PDA

Просмотр полной версии : Как максимально обезопасить запуск неизвестного файла?



chaoss
13.11.2007, 01:35
В одной из тем я писал, как недавно ко мне проник вирус, удалил все антивирусы и прочую защиту, после чего мне пришлось систему переустанавливать. Жизнь научила. Теперь даже при установленном антивирусе и фаерволе побаиваюсь запускать подозрительные файлы на компьютере. Хотя раньше думал, что раз антивирус есть (хороший антивирус), то можно запускать что угодно.
Конкретнее. В тот раз вирус проник ко мне через программу полученную по e-Mule. Запустил exe файл и прощай антивирусы! Поэтому вопрос: каким образом максимально обезопасить запуск подозрительных файлов, полученных не от хорошего друга или надежного источника, а просто через тот же e-Mule? Вариант не пользоваться e-Mule вообще не подходит, так как бывает нужна всякая мелочевка, здесь и сейчас.
До описанного выше момента, я считал, что антивирус всегда либо обнаружит вирус/червя/трояна заранее, либо потом не даст ему установить свои коды в критические области системы. Убедился, что не всегда. Это странно. Неужели хороший антивирус, будучи уже установленным на компьютере, а значит имя преимущества, тем не менее не может проконтролировать куда вирус записывает свои коды? Если имеются опасения по поводу файла, то нельзя ли поместить его в какую-нибудь особую зону или ограничить в правах, так чтобы он мог "прыгать" только в области определенной папки, ничего не записывая в windows?

P.S. Раньше у меня были Symantec Antivirus 10 + Zone Alarm 7, теперь перешел на KIS 7. Пока бета-версия, но работа нравится, скоро куплю полную лицензию.

TANUKI
13.11.2007, 03:42
Самое главное не кликать на файл два раза :)
Сперва можно прогнать через основной антивирус. Если антивирус молчит, но файл вам кажется слишком подозрительным, то можно его прогнать по одну из он-лайн полигонов типа virustotal.com.
(другие сервисы в этой теме: http://virusinfo.info/showthread.php?t=1379)

Это, однако, только в том случае, если файл не слишком большой. Просто на каждом из сайтов есть свои ограничения.

Да... основное правило - не качяйте кряки - это кладязь троянов :)

Вариант номер два: испытывать файлы на виртуальной машине типа под Shadow User ;)

chaoss
13.11.2007, 04:43
Прогнать через сайт - это хорошая идея. Но сомневаюсь в том, что это может помочь против не слишком явных вирусов. Вот у меня есть такой пример, все время хочу у специалистов спросить... Почти любая программа может создавать и удалять файлы. Word создает копии открытых документов, а затем удаляет, графические программы создают, а затем очищают вспомогательные для работы файлы. Примеров полно. При этом они делают это свободно, не спрашивая ни у кого разрешения. Даже тот же KIS 7, он контролирует обращение и целостность лишь самых важных файлов, а не каждого jpg файла на моем компьютере. Так вот если программы никак не контролируются, то что мешает какому-нибудь вирусу стереть половину моего жесткого диска? Я два раза кликнул на exe файле, а у меня раз и стерлось все. Раз настоящие программы используют методы, которые позволяют им без особого разрешения файлами распоряжаться, то что мешает вирусу использовать эти же методы. И никакой антивирус распознать такой код не сможет. Нельзя же антивирус заставить считать опасной любую программу, которая создает/удаляет программы.

Вот поэтому для таких подозрительных программ мне и кажется, что единственно возможное безопасное решение - категорически ограничить их возможности. Например, вот для программы папка и 10 Мб свободного места в ней и ни одного действия за пределами! Вот кусок оперативной памяти 1 Мб, и за него ни шагу! Неужели операционная система с помощью каких-нибудь антивирусов и других дополнительных программ не может обеспечить такую вот "испытательную" зону? Я уж не говорю о возможных (теоретически, так как я не программист такого уровня) более хитрых способах обмана вируса и проверки файла. Например, разве нельзя создать виртуальную эмуляцию своего компьютера? Этакая поддельная операционная система в настоящей? Чтобы на эмуляции проверить, как в ней себя ведет запущенный файл. И, если ничего плохого не делает, то пропускаем в настоящую систему. Или разве нельзя сделать так, чтобы антивирус эмулировал выполнение exe файла? Этакое выполнение exe файла в dubug режиме? Когда антивирус считывает то, что написано в exe файле, а затем по шагам начинает выполнять действия, на каждом этапе спрашивая меня, хочу ли я произвести те или иные изменения.

Jolly Rojer
13.11.2007, 05:49
Уважаемый chaoss.

