Re: [問題] 怕中毒如果不用沙盒,防毒推薦?
※ 引述《nmcat (打瞌睡的貓)》之銘言:
: 最近版上勒索軟體的攻擊災情不斷
: 有朋友上班的公司就發生了!
: 現在的防毒軟體應該都差不多了吧
: 除了基本的病毒防護惡意網站過濾行為偵測
: 應該也都要有才算的上是好的軟體了
: 有朋友建議說若會害怕
: 可以弄個沙盒來玩
: 把不清楚又想點的連結弄在沙盒裡開
: 就知道是不是中毒了
: 我自己估狗覺得有點難就是
: 有沒有付費防毒推薦
: 防護措施比較完善的
: 不然沙盒亂用等下搞死自己~
沙盒不會複雜啦,以Sandboxie為例,
裝好以後在檔案上右鍵「從沙盒中開啟」就可以了。
或者可以改瀏覽器捷徑,捷徑的目標改為
"C:\Program Files\Sandboxie\Start.exe"
/box:指定的沙盒 /nosbiectrl
"瀏覽器的路徑\iexplore.exe或chrome.exe或firefox.exe"
以上三行接起來。
這樣點瀏覽器的捷徑圖示就會自動用指定的沙盒開啟了。
其他其實不太需要設定,為了方便,
可以加個讓沙盒直接存取瀏覽器的設定資料夾和下載資料夾,
其他快取和暫存的檔案都留在沙盒裡,這樣要清理反而很方便,
直接清空沙盒就好了。
不過Sandboxie會和部分防毒軟體衝突,例如卡巴斯基2016,
所以要使用SBIE前先確定系統的防毒可以搭配SBIE。
Sandboxie原本和其他沙盒軟體一樣是使用系統核心層的鉤子,
Sandboxie 4.x版之後改成利用Windows本身的安全機制,
把沙盒裡的程式的安全層級設為最低的Untrusted和NT AUTHORITY\
ANONYMOUS LOGON群組,在這種情況下程式根本無法正常運作,
所以要透過SBIE在使用層的鉤子SbieSvc來幫它取得訪問系統的權限。
所以SBIE其實不是一個阻擋器或限制器,相反的
沙盒裡的程式反而是靠SBIE來幫它打開窗口,
才能取得訪問系統的權限。
沒有SBIE居中幫忙,沙盒裡的程式什麼事也做不了。
也因為如此,即使SbieSvc不幸當掉了,沙盒裡的程式還是被鎖在沙盒裡,
沒有了SbieSvc,沙盒裡的程式就無法和外界溝通,直接變成了廢物。
另一個利用Windows本身安全層級和群組機制的沙盒是ReHIPS,
ReHIPS認為SBIE的點子很棒,
但是直接打入Untrusted和NT AUTHORITY\ANONYMOUS LOGON群組,
程式什麼事也做不了,變成需要SbieSvc來開放功能和權限,
而這個開放的規則列表會非常複雜,
開放的某些功能交互組合可能會提供意想不到的逃出漏洞,
而龐大的規則列表和程序間的通訊也可能會帶來執行效能的下降。
不過目前已知會產生漏洞的API都被SBIE禁止了,
此外實際使用上也感覺不出有顯著的效能下降。
所以以安全性和方便性來說,我還是推薦SBIE。
另外還有一個已經不再維護的軟體Secure Folders,
它可以鎖住資料夾只允許特定程式存取,
甚至可以直接指定附檔名只允許特定程式存取,
例如音樂資料夾或.mp3只允許指定的播放軟體存取,
其他軟體都不能讀寫這些資料夾或檔案。
這個軟體經過實測也可以保護檔案不被加密,
但是對修改MBR直接重開機在進入作業系統前加密的軟體無效,
還有它已經不再維護了,所以對於將來的加密勒索軟體不一定有用。
其他還有類似的軟體例如Easy File Locker,
但是Easy File Locker也不能阻擋底層磁碟寫入,
所以我覺得......還是用SBIE吧。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.176
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1464082062.A.444.html
推
05/24 20:47, , 1F
05/24 20:47, 1F
→
05/24 20:47, , 2F
05/24 20:47, 2F
→
05/24 21:41, , 3F
05/24 21:41, 3F
→
05/24 21:41, , 4F
05/24 21:41, 4F
→
05/24 21:42, , 5F
