Re: [問題] 關於勒索病毒的一點防治想法請教
: aabbabcd: 要如何設定?讓瀏覽器以外的程式無法在沙盒裡連網?
那個是sandboxie的功能,可以在每個沙盤的選項裡設定,
可以限制每個沙盤裡可以啟動的程式,除了放行的程式,
其他程式都不能啟動執行。
而且凡是下載回來和安裝在沙盤裡的程式都不能被啟動執行,
即使它和放行的程式同名。
譬如說,我在沙盒裡放行iexplore.exe,
所以安裝在系統的IE可以在沙盒裡啟動,
但是在沙盒裡另外下載或安裝的iexplore.exe,
即使和我放行的程式同名,也不能被啟動和執行。
同樣sandboxie也可以設定允許連網的程式,
在沙盤裡另外下載回來的程式即使同名,也不能連網。
還有允許程式直接存取的資料夾,
安裝在系統的程式在沙盒裡執行時,
可以直接存取沙盒外的資料夾。
例如讓Fx或Chrome可以直接存取它的設定資料夾,
或者避免被改首頁只允許存取書籤和瀏覽記錄檔,
這樣書籤和瀏覽記錄就可以直接寫進真實系統。
但是在沙盤裡下載回來或安裝的程式,
即使和放行的程式同名,也不能直接存取這些資料夾。
譬如說我在沙盒裡另外下載了一個chrome.exe,
這個chrome.exe也不能直接存取Chrome的設定資料檔,
如果要允許在沙盤裡下載回來的chrome.exe可以存取設定檔,
有另外一個選項叫做「完全存取」,
允許完全存取的資料夾就可以被沙盒內的程式直接寫入真實系統。
也可以設定程式禁止存取某個資料夾或者只能讀寫某個資料夾。
還有登錄資料庫也是,可以設定限制程式直接存取的範圍。
另外還有一個很重要的選項是降低權限,
之前sandboixe有一個弱點被攻擊,
隔天就被修補好了,但是即使這個弱點沒有被修補,
只要有開啟「降低沙盤內程式的權限」這個功能,
這個攻擊也無法成功,所以降低權限可以再更進一步提高安全。
上面功能免費版都可以使用,
付費版的sandboixe主要是多了三個很重要的功能,
一個是指定應用程式強制入沙,無論在系統何處開啟這個程式,
被誰開啟這個程式,反正只要這個程式被執行,
就一定強制進入指定的沙盤。
另一個功能指定資料夾強制入沙,
譬如說從網路下載回來的所有來路不明的程式,
全部放在強制入沙的資料夾裡,在這個資料夾底下的任何操作,
開啟任何程式,全部強制進入指定的沙盤。
第三個功能可以建立多個獨立的沙盤,為每個沙盤設定不同的選項。
譬如說為Fx建立一個沙盤,為Chrome建立一個沙盤,為IE建立一個沙盤,
然後每個沙盤設定不同的策略,
也可以獨立清空個別沙盤內的資料而不會互相影響。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.76
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1461897558.A.7B8.html
→
04/29 11:19, , 1F
04/29 11:19, 1F
→
04/29 11:26, , 2F
04/29 11:26, 2F
→
04/29 11:26, , 3F
04/29 11:26, 3F
→
04/29 11:26, , 4F
04/29 11:26, 4F
→
04/29 11:26, , 5F
04/29 11:26, 5F
→
04/29 11:27, , 6F
04/29 11:27, 6F
→
04/29 11:27, , 7F
04/29 11:27, 7F
推
04/29 20:45, , 8F
04/29 20:45, 8F
推
04/29 22:29, , 9F
04/29 22:29, 9F
→
04/29 22:29, , 10F
04/29 22:29, 10F
→
04/29 23:39, , 11F
04/29 23:39, 11F
→
04/29 23:39, , 12F
04/29 23:39, 12F
→
04/29 23:40, , 13F
04/29 23:40, 13F
我覺得不麻煩耶,在沙盒裡使用和在沙盒外使用沒有差別,
如果有開放直接存取設定資料夾和下載資料夾的話,
也不用再手動復原資料回真實系統,
沙盒裡只有cache和不需要的檔案,要清理的時候
只要清空沙盤就好了,清理速度反而更快更方便。
唯一不同的只有在沙盤裡開啟的程序和它觸發的子程序
都會受到沙盤的隔離和限制,
限制的話譬如說不能加載驅動,不能修改沙盤外的程序,
不能底層磁碟操作,修改MBR,重新啟動系統等等。
反正在瀏覽器的沙盤裡本來就不會做這些操作,
有這些操作的話反而很奇怪,可能是中毒了。
而隔離的話因為存取都被重定向到沙盒裡,
而非直接寫入真實系統,
所以也不用每一步都詢問使用者要不要放行,
操作起來不會有干擾,就和在沙盒外使用一模一樣,
所以不會覺得麻煩。
優點就是...因為沙盤可以針對
特定功能的程序和這個程序觸發的子程序作隔離和限制,
所以環境很單純,我們不需要寫通用而且複雜的規則,
大部分情況甚至什麼限制啟動的設定都不需要,
就讓程序在沙盤裡亂寫一通也無所謂,
所以可以當作最後一道防線。
如果不幸防毒防火牆防漏洞等防護軟體通通失敗了,
最後還可以把傷害鎖在沙盒裡。
另外備份也很重要,就算沒有中勒索病毒,硬碟也可能壞掉,
備份+沙盒 沙盒可以補救備份空窗期新加入的檔案,
所以二者不衝突,一起用更好用。
→
04/30 00:04, , 14F
04/30 00:04, 14F
※ 編輯: mayuyu (61.219.36.81), 04/30/2016 01:10:18
推
04/30 12:09, , 15F
04/30 12:09, 15F
推
05/04 00:07, , 16F
05/04 00:07, 16F
推
06/10 10:12, , 17F
06/10 10:12, 17F
討論串 (同標題文章)
完整討論串 (本文為第 3 之 5 篇):
問題
11
17