1) Многое зависит от того как настроить антивирус, в соответствии с этим так он и будет реагировать на поведение того или иного приложения.
2) Влияют и наличие настроенных политик безопасности и статуса учетной записи текущего пользователя, Естественно влияет и выбор файловой таблицы, есть существенная разница между FAT и NTFS но многие на это ни как не обращают внимание. Некоторые из знакомых администраторов говорят мне NTFS не нужен файлы удаленные из под этой таблицы сложнее восстанавливать!
3) Процесс самого антивируса должен быть защищен паролем.
4) Создание виртуальных машин давно используется для работы со зверьем, но не стоит забывать что это все пишется человеком и обходится тоже человеком, а соответственно есть зверье которое успешно определяет что запущено на виртуальной машине!

Хотелось бы у Вас узнать что вы подразумеваете под "явным вирусом" все условно есть многие вредоносные программы которые не являются 100% таковыми!

Ну раз вам так интересно тогочто касается "испытательной зоны" то мне кажется Вам дали вполне не плохой совет воспользоватся Shadow User !

И вот честно сказать не совсем понял зачем нужно чтоб антивирус эмулировал работу по шагам...? Антивирус нужнен не для того чтоб эмулировать поведение вредоносов, а для того чтоб ряовой пользователь мог себя обезопасить в некоторой степени от влияния этих программ!

Если интересно поведение вирусов может проще устроится в какую нибудь антивирусную лабораторию ;) ?

TANUKI
13.11.2007, 05:54
1. Этакая поддельная операционная система в настоящей?

2. Когда антивирус считывает то, что написано в exe файле, а затем по шагам начинает выполнять действия, на каждом этапе спрашивая меня, хочу ли я произвести те или иные изменения.

1. А чем Шедоу Юзер не подходит?

2. Мне интересно, на каком сотом клике у вас закончится терпение? :) А времени и сил много ли после этого останется на работу с файлом или программой? :) Попробуйте поэкспериментировать с ХИПС-настройками КИС или Комодо 3 выставив в соответствующих модулях максимальный режим контроля. Если выдержите водопад всплывающих табличек, вас можно принимать в Штирлицы :)

П.С. Встретить вирус, который че-то там специально стирает полдиска из вредности - надо еще поискать. Сейчас основной вид угроз - троянцы. :)

П.П.С. А если ни один из общей совокупности из более чем 30 он-лайн антивирусов (на сайтах приведенных по ссылке) ничего не нашел, но вы все равно сомневаетесь в файле, его всегда можно послать в одну из антивирусных лабораторий, где аналитик разложит его по косточкам и скажет зловред это или нет :) Рекомендую лаборатории ЛК и Вэб - быстро реагируют на письма. Так же советую подождать с загрузкой и установкой какого-либо кейгена или крэка и посмотреть отзывы юзеров - через недельку наверняка всплывет если это зловред :)

Jolly Rojer
13.11.2007, 06:14
Согласен с TANUKI !

PavelA
13.11.2007, 12:16
П.С. Встретить вирус, который че-то там специально стирает полдиска из вредности - надо еще поискать. Сейчас основной вид угроз - троянцы. :)


ОФФ: Лежит у меня в загашнике такой - макровирус. Запускается в Excel,
стирает все офисные документы + видео,музыку.
Описание есть здесь на сайте.

Rene-gad
13.11.2007, 12:30
раньше думал, что раз антивирус есть (хороший антивирус), то можно запускать что угодно....Неужели хороший антивирус, будучи уже установленным на компьютере, а значит имя преимущества, тем не менее не может проконтролировать куда вирус записывает свои коды?
Уж сколько раз твердили миру (с) ;) : Никакой антивирус а приори не может распознать все вирусы. Причина проста: сначала пишется зловред, а уж только после того, как он кому-то навредил, пытаются антивирусные вендоры создать рутину, которая его распознает и обезвредит. Самое надежное - вообще не запускать подозрительные файлы. А если чисто из спортивного интереса, то согласен с предложением

устроится в какую нибудь антивирусную лабораторию

Макcим
13.11.2007, 13:17
А может проще не вирус изолировать, а коллекции картинок и музыки? Записать на болванку (а лучше на несколько =)) и фиг вирус что-то повредит ;)

Jolly Rojer
13.11.2007, 13:23
ОФФ: Лежит у меня в загашнике такой - макровирус. Запускается в Excel,
стирает все офисные документы + видео,музыку.
Описание есть здесь на сайте.

Ну если так то можно и скрипт написать который будет по списку расширений вытирать ;)

rav
13.11.2007, 13:35
chaoss, поставь любую нормальную HIPS и запускай чего хочешь.

Geser
13.11.2007, 14:20
Как интересно. Все кричат какая дырявая Винда, в то же время никто не умеет пользоваться встроенными инструментами защиты.
А ведь можно на подозрительном файле кликнуть правой кнопкой, и выбрать в меню "Run as"("Запустить как") а потом поставить птичку "Protect my computer..."
Ракой запуск соершенно безопасен

Rene-gad
13.11.2007, 14:46
Такой запуск соершенно безопасен
наверное ты прав ;): у меня например GoogleEarth запускается с сообщениями о невозможности создания папок там-то и там-то, AutoCAD LT 2007 не запускается вообще. Так что тут чего-то не додумано до конца, как и в общей концепции безопасности Made in Richmond. В этом плане концепция UNIX/Linux намного продуманнее: как известно, системные изменения и установка приложений возможна только из-под логина администратора (root), а смена логина возможна и в рамках сессии без logoff а.

