Supponiamo che il mio computer host sia infetto e che disponga di un programma sandbox. Anche l'ambiente sandbox sarà infetto?
Se la risposta è sì, cosa succede se ho un AV in esecuzione all'interno della sandbox. Consentirà un ambiente sandbox sicuro senza dover rimuovere il malware dall'host?
Sembra che tu stia cercando risposte concrete, ma non ce ne sono.
Se l'host è infetto, è possibile che anche qualsiasi programma in esecuzione sull'host sia interessato. Ma, proprio come qualsiasi malware, dovrebbe essere programmato per farlo. Non tutti lo fanno.
L'antivirus consentirà un ambiente sicuro ovunque ? No, un antivirus fornisce un livello di protezione, quindi non puoi presumere di essere al sicuro solo perché l'antivirus è in esecuzione.
Il malware può influenzare le sandbox? Sì. È comune? No.
L'antivirus può proteggere la sandbox? Forse dipende da molti fattori.
Questa sarà una questione di implementazione e natura dell'infezione.
Un'installazione separata in esecuzione su un altro computer su un'altra rete in genere non condividerà l'infezione a meno che la sandbox non sia stata infettata a livello di applicazione e la trasferisca all'installazione live quando si preme un aggiornamento.
Tuttavia, dove la sandbox è installata da qualche parte sulla stessa rete della versione live, ci sono cose che possono influenzare entrambe. Minore è l'isolamento qui, maggiore è la probabilità che si verifichi una sovrapposizione. Pertanto, due computer su una rete possono diffondere un virus autoreplicante se si dispone di un'impostazione eccessivamente permissiva, oppure qualcosa a livello di router può influire su entrambi il traffico. Una macchina con più macchine virtuali può anche essere vulnerabile allo stesso virus del bios ma immune alla maggior parte delle altre infezioni a livello di sistema. Un sistema operativo con separazione minima potrebbe presentare un livello variabile di vulnerabilità solo in base all'impostazione.
La risposta breve è che è sempre possibile, ma il modo in cui si isola la sandbox fa una grande differenza. Per la migliore ridondanza, si desidera mantenere tre ambienti separati. Un server live (tipicamente un server in hosting su cloud), un server sandbox (tipicamente qualcosa di locale su cui si ha molto controllo in modo da renderlo più o meno inaccessibile da internet) e un server di backup (tipicamente un cloud server separato dal tuo server live).
I backup sono molto più difficili da diffondere con le infezioni perché generalmente non sono eseguibili. Se effettui un backup pulito lunedì e salvi un backup infetto martedì, il lunedì dovrebbe essere ancora pulito. Quindi, mercoledì, quando scoprirai che la tua applicazione è compromessa, puoi semplicemente cancellarla e recuperare un backup pulito da lunedì e sei pronto per partire.
Leggi altre domande sui tag malware sandbox antimalware quarantine