سلام.نقل قول:
در مورد مثالی که آوردید درباره مخربهایی که در سندباکس اصطلاحاً خاموش میشن، و فرمودید کاربر گمراه میشه و تصور میکنه که فایل بی خطره>> خب اول اینکه در بحث بررسی ماژولهای امنیتی اشتباه کاربری اصلاً محل مناقشه نیست، بدلیل اینکه کاربر میتونه انواع اشتباهات ریز و درشت رو مرتکب بشه.... بنابراین این مورد ارتباطی به ضعف سندباکس یا هر تکنولوژی دیگری نخواهد داشت.
ضمن اینکه الان با این مثال ضعفی از سندباکس ارائه نشده!! ویروس اجرا میشه و وارد سندباکس میشه و اونجا نمیتونه تکون بخوره(خاموش میشه)..... من ضعفی مشاهده نمیکنم. ضمناً لزومی نداره که کاربر فکر کنه فایل بی خطره. شاید اصلاً فکر کنه فایل یک مخرب تمام عیاره> بنابراین BOMB رخ نمیده.
مساله حول محور اعتماد میچرخه.البته چون سندباکس نمیتونه بررسی دقیق داشته باشه نمیشه همه چیز رو سر کاربر خراب کرد.
درسته نمیشه مستقیما ضعف سندباکس تلقی کردش.ولی کلا نتایج حاصل از Sandbox رو میبره زیر سوال.
عملا راه برای رفتارشناسی و آنالیز بسته میشه.خصوصا برای محصولاتی نظیر کومودو که تاکید بر روی سندباکس خودشون دارن.
ما اگر بخواهیم تو یه محیط خاص هر برنامه ای اول تو سند باکس اجرا بشه نمیتونیم همیشه به نتیجه برسیم.
چون همیشه مثل اینجا با نمونه های واقعی از مخربها روبرو نیستیم.
اما فایلهایی که خارج از این تاپیک دریافت میشن معلوم نیست چه هستند.کاربر هم با توجه به نتایجی که محصول امنیتی نشونش میده تصمیم میگیره.
دست آخر فرض میکنیم فایل شناسایی نشد و رفت داخل سندباکس.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خوب اگر هزار بار برنامه ایزوله بشه و پیغام بالا رو دریافت کنیم دیگه ابهامی وجود نخواهد داشت.
باز هم در بهترین حالت به قول شما وضعیت میشه 50-50 . چون شاید کاربر فایل رو اجرا نکنه!
(اگر فرصت کردم یه نمونه در اختیار شما قرار میدم.)
کد ویروس مثل یه ماکرو معمولی به صورت اتوماتیک عمل میکنه و خودش رو جایگزین اون میکنه.نقل قول:
در مورد فایل word> لزومی نداره فایل سندباکس بشه. فایل word اجرا میشه و کمودو روی اون نظارت داره. عکسها:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا اگر این فایل ورد حاوی ویروس ماکرو باشه قطعاً کمودو عکس العمل نشون میده. و اینبار شاهد پیغامهای متفاوتی خواهیم بود. آیا غیر از اینه که ویروس ماکرو در نهایت باید فایل WINWORD.EXE را جهت انتشار آلوده بکنه.سوال> ایا فرقی بین فایل آلوده و سالم WINWORD.EXE برای کمودو نیست؟
سیستمهای دفاعی مبتنی بر HIPS همواره در برابر خطر عکس العمل نشون میدن.
خیلی بعیده که HIPS پیغامی صادر کنه چون عملکرد مشکوکی در اون حد ازش سر نمیزنه.
تا وقتی هم که Word اجرا نشده هیچ کاری نمیکنه.خود فایل Word هم آلوده نمیشه.
این موارد به سختی قابل تشخیص هستند و بیشتر بر میگرده به توانایی آنتی ویروس.
البته اکثرا خطرناک نیستن و فقط کمی اختلال ایجاد میکنن.
