antivirus sandbox

Mi a legviccesebb dolog ebben a helyzetben - az interneten szinte teljesen hiányzik megbízható információforrások a témában. Csak egy csomó marketoidnoy pelyva és szöveges nem kap egy a stílus „egy nagymama azt mondta, hallgatni syudy”. Meg kell kitölteni az üres.

meghatározzák

Tehát, homokozó. A kifejezés került sor sem a gyerekek homokozó, hogyan lehet néhány gondolni, de attól, amit a tűz. Ez a tartály homokkal, ahol a biztonságos munkavégzést gyúlékony anyagokkal, vagy dobni valamit már égő félelem nélkül Singe mást. Ezt tükrözi analógia műszaki létesítmények a szoftver komponens, lehet meghatározni, mint egy puha sandbox „izolált végrehajtási környezetet szabályozott jogokat.” Így például működik sandbox Java-gép. És minden más sandbox is, függetlenül a rendeltetési helyre.

Rátérve a anti-homokozóban, a lényeg az, amely a védelmi az alapvető operációs rendszer a potenciálisan veszélyes tartalmat, van három alapvető modell izolálás Sandbox helyet a többi a rendszer.

1. Izolálása alapján teljes virtualizációt
   A bármely virtuális gép, mint egy védőréteget a vendég operációs rendszer fut a böngésző és egyéb potenciálisan nemkívánatos programok, amelyeken keresztül a felhasználó kap, ad egy meglehetősen magas szintű védelem alapvető működő rendszert.

Hátránya ennek a megközelítésnek, amellett, hogy hatalmas eloszlása ​​és erős erőforrás-felhasználás, gyökerezik a kellemetlen közötti adatcsere a fő rendszer és homokozó. Az az igény, hogy folyamatosan visszatér az állam a fájlrendszer és a registry a forrás szennyeződések eltávolítására a homokozóban. Ha nem, akkor például spam szerek továbbra is működni fog a homokozóban, mintha semmi sem történt volna. Blokkolja sandbox semmit. Ezen túlmenően nem világos, mi köze hordozható adathordozóra (USB-meghajtó, például), vagy az internetről letöltött játékokat, hogy lehet rosszindulatú könyvjelzőket.

Ilyen megközelítés, programok

Isolation részleges virtualizáció a fájlrendszer és a registry
Nem szükséges, hogy készítsen egy virtuális gép motor podpihivat folyamatokat a homokozóban ismétlődő objektumok és a registry file-rendszer, amivel a homokozóban alkalmazás a felhasználó számítógépén. Megpróbálja módosítani az adatokat tárgyak vezetne változást csak másolatokat a homokozóban, a valós adatok nem fog szenvedni. Ellenőrző jogok lehetetlenné teszi, hogy megtámadják az alapvető sandbox a rendszeren belül az operációs rendszer interfészek.

Hátránya ennek a megközelítésnek is nyilvánvaló - a különböző rendszerek közötti adatcsere a virtuális és a valós világban is akadályozza, szükség állandó tisztítás konténerek virtualizációs sandbox, hogy visszatérjen az eredeti, szennyezetlen állapotban. Továbbá, esetleges meghibásodás vagy megkerülése ilyen típusú, a hozam homokozók rosszindulatú programkód a fő, a rendszer nem védett.

Ilyen megközelítés, programok

Sandboxie, pufferzónában, ZoneAlarm erőteret, elszigetelt szerda Kaspersky Internet Security, Comodo Internet Security homokozó, Avast Internet Security homokozóban.

Izolálása alapján a szabályok
Minden megpróbálja módosítani a fájlrendszer-objektumok és adatbázis nem virtualizált, de úgy vélte szempontjából egy sor belső szabályok védelmet. A teljesebb és pontosabb egy sor, annál nagyobb az a fertőzés elleni védelemre az alap rendszer programot. Azaz, ez a megközelítés jelent kompromisszumot a könnyű közötti adatcsere folyamatok egy homokozó és a tényleges rendszer és a védelem szintjét a rosszindulatú módosításokkal. Ellenőrző jogok lehetetlenné teszi, hogy megtámadják az alapvető sandbox a rendszeren belül az operációs rendszer interfészek.

Az előnye ennek a megközelítésnek közé, nos, nincs szükség állandó visszaállítását a fájlrendszer és a registry, hogy az eredeti állapot.

Hátránya ennek a megközelítésnek - a szoftver bonyolultsága a végrehajtása a legpontosabb és megfelelő szabályrendszer, csak részleges visszaállítást a homokozóban. Csakúgy, mint bármely homokozó, alapján működő operációs rendszer, kikerülve az esetleges lebontása biztonságos környezet, és ki a rosszindulatú kódot a fő, nem biztonságos végrehajtási környezetet.

Ilyen megközelítés, programok

DefenseWall Windows Software házirend, korlátozott felhasználói fiók + ACL.

Vannak vegyes megközelítések a szigetelés sandbox folyamatok a többi rendszer, amely mind a szabályokat, és a virtualizáció. Ők öröklik mindkét erőssége mindkét módszer és hátrányai. És hátrányokat érvényesülnek jellege miatt a pszichológiai felfogása a felhasználó.

Ilyen megközelítés, programok

GeSWall, Windows felhasználói fiókok felügyelete (UAC).

Módszerek döntés meghozatala védelem alá helyezés

Térjünk át a módszerek döntéshozatali folyamatok a helyszínen védelme alatt a homokozóban. Összesen három bázis:

1. A szabályok alapján
   Azaz, a döntési modul nézi a belső alapja a szabályok bevezetése az egyes alkalmazások vagy potenciálisan veszélyes fájlokat, és attól függően ez a folyamat kezdődik a homokozóban, vagy azon kívül, az elsődleges rendszert.

