SafeGroup
Wirtualizer czy Sandbox? - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Wirtualizacja, izolacja (https://safegroup.pl/forum-31.html)
+--- Wątek: Wirtualizer czy Sandbox? (/thread-3838.html)

Strony: 1 2 3

Re: Wirtualizer czy Sandbox? - Ambient - 13.12.2011

Wykluczałem całe foldery na c:/ i za każdym razem to samo. Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze, po przeskanowaniu i usunięciu części plików wracają one po restarcie. Czyli mimo wykluczenia SD chroni przed modyfikacją, czy usunięciem?

Re: Wirtualizer czy Sandbox? - andrzej76 - 13.12.2011

Wykluczałeś najpierw przed włączeniem trybu shadow mode(tryb ochrony) , czy tryb był włączony i wtedy dodałeś te foldery?

Re: Wirtualizer czy Sandbox? - Ambient - 13.12.2011

Przed włączeniem trybu ochronnego. Nie wiem czy dobrze wyjaśniłem, nowo powstały folder w folderze wykluczonym SD został po restarcie, natomiast pliki które zostały usuniete przez av zostały przywrócone...

Re: Wirtualizer czy Sandbox? - andrzej76 - 13.12.2011

Dokładnie tak ma być, bo tak działa , wszystkie operacje zostają na woluminie zapisane, bo folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.

Re: Wirtualizer czy Sandbox? - ichito - 14.12.2011

Ambient napisał(a):Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze , po przeskanowaniu i usunięciu części plików wracają one po restarcie.

No cóż...nie chcę być nieuprzejmy, ale wg mnie popełniłeś ewidentny błąd, tak nie należy robić i zaraz to spróbuję naświetlić. Andrzej próbował zwrócić na to uwagę, ale chyba nie dość zdecydowanie Smile
andrzej76 napisał(a):folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.

Wykluczenie folderu z tryby wirtualizacji powoduje, że cały obszar dysku/zawartośćfolderu nie będzie wirtualizowana i tym samym zostaje zawsze w niezmienionej postaci po restarcie(bez względu czy przechodzisz tym ponownie do zwirtualizowanego systemu, czy do rzeczywistego). Może to mieć konsekwencje w tym, że nie znając dokładnie mechanizmów przechowywanych w nim infekcji możesz narazić pozostałą część zasobów komputera (inne wydzielone dyski) na potencjalną infekcję. Przypomnij sobie tylko Duqu i jego unikalne możliwości modyfikacji i tym samym sposobów wnikania do systemu.
Nie wiem Ambient, czy pliki z próbkami przechowujesz na dysku C (systemowym) czy na innym...pamiętaj tylko, że SD ma możliwość wirtualizacji wszystkichwykrytych dysków włącznie z napędami USB. Jeśli włączysz Safe Mode dla wszystkich mając te swoje wykluczenia dla folderu z malware, to jest nadzieja, że niczego nie popsujesz...ale np. zapisując w swoich dokumentach jakieś wyniki analiz, możesz je po restarcie stracić...w końcu zależy nam również na ochronie własnych danych, niezwiązanych z systemem. SD nie chroni przed "wyciekiem danych" ale tylko...i aż...przed ich modyfikacją.
Kiedy pisałem wcześniej o wykluczeniach, miałem na myśli foldery pozostałych programów "security" działających w tle i pobierających aktualizacje...taka forma działania SD może być przydatna. Ale nie sądziłem, że wykluczysz folder z infekcjami, które testujeszNone

Re: Wirtualizer czy Sandbox? - Ambient - 14.12.2011

Teraz to wyszedłem na kompletnego idiotę i ignoranta FacepalmPo prostu mam wykluczony pulpit z ochrony, tam mi się ściągają pliki z netu i tam często zapisuję przejściowo swoje rzeczy. Do końca nie przemyślałem sprawy...
Lepszym pomysłem będzie tak jak ichito wcześniej napisałeś, przed wyłączeniem systemu po prostu zastosować zmiany w wybranych folderach.

Re: Wirtualizer czy Sandbox? - ichito - 14.12.2011

Eeee tam od razu "ignoranta" Grin
Rada jeszcze jedna...nie zapisuj plików na pulpicie...ja wiem, że tak bardzo często jest domyślnie (nawet system tak chyba ma), ale pulpit jest częścią systemu i nie daj Boże, żeby coś się w nim spipcyło, co zmusi Cię do przywrócenia go do poprzedniego stanu. Jeśli będziesz przezorny, to skopiujesz/przeniesiesz pliki z pulpitu...jeśli w panice tego nie zrobisz (a to się często w takich przypadkach zdarza), to masz pozamiatane i tracisz wszystko, co na nim było. To nie jest teoria...doświadczyłem tego samCool
A propos wykluczeń folderów programów do zabezpieczeń jeszcze...żeby namierzyć konieczne foldery przydatny może być czeski program System Explorer. To bardzo przydatny i rozbudowany menadżer/analizatorzasobów systemu (procesy, autostart, połączenia z siecią, sterowniki, usługi, wydajność, itp.) - posiada funkcję sporządzania migawek/punktów przywracania systemu, które możesz tworzyć w dowolnym momencie i porównywać zmiany między sobą...pokazuje zmodyfikowane, stworzone i usunięte pliki/foldery dzięki czemu dowiedzieć się można, co "pracuje" w momencie aktualizacji softu.

[Aby zobaczyć linki, zarejestruj się tutaj]



Re: Wirtualizer czy Sandbox? - Tomasz - 17.12.2011

Wrzuciłby ktoś do analizy przez pracownika Valkyrie instalke SD w wersji .325 albo .326 ? Bardzo proszę.

Re: Wirtualizer czy Sandbox? - Flash999 - 17.12.2011

Valkyrie (przynajmniej mi) nie działa Sad.

Re: Wirtualizer czy Sandbox? - ichito - 18.12.2011

A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD.

Re: Wirtualizer czy Sandbox? - Tomasz - 18.12.2011

Cytat: analizy przez pracownika


Re: Wirtualizer czy Sandbox? - morphiusz - 18.12.2011

ichito napisał(a):A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD.


VT posiada silniki antywirusowe, valkyrie to silniki heurystyczne. Takze to jest cos innego Smile