Come funziona la sandbox Antivirus?

Naviga le tue risposte
0

Supponiamo di avere un .EXE dannoso che cancella (usando il comando DEL con cmd) un file di sistema sensibile.

In primo luogo, l'antivirus comune analizzerà il file con il rilevamento delle firme.

In secondo luogo, sarà sandboxed in fase di runtime dall'antivirus.

Come funziona l'antivirus sandbox? Lo "traccia" usando un "comando ptrace like" su Windows e interrompendo l'uso del file .EXE dannoso? Oppure impedisce al sistema operativo di eseguire il processo associato ed eseguire il file .EXE dannoso su una piccola macchina virtuale con un sistema operativo minuscolo specifico?

    
posta Duke Nukem 05.07.2016 - 13:34
fonte

1 risposta

0

Sandbox e AntiVirus sono due cose separate. L'AV esegue la scansione di un file e in genere verifica la presenza di "noti" (firme) e euristica di un file, mentre una sandbox esegue un file in un ambiente isolato. Come Schroeder ha affermato che le sandbox funzionano in modo diverso a seconda del Sandbox in esecuzione.

Una sandbox tipica eseguirà un'istantanea di processi, connessioni, thread, registro prima dell'esecuzione di un campione, eseguirà l'esempio, riprenderà un'istantanea dei processi, dei thread, ecc. e confronterà le differenze. Le differenze vengono quindi segnalate. Questo è il metodo più ottimale per determinare cosa sta succedendo. Il software dannoso (se eseguito con privilegi escalation) può (a volte) fare qualsiasi cosa che un amministratore può fare. Ciò significa che il software può modificare registri eventi, cancellare file, nascondere connessioni / software, ecc. Con "istantanee" la maggior parte delle sandbox può mostrare le differenze (prima e dopo). COME AV dipende dal software, l'essenza è la stessa (confronti)

    
risposta data 05.07.2016 - 16:52
fonte

Leggi altre domande sui tag

Metasploitable: Modifica / Percorso del file di pagina di accesso? Il posting da HTTP a HTTPS è una cattiva pratica?