Ho letto di SpyProxy . Qualcuno può spiegarmi questa frase che ho trovato nell'articolo? Eccolo: Monitoriamo il sistema operativo guest e il browser tramite "trigger" installati per cercare le violazioni della sandbox .
Sto cercando di capire qual è la natura dei trigger che possono installare nella Virtual Machine? Apprezzo qualsiasi aiuto / indicazione.
Suppongo che tu capisca cosa sta succedendo qui: quando provi a visitare una pagina web, il tuo browser è configurato per utilizzare questo AV come "proxy". Invece di trasmettere PROXY la connessione, l'AV scarica le pagine Web (probabilmente non proxy) e le apre su una VM. Quindi (probabilmente) controlla le modifiche al filesystem che potrebbero essere interpretate come sospette. Ad esempio, le modifiche a system32 o Program Files (x86) (supponendo che tu sia su Windows) verrebbero rilevate e la pagina web verrebbe bloccata. Supponendo che non vengano trovate modifiche sospette (molto probabilmente nella memoria virtuale e nel filesystem) il programma adempie al suo ruolo percepito come proxy e "inoltra" la pagina web a te. Il vantaggio di questo è principalmente il fatto che i virus precedentemente non scoperti sono ancora bloccati, ma gli svantaggi includono le scarse prestazioni. Inoltre, un aggressore determinato non avrebbe troppi problemi per aggirare questo sistema (a seconda di quanto siano rigorosi i loro algoritmi per il controllo della VM).
EDIT: per essere un po 'più chiaro, mentre ci sono indubbiamente alcuni trigger installati sul SO guest, molti di questi sono probabilmente installati come parte del programma e sono completamente separati dal sistema operativo.