Wirtualizer czy Sandbox? - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Wirtualizacja, izolacja (https://safegroup.pl/forum-31.html) +--- Wątek: Wirtualizer czy Sandbox? (/thread-3838.html) |
Re: Wirtualizer czy Sandbox? - Ambient - 13.12.2011 Wykluczałem całe foldery na c:/ i za każdym razem to samo. Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze, po przeskanowaniu i usunięciu części plików wracają one po restarcie. Czyli mimo wykluczenia SD chroni przed modyfikacją, czy usunięciem? Re: Wirtualizer czy Sandbox? - andrzej76 - 13.12.2011 Wykluczałeś najpierw przed włączeniem trybu shadow mode(tryb ochrony) , czy tryb był włączony i wtedy dodałeś te foldery? Re: Wirtualizer czy Sandbox? - Ambient - 13.12.2011 Przed włączeniem trybu ochronnego. Nie wiem czy dobrze wyjaśniłem, nowo powstały folder w folderze wykluczonym SD został po restarcie, natomiast pliki które zostały usuniete przez av zostały przywrócone... Re: Wirtualizer czy Sandbox? - andrzej76 - 13.12.2011 Dokładnie tak ma być, bo tak działa , wszystkie operacje zostają na woluminie zapisane, bo folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD. Re: Wirtualizer czy Sandbox? - ichito - 14.12.2011 Ambient napisał(a):Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze , po przeskanowaniu i usunięciu części plików wracają one po restarcie. No cóż...nie chcę być nieuprzejmy, ale wg mnie popełniłeś ewidentny błąd, tak nie należy robić i zaraz to spróbuję naświetlić. Andrzej próbował zwrócić na to uwagę, ale chyba nie dość zdecydowanie andrzej76 napisał(a):folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD. Wykluczenie folderu z tryby wirtualizacji powoduje, że cały obszar dysku/zawartośćfolderu nie będzie wirtualizowana i tym samym zostaje zawsze w niezmienionej postaci po restarcie(bez względu czy przechodzisz tym ponownie do zwirtualizowanego systemu, czy do rzeczywistego). Może to mieć konsekwencje w tym, że nie znając dokładnie mechanizmów przechowywanych w nim infekcji możesz narazić pozostałą część zasobów komputera (inne wydzielone dyski) na potencjalną infekcję. Przypomnij sobie tylko Duqu i jego unikalne możliwości modyfikacji i tym samym sposobów wnikania do systemu. Nie wiem Ambient, czy pliki z próbkami przechowujesz na dysku C (systemowym) czy na innym...pamiętaj tylko, że SD ma możliwość wirtualizacji wszystkichwykrytych dysków włącznie z napędami USB. Jeśli włączysz Safe Mode dla wszystkich mając te swoje wykluczenia dla folderu z malware, to jest nadzieja, że niczego nie popsujesz...ale np. zapisując w swoich dokumentach jakieś wyniki analiz, możesz je po restarcie stracić...w końcu zależy nam również na ochronie własnych danych, niezwiązanych z systemem. SD nie chroni przed "wyciekiem danych" ale tylko...i aż...przed ich modyfikacją. Kiedy pisałem wcześniej o wykluczeniach, miałem na myśli foldery pozostałych programów "security" działających w tle i pobierających aktualizacje...taka forma działania SD może być przydatna. Ale nie sądziłem, że wykluczysz folder z infekcjami, które testujesz Re: Wirtualizer czy Sandbox? - Ambient - 14.12.2011 Teraz to wyszedłem na kompletnego idiotę i ignoranta Po prostu mam wykluczony pulpit z ochrony, tam mi się ściągają pliki z netu i tam często zapisuję przejściowo swoje rzeczy. Do końca nie przemyślałem sprawy... Lepszym pomysłem będzie tak jak ichito wcześniej napisałeś, przed wyłączeniem systemu po prostu zastosować zmiany w wybranych folderach. Re: Wirtualizer czy Sandbox? - ichito - 14.12.2011 Eeee tam od razu "ignoranta" Rada jeszcze jedna...nie zapisuj plików na pulpicie...ja wiem, że tak bardzo często jest domyślnie (nawet system tak chyba ma), ale pulpit jest częścią systemu i nie daj Boże, żeby coś się w nim spipcyło, co zmusi Cię do przywrócenia go do poprzedniego stanu. Jeśli będziesz przezorny, to skopiujesz/przeniesiesz pliki z pulpitu...jeśli w panice tego nie zrobisz (a to się często w takich przypadkach zdarza), to masz pozamiatane i tracisz wszystko, co na nim było. To nie jest teoria...doświadczyłem tego sam A propos wykluczeń folderów programów do zabezpieczeń jeszcze...żeby namierzyć konieczne foldery przydatny może być czeski program System Explorer. To bardzo przydatny i rozbudowany menadżer/analizatorzasobów systemu (procesy, autostart, połączenia z siecią, sterowniki, usługi, wydajność, itp.) - posiada funkcję sporządzania migawek/punktów przywracania systemu, które możesz tworzyć w dowolnym momencie i porównywać zmiany między sobą...pokazuje zmodyfikowane, stworzone i usunięte pliki/foldery dzięki czemu dowiedzieć się można, co "pracuje" w momencie aktualizacji softu. [Aby zobaczyć linki, zarejestruj się tutaj] Re: Wirtualizer czy Sandbox? - Tomasz - 17.12.2011 Wrzuciłby ktoś do analizy przez pracownika Valkyrie instalke SD w wersji .325 albo .326 ? Bardzo proszę. Re: Wirtualizer czy Sandbox? - Flash999 - 17.12.2011 Valkyrie (przynajmniej mi) nie działa . Re: Wirtualizer czy Sandbox? - ichito - 18.12.2011 A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD. Re: Wirtualizer czy Sandbox? - Tomasz - 18.12.2011 Cytat: analizy przez pracownika Re: Wirtualizer czy Sandbox? - morphiusz - 18.12.2011 ichito napisał(a):A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD. VT posiada silniki antywirusowe, valkyrie to silniki heurystyczne. Takze to jest cos innego |