Wirtualizer czy Sandbox?

[Ambient]

13 gru 2011, 17:44

Wykluczałem całe foldery na c:/ i za każdym razem to samo. Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze, po przeskanowaniu i usunięciu części plików wracają one po restarcie. Czyli mimo wykluczenia SD chroni przed modyfikacją, czy usunięciem?

[andrzej76]

13 gru 2011, 17:54

Wykluczałeś najpierw przed włączeniem trybu shadow mode(tryb ochrony) , czy tryb był włączony i wtedy dodałeś te foldery?

[Ambient]

13 gru 2011, 18:45

Przed włączeniem trybu ochronnego. Nie wiem czy dobrze wyjaśniłem, nowo powstały folder w folderze wykluczonym SD został po restarcie, natomiast pliki które zostały usuniete przez av zostały przywrócone...

[andrzej76]

13 gru 2011, 21:09

Dokładnie tak ma być, bo tak działa , wszystkie operacje zostają na woluminie zapisane, bo folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.

[ichito]

14 gru 2011, 6:22

Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze, po przeskanowaniu i usunięciu części plików wracają one po restarcie.

No cóż...nie chcę być nieuprzejmy, ale wg mnie popełniłeś ewidentny błąd, tak nie należy robić i zaraz to spróbuję naświetlić. Andrzej próbował zwrócić na to uwagę, ale chyba nie dość zdecydowanie

folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.

Wykluczenie folderu z tryby wirtualizacji powoduje, że cały obszar dysku/zawartość folderu nie będzie wirtualizowana i tym samym zostaje zawsze w niezmienionej postaci po restarcie (bez względu czy przechodzisz tym ponownie do zwirtualizowanego systemu, czy do rzeczywistego). Może to mieć konsekwencje w tym, że nie znając dokładnie mechanizmów przechowywanych w nim infekcji możesz narazić pozostałą część zasobów komputera (inne wydzielone dyski) na potencjalną infekcję. Przypomnij sobie tylko Duqu i jego unikalne możliwości modyfikacji i tym samym sposobów wnikania do systemu.
Nie wiem Ambient, czy pliki z próbkami przechowujesz na dysku C (systemowym) czy na innym...pamiętaj tylko, że SD ma możliwość wirtualizacji wszystkich wykrytych dysków włącznie z napędami USB. Jeśli włączysz Safe Mode dla wszystkich mając te swoje wykluczenia dla folderu z malware, to jest nadzieja, że niczego nie popsujesz...ale np. zapisując w swoich dokumentach jakieś wyniki analiz, możesz je po restarcie stracić...w końcu zależy nam również na ochronie własnych danych, niezwiązanych z systemem. SD nie chroni przed "wyciekiem danych" ale tylko...i aż...przed ich modyfikacją.
Kiedy pisałem wcześniej o wykluczeniach, miałem na myśli foldery pozostałych programów "security" działających w tle i pobierających aktualizacje...taka forma działania SD może być przydatna. Ale nie sądziłem, że wykluczysz folder z infekcjami, które testujesz

[Ambient]

14 gru 2011, 8:04

Teraz to wyszedłem na kompletnego idiotę i ignoranta Po prostu mam wykluczony pulpit z ochrony, tam mi się ściągają pliki z netu i tam często zapisuję przejściowo swoje rzeczy. Do końca nie przemyślałem sprawy...
Lepszym pomysłem będzie tak jak ichito wcześniej napisałeś, przed wyłączeniem systemu po prostu zastosować zmiany w wybranych folderach.

Ostatnio zmieniony 15 gru 2011, 2:05 przez Ambient, łącznie zmieniany 1 raz

[ichito]

14 gru 2011, 9:37

Eeee tam od razu "ignoranta" Pamiętaj - "błądzić jest rzeczą ludzką" i "nikt nie jest doskonały"...każdy z nas się wciąż czegoś nowego uczy i każdy z nas od czegoś zaczynał. Ani ja, ani nikt inny nie urodził się z tą wiedzą, którą ma
Rada jeszcze jedna...nie zapisuj plików na pulpicie...ja wiem, że tak bardzo często jest domyślnie (nawet system tak chyba ma), ale pulpit jest częścią systemu i nie daj Boże, żeby coś się w nim spipcyło, co zmusi Cię do przywrócenia go do poprzedniego stanu. Jeśli będziesz przezorny, to skopiujesz/przeniesiesz pliki z pulpitu...jeśli w panice tego nie zrobisz (a to się często w takich przypadkach zdarza), to masz pozamiatane i tracisz wszystko, co na nim było. To nie jest teoria...doświadczyłem tego sam
A propos wykluczeń folderów programów do zabezpieczeń jeszcze...żeby namierzyć konieczne foldery przydatny może być czeski program System Explorer. To bardzo przydatny i rozbudowany menadżer/analizator zasobów systemu (procesy, autostart, połączenia z siecią, sterowniki, usługi, wydajność, itp.) - posiada funkcję sporządzania migawek/punktów przywracania systemu, które możesz tworzyć w dowolnym momencie i porównywać zmiany między sobą...pokazuje zmodyfikowane, stworzone i usunięte pliki/foldery dzięki czemu dowiedzieć się można, co "pracuje" w momencie aktualizacji softu.

Spoiler:

Poniżej znajduje się treść ukrytej wiadomości.

Widoczne tylko dla zarejestrowanych użytkowników.

[Tomasz]

17 gru 2011, 9:31

Wrzuciłby ktoś do analizy przez pracownika Valkyrie instalke SD w wersji .325 albo .326 ? Bardzo proszę.

[Flash999]

17 gru 2011, 11:15

Valkyrie (przynajmniej mi) nie działa .

[ichito]

18 gru 2011, 7:36

A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do tak mało popularnego softu, jak ostatnia wersja SD.

[Tomasz]

18 gru 2011, 10:35

analizy przez pracownika

[morphiusz]

18 gru 2011, 10:45

A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do tak mało popularnego softu, jak ostatnia wersja SD.

VT posiada silniki antywirusowe, valkyrie to silniki heurystyczne. Takze to jest cos innego