователем позволяет подробно отследить характер выполняемых действий потенциально небезопасного ПО и решить, можно ли возвращать объект пользователю для запуска на рабочей станции.

Интеграция анализа в песочнице с сигнатурным анализом и другими способами проверки в стандартных продуктах безопасности позволяет повысить эффективность выявления потенциальных угроз и улучшить от целевых атак.

Локальные песочницы

Локальные песочницы входят в состав многих антивирусов. Они реализуют изоляцию на базе частичной виртуализации файловой системы и реестра. Вместо того, чтобы создавать для каждого проверяемого процесса отдельную виртуальную машину, локальная песочница создаёт для них дубликаты объектов файловой системы и реестра. Получается безопасная среда-песочница на компьютере пользователя. Если процесс изменит файлы или запишет что-то в реестр, изменятся лишь копии внутри песочницы, а реальные объекты не будут затронуты. Изоляция от основной системы обеспечивается с помощью контроля прав.

Более защищённый вариант локальной песочницы предполагает создание отдельной виртуальной машины, копирующей рабочее окружение. Но затраты ресурсов на такой вариант оказываются неприемлемо высокими, поэтому вместо него используются сетевые песочницы, которые располагаются на выделенном сервере внутри сети компании (on-premise) или в облаке производителя антивирусного решения.

Сетевые песочницы — облачные и on-premise

Сетевые песочницы имеют меньше ограничений, чем локальные — они не снижают производительность компьютера пользователя и позволяют проверять потенциальные угрозы на различных операционных системах. Даже успешный побег из такой песочницы не станет проблемой, поскольку она полностью изолирована от рабочего компьютера пользователя. При необходимости такие песочницы могут эмулировать подключение к интернету и работу со съёмными носителями.

Вредоносное ПО, ориентированное на конкретную компанию, как правило, проверяет окружение, в котором запущено. И даже если оно не содержит проверку на запуск в песочнице, несоответствие окружения может привести к тому, что полезная нагрузка во время анализа не сработает, и файл будет считаться безобидным. Чтобы избежать такой ситуации, нужно, чтобы рабочая среда, которую эмулирует песочница, максимально точно соответствовала рабочим станциям реальных пользователей.

В случае с облачными песочницам добиться такого соответствия сложнее, в то время как загрузка образа рабочей станции на on-premise сервер не составляет сложности. Главное, чтобы выбранный вариант сервера-песочницы поддерживал работу с кастомными образами.

Другими словами, чтобы максимально приблизить конфигурацию виртуальных машин внутри песочницы к продакшн-среде, нужно иметь возможность тонко настраивать их содержимое: изменять настройки ОС, редактировать перечень установленных языков, драйверов периферийных устройств, устанавливать дополнительный, либо нестандартный софт и даже управлять содержимым рабочего стола, поскольку всё это и многое другое может расцениваться киберзлоумышленниками как условие для запуска либо незапуска вредоносных инструкций.

Использование же стандартизированных образов для разворачивания виртуальных машин внутри песочниц легко отслеживается и позволяет применить механизмы обхода детектирования в песочницах.

Песочницы Trend Micro поддерживают возможность загрузки кастомизированных образов ВМ, что на практике неоднократно показывало более высокую эффективность при обнаружении вредоносного ПО в сравнении с песочницами производителей, использующих стандартизированные образы ВМ для анализа.

Исходя из соображений необходимости обеспечения максимальной эффективности на сегодняшний день предпочтение следует отдать on-premise-варианту. Известные нам реализации облачных песочниц на сегодняшний день ни у одного из производителей не поддерживают в качестве среды тестирования кастомизированные образы виртуальных машин, точно отражающих инфраструктуру конкретного заказчика.

Облачные же песочницы могут рассматриваться в качестве более доступной по стоимости альтернативы, либо если инфраструктура компании территориально распределена. В этом случае затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачной и on-premise песочницей.