Az előnye ennek a megközelítésnek - a legtöbb legmagasabb szintű védelmet. Zárt mint egy rosszindulatú program files lépett a potenciálisan veszélyes helyeken keresztül a homokozóban, és nem futtatható fájlok, amelyek a rosszindulatú szkriptek.

Hátrányok - lehet probléma, ha telepíti a szoftvert, hogy jött át a homokozóban (bár fehér listák és nagyban megkönnyíti), nem kell kézzel elindítani a folyamatokat a fő, a megbízható zónába szoftverfrissítések, frissíteni, önmagukban (például Mozilla FireFox, Utorrent vagy Opera ).

Ilyen megközelítés, programok

DefenseWall, Sandboxie, pufferzónában, GeSWall.

A felhasználói jogok
Amikor létrehoz egy új felhasználó hozzáférési jogokat kapnak bizonyos források, valamint a hozzáférés korlátozásának másik. Ha szükséges, a munkaprogram betiltották egy adott felhasználó vagy az erőforrás, amire szükség van arra, hogy jelentkezzen a felhasználó a rendszer megfelelő a jogok és a program futtatásához, vagy futtatni alatt olyan felhasználó, aki nem pereloginivaniya fő működtető tag (Fast Felhasználó Switch).

Előnye ennek a megközelítésnek - viszonylag jó általános szintje a rendszer biztonságát.

Hátrányok - a nemdohányzók védelméről köznapisága a kontroll, a fertőzés lehetőségét révén módosíthatják az erőforrásokat, mert a döntés egység nem követi az ilyen változásokat.

Ilyen megközelítés, programok

Tehát Windows jogosultságú felhasználói fiók és védelme alapján SRP és ACL.

Alapján heurisztikus megközelítések
Ebben az esetben a döntés modul „úgy néz ki”, hogy a futtatható fájlt és megpróbálja kitalálni közvetett bizonyítékai alapján, futtatni a host rendszer vagy a homokozóban.

Az előnye ennek a megközelítésnek - ez átláthatóbbá teszi a felhasználó számára, mint a szabályokon alapuló. Könnyebb fenntartani és az értékesítés a cég - a gyártó.

Hátrányok - a kisebbségi ilyen védelmet. Ezen túlmenően, a heurisztikus modul döntést is „hiányzik” a végrehajtható modul, olyan megoldásokat mutatnak szinte ellenállás nélkül, hogy nem futtatható fájlok, amelyek a rosszindulatú szkriptek. Nos, plusz egy pár probléma (például a rosszindulatú bővítmények telepítését a böngészőből, a hasznosítja a test).

Ilyen megközelítés, programok

Kaspersky Internet Security HIPS, Comodo Internet Security homokozóban.

Külön-külön, azt figyelni, hogy a módszer segítségével a homokozóban, mint egy heurisztikus eszközök, azaz, futtatni a programot, hogy egy bizonyos ideig, majd egy elemzést a cselekvés és elfogadását az általános megoldás a rosszindulatú - a teljes körű vírusvédelmi sandbox, ez a megközelítés nem hívják. Nos, milyen antivírus homokozó, ami be van állítva csak rövid ideig azzal a lehetőséggel, annak teljes visszavonását?

Módjai az anti-vírus homokozók

Már csak két fő közül:

1. A valós idejű védelem mód
   Elején a folyamat, amely veszélybe kerülhet az alap rendszert, automatikusan bekerül a homokozóban.

Kézvédelem mód
Felhasználó saját maga dönt, hogy indítson bármely más alkalmazás a homokozóban.

A homokozók, amelynek fő működési mód, mint egy „állandó védelem” is van, és kézi indítási üzemmódba. Csakúgy, mint fordítva.

Sandbox szigeteléssel alapján szabályok alkalmazása jellemzi a valós idejű védelmet, mert a különböző rendszerek közötti adatcsere a fő rendszer és folyamatok a sandbox teljesen átlátszó.

Heurisztikus sandbox is jellemzi a használata a valós idejű védelem, hiszen a különböző rendszerek közötti adatcsere a fő rendszer és folyamatok a sandbox teljesen lényegtelen, vagy csökkenteni a mérő.

Mert neevristicheskih sandbox szigeteléssel alapján részleges virtualizáció jellemző kézi üzemmód. Ez annak köszönhető, hogy erőltetett közötti kommunikáció folyamatainak homokozó és a fő operációs rendszer.

példák:

• DefenseWall (sandbox szigetelt szabály-alapú) van egy fő működési mód „állandó szabály”. Azonban a kézi indítás alkalmazások belül a homokozóban, valamint azon kívül is jelen vannak.
  
• Sandboxie (sandbox és szigetelt alapján részleges virtualizáció) egy fő működési mód „kézzel”. De amikor a vásárlás módban „állandó szabály” aktiválhatja az engedélyt.
  
• Comodo Internet Security sandbox (homokozó részleges szigetelés alapú virtualizációs) egy fő működési mód „heurisztikus állandó”. Azonban alkalmazások elindítása manuálisan a homokozóban, valamint azon kívül is jelen vannak.

következtetés

Azaz, a fő, alapvető dolgokat, minden magára valamit is adó szakmai tudni kell anti-vírus járókákban. Minden egyes program végrehajtásuk funkciókat, hogy már saját lesz megtalálni, megérteni és értékelni az előnyeit és hátrányait, hogy hordozza.