Geser
13.11.2007, 15:01
наверное ты прав ;): у меня например GoogleEarth запускается с сообщениями о невозможности создания папок там-то и там-то, AutoCAD LT 2007 не запускается вообще. Так что тут чего-то не додумано до конца, как и в общей концепции безопасности Made in Richmond. В этом плане концепция UNIX/Linux намного продуманнее: как известно, системные изменения и установка приложений возможна только из-под логина администратора (root), а смена логина возможна и в рамках сессии без logoff а.

Всё додумано. Запускаемому файлу обрезаются права по максимуму. Естественно что большинство программ работать не будут, но речь шла о пробном запуске подозрительного файла. Например кейгены так запускаю всегда. И даже если в нём троян, опасности никакой.
В более продвинутом варианте создаётся пользователь с ограниченными правами и всё подозрительное запускается тем же способом, но от его имени с его правами.
Тем же способом можно выполнять инсталяцию программ с правами админа работая из под ограниченного пользователя.

Добавлено через 4 минуты

П.С. Настоящая проблема Винды, на самом деле, не в том что у неё нет механизмов защиты. Их вагон, и они отлично работают. Проблема в криворуких программистах которые любят лезть с записью (уже после инсталяции) в защищенные разделы и ветки реестра где делать им совершенно нечего и незачем, в связи с чем многие программы не работают под ограниченными учетками. А так же в необразованных пользователях.

TANUKI
13.11.2007, 17:53
выбрать в меню "Run as"("Запустить как") а потом поставить птичку "Protect my computer..."


А в висте есть только запустить от имени администратора :(

chaoss
14.11.2007, 00:46
Geser Вы меня просто просветили! Никогда не думал, что у Windows XP есть такая простая и доступная команда, как запуск с такими вот ограниченными правами. Давно надо было этим пользоваться!

TANUKI а чуть подробнее про программу Shadow User. Просто программа инсталируется на компьютер и как бы эмулируем мою операционную систему? И достаточно эффективно для проверки на наличие троянов в подозрительных файлах?

TANUKI
14.11.2007, 18:13
а чуть подробнее про программу Shadow User.

Программу ставим на комп. Запускаем программу. Включаем режим Shadow User. Программа скажет, что нужно перегрузиться. После перезагрузки она эмулирует Винду. Это заметно по изменившемуся фону рабочего стола фирменному. С этого момента можно над машиной издеваться как угодно - хоть пол реестра снести, хоть 20 вирусов запустить. Потому что после нажатия клавиши Reset система загрузится с чистого листа - без изменений :)

Только нужно учесть один нюанс, точнее два, а если еще точнее - три.

Первое: если серферить в режиме Shadow user по инету, то файлы сохраненные во время сессии (например, программы или клипы) после перезагрузки сотрутся! Поэтому можно в настройках выделить какую-то область диска, типа карантина, куда они будут записываться и останутся на диске даже после перезагрузки.

Второе: если ставить какой-то сторонний софт, то после перезагрузки он так же будет снесен и не останется на машине. Поэтому его так же можно в настройках внести в исключения (или как там. я уже точно не припомню), что бы он остался в системе после перезагрузки.

И, третье, самое главное! Ни в коем случае не следует включать в настройках "загружаться в режиме ShadowUser и после перезагрузки" :) Понимаете к чему я клоню? ;) Хотя есть там какой-то выход из этой щекотливой ситуации, но я не помню какой. В общем, лучше так не чудить - перезагрузился и все :)
Удачи в экспериментах.

П.С. Мог в чем-то ошибиться, давно юзал прогу, пусть знающие форумчане поправят если что :)

Helgin
14.11.2007, 18:41
Это получается типа виртуальной машины, только одновременно одна система а не 2?
Быстрее, но менее гибко.
У меня стоит VirtualPc -бесплатный продукт MS.
НА котором чистая вритуальная машина с установленной xp. даже не помню насколько она пропатчена. ежели побаловаться с какой то заразой надо или поробовать чего то, чем не хочется засорять родную систему - запускаю vitual Pc (20 сек), открываю из витрульной папки необходимые файлы, делаю что надо смотрю что происходит. Наблюдаю как фаервол сечет странные попытки выхода в интернет....ну и т.д.
К тому же идеально для запуска всяких кейгенов.

TANUKI
15.11.2007, 03:54
У меня стоит VirtualPc -бесплатный продукт MS.


Тоже вариант :) Таких эмуляторов немало :)