Критерии для выбора поставщика песочницы

Поставщика следует выбирать из соображений его осведомленности о самых новых тактиках, которыми пользуются злоумышленники для обхода защитных решений, применяемых в компании. Здесь важную роль играют несколько факторов:

специализация компании-производителя: являются ли продукты обеспечения ИБ основными в профиле, либо же это сопутствующие или вспомогательные разработки;

история компании-производителя: как часто меняются собственники бизнеса, а вместе с ними — приоритеты и вектора развития продуктовой линейки;

присутствие на рынке: чем оно шире, тем больше информационная база вредоносных объектов и моделей вредоносного поведения, на которых строятся и оттачиваются модели машинного обучения, поведенческого анализа и других средств выявления и противодействия угрозам;

оперативный доступ к самой передовой информации о выявленных уязвимостях в ОС и ПО: чем быстрее производитель средств защиты получает такую информацию из собственных исследований или от энтузиастов-исследователей и частных специалистов в области киберзащиты, тем быстрее будут разработаны и внедрены контрмеры, блокирующие возможность использования новейших уязвимостей, даже если патч от официального производителя ОС или ПО ещё не выпущен.

Ви́дение Trend Micro

Примером конкретной реализации описанного подхода к песочницам является продукт Trend Micro Deep Discovery Analyzer. Он представляет собой масштабируемый аппаратный сервер песочниц и позволяет загружать в виртуальные машины различные образы рабочей среды компании. Он полностью интегрируется с нашими решениями для защиты почты и веба, но позволяет принимать образцы на анализ из продуктов других производителей с помощью Web Services API.

Количество данных в мире растет из года в год, поэтому основным вектором развития технологий песочниц является повышение производительности, расширение перечня типов анализируемых объектов и добавление новых моделей обнаружения потенциальных угроз.

Что касается будущего, наиболее очевидным сценарием мы считаем расширение перечня поддерживаемых операционных систем в качестве сред анализа объектов, а также расширение функциональности, которая позволит встраивать песочницы в существующие экосистемы заказчиков с минимальными изменениями конфигураций устоявшейся ИТ-инфраструктуры.

Определения.

Переходя к антивирусным песочницам, суть которых есть защита основной рабочей системы от потенциально опасного контента, можно выделить три базовые модели изоляции пространства песочницы от всей остальной системы.

1. Изоляция на основе полной виртуализации. Использование любой виртуальной машины в качестве защитного слоя над гостевой операционной системой, где установлен браузер и иные потенциально опасные программы, через которые пользователь может заразиться, даёт достаточно высокий уровень защиты основной рабочей системы.

Недостатки подобного подхода, кроме монструозного размера дистрибутива и сильного потребления ресурсов, кроются в неудобствах обмена данными между основной системой и песочницей. Более того, нужно постоянно возвращать состояние файловой системы и реестра к исходным для удаления заражения из песочницы. Если этого не делать, то, например, агенты спам-ботов будут продолжать свою работу внутри песочницы как ни в чём не бывало. Блокировать их песочнице нечем. Кроме того, непонятно, что делать с переносимыми носителями информации (флешки, например) или выкачанными из Интернета играми, в которых возможны зловредные закладки.

Пример подхода- Invincea.

2. Изоляция на основе частичной виртуализации файловой системы и реестра. Совсем необязательно таскать с собой движок виртуальной машины, можно подпихивать процессам в песочнице дубликаты объектов файловой системы и реестра, помещая в песочницу приложения на рабочей машине пользователя. Попытка модификации данных объектов приведёт к изменению лишь их копий внутри песочницы, реальные данные не пострадают. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

Недостатки подобного подхода также очевидны– обмен данными между виртуальным и реальным окружением затруднён, необходима постоянная очистка контейнеров виртуализации для возврата песочницы к изначальному, незаражённому состоянию. Также, возможны пробои либо обход такого вида песочниц и выход зловредных программных кодов в основную, незащищённую систему.

Пример подхода- SandboxIE, BufferZone, ZoneAlarm ForceField, изолированная среда Kaspersky Internet Security, Comodo Internet Security sandbox, Avast Internet Security sandbox.

3. Изоляция на основе правил. Все попытки изменения объектов файловой системы и реестра не виртуализируются, но рассматриваются с точки зрения набора внутренних правил средства защиты. Чем полнее и точнее такой набор, тем большую защиту от заражения основной системы предоставляет программа. То есть, этот подход представляет собой некий компромисс между удобством обмена данными между процессами внутри песочницы и реальной системой и уровнем защиты от зловредных модификаций. Контроль прав не даёт возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

К плюсам такого подхода относится, также, отсутствие необходимости постоянного отката файловой системы и реестра к изначальному состоянию.

Недостатки подобного подхода– программная сложность реализации максимально точного и полноценного набора правил, возможность лишь частичного отката изменений внутри песочницы. Так же, как и любая песочница, работающая на базе рабочей системы, возможен пробой либо обход защищённой среды и выход зловредных кодов в основную, незащищённую среду исполнения.

Пример подхода- DefenseWall, Windows Software Restriction Policy, Limited User Account + ACL.

Существуют и смешанные подходы к изоляции процессов песочницы от остальной системы, основанные как на правилах, так и на виртуализации. Они наследуют как достоинства обоих методов, так и недостатки. Причём недостатки превалируют из-за особенностей психологического восприятия пользователей.

Примеры подхода- GeSWall, Windows User Account Control (UAC).

Методы принятия решения о помещении под защиту.

Перейдём к методам принятия решения о помещении процессов под защиту песочницей. Всего их три базовых:

1. На основе правил. То есть, модуль принятия решения смотрит на внутреннюю базу правил запуска тех или иных приложений или потенциально опасных файлов и, в зависимости от этого, запускает процессы в песочнице либо вне неё, на основной системе.

Преимущества данного подхода- наиболее максимальный уровень защиты. Закрываются как зловредные программные файлы, пришедшие из потенциально опасных мест через песочницу, так и неисполняемые файлы, содержащие зловредные скрипты.

Недостатки– могут быть проблемы при установке программ, пришедших через песочницу (хотя белые списки и сильно облегчают эту задачу), необходимость вручную запускать процессы в основной, доверенной зоне для обновления программ, обновляющихся только внутри себя самих (например, Mozilla FireFox, Utorrent или Opera).

Примеры программ с таким подходом- DefenseWall, SandboxIE, BufferZone, GeSWall.

2. На основе прав пользователя. Так работает Windows Limited User Account и защита на основе SRP и ACL. При создании нового пользователя ему предоставляются права доступа к определённым ресурсам, а также ограничения на доступ к другим. При необходимости программы работы с запрещёнными для данного пользователя ресурсами необходимо либо перелогиниться в системе под пользователем с подходящим набором прав и запустить программу, либо запустить её одну под таким пользователем, без перелогинивания основного работающего пользователя (Fast User Switch).

Преимущества такого подхода- относительно неплохой уровень общей защищённости системы.

Недостатки- нетривиальность управления защитой, возможность заражения через разрешённые для модификации ресурсы, поскольку модуль принятия решения не отслеживает такие изменения.

Преимущества данного подхода- он более прозрачен для пользователя, чем на основе правил. Проще в обслуживании и реализации для компании–производителя.

Отдельно хотелось обратить внимание на метод использования песочницы как средства эвристики, т.е. запуск программы в ней на некоторый промежуток времени с последующим анализом действий и принятием общего решения о зловредности– полноценной антивирусной песочницей данный подход не назвать. Ну что это за антивирусная песочница, которая устанавливается лишь на краткий период времени с возможностью полного её снятия?

Режимы использования антивирусных песочниц.

Их всего два основных.

1. Режим постоянной защиты. При старте процесса, который может быть угрозой для основной системы, он автоматически помещается в песочницу.

2. Режим ручной защиты. Пользователь самостоятельно принимает решение о запуске того либо иного приложения внутри песочницы.

Для песочниц с изоляцией на основе правил характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно прозрачен.

Для эвристических песочниц также характерно использование режима постоянной защиты, поскольку обмен данными между основной системой и процессами внутри песочницы абсолютно несущественен либо сводится к оному.

Для неэвристических песочниц с изоляцией на основе частичной виртуализации характерен режим ручной защиты. Это связано с затруднённым обменом данными между процессами внутри песочницы и основной рабочей системой.

Вот, в основном, базовые вещи, любой уважающий себя профессионал должен знать об антивирусных песочницах. У каждой отдельной программы свои особенности реализации, которые вы уже сами должны будете найти, понять и оценить те плюсы и минусы, которые она несёт.

Читайте также:

  
• Какой вирус вызывает тиреоидит
  
• Вирус герпеса с поражением жкт
  
• Стеноз гортани при ветрянке
  
• Вирус у ребенка болит живот и голова
  
• Как не поддаваться панике при коронавирусе