05/24 21:42, 5F
推
05/25 00:11, , 6F
05/25 00:11, 6F
→
05/25 00:12, , 7F
05/25 00:12, 7F
→
05/25 00:13, , 8F
05/25 00:13, 8F
因為3.x版和4.x版以後使用的是不同的方法實現沙盤,
3.x是比較不安全的系統核心鉤子,原作者也沒有繼續再維護了,
反而4.x版以後使用的是Windows本身的安全機制+虛擬化,
只有使用者層的鉤子。
這是更聰明的作法,要破只有
1.Windows本身的安全機制被攻破
2.SBIE開放的API當中能夠被組合利用穿透沙盤
兩項都很難。
理論上直接使用Windows的安全機制相容性應該比較高,
防毒軟體應該更不喜歡核心的rootkit行為,
結果反而卡巴改版後會衝到,無奈。
ReHIPS目前問題還很多,等將來完善後可以試試,
它應該不會和卡巴衝到。
ReHIPS一樣是使用Windows的安全機制來建立沙盤,
但是它沒有使用鉤子。
它的想法類似SBIE,
不過不像SBIE是將程式直接打入毫無訪問權限的Untrusted。
ReHIPS預設是建立一個Medium的普通使用者,
所以在沙盒內的程式一開始就可以做Medium權限能做的事,
所以它不像SBIE需要一個SbieSvc的鉤子,
來幫沙盒內的程式取得向外訪問的權限。
你可以把ReHIPS當成是用另一個使用者身份登入的空間,
但是不用真的登入登出,而是在現有的帳號下就可以切換身份。
這個新身份(沙盒)被系統限制訪問的權限,只能在自己的空間內亂寫,
而無法破壞其他的使用者空間,所以具有隔離的效果。
所以ReHIPS和SBIE其實是相同的想法,只是ReHIPS不使用鉤子,
完全就是利用Windows本身的功能,
所以理論上應該不會有相容性的問題。
Chrome在Windows上的新沙盒也是直接使用Windows 8的AppContainer,
不同的是Chrome的沙盒只隔離chrome.exe,
無法保護系統的其他部分。
※ 編輯: mayuyu (61.219.36.46), 05/25/2016 01:23:25
推
05/26 18:46, , 9F
05/26 18:46, 9F
→
05/26 18:48, , 10F
05/26 18:48, 10F
推
05/26 22:04, , 11F
05/26 22:04, 11F
→
05/26 22:07, , 12F
05/26 22:07, 12F
→
05/26 22:35, , 13F
05/26 22:35, 13F
簡單的說就是會被拒絕。
SBIE會hook沙盒內的程式,然後經SbieSvc過濾程式的每一項要求,
根據規則列表來允許和代替程式向系統取得權限和返回操作結果,
所以沙盒內的程式可以和一般普通層級和群組的程式一樣,
能夠正常的運作。
如果程式的要求和行為被規則列表判定為拒絕,
SbieSvc就不會代為向系統發送,
此時SBIE就會返回一個錯誤訊息,這項操作就不會完成。
SBIE本身已經禁止了一些API呼叫,不允許沙盒內的程式安裝驅動,
不能進行底層磁碟操作,不能下達重新開機的命令等等。
由於沙盒內的程式身為不受信任的層級,
每一項操作和訪問沒有SbieSvc的幫忙都不可能完成,
所以部分需要這些權限和操作的程式便無法安裝在沙盒裡。
SBIE還有一個選項「Drop Right」,可以再更進一步削減
沙盒內程式的權限(就是規則列表裡拒絕的項目更多)。
ReHIPS則是一開始就擁有Medium權限,所以一般能做的工作都能做,
而需要管理員權限的操作則會被Windows本身的安全層級機制
直接禁止。
這是Windows Vista以後作業系統本身的層級架構,
除非作業系統本身被攻破,不然所有軟體都無法逾越這個限制。
這也是為什麼新的沙盒設計SBIE 4.x/ReHIPS/Chrome
都直接利用作業系統本身的機制,
而不再使用脆弱的系統核心層的hook技術。
※ 編輯: mayuyu (61.219.36.46), 05/27/2016 01:06:41
推
06/07 14:51, , 14F
06/07 14:51, 14F
討論串 (同標題文章)