Integrar antivirus con un sandbox

2

Al leer la ¿Diferencia entre el antivirus y el sandbox? , surgí Con la idea de cómo integrar un sandbox con AV. Cuando la caja de arena analiza la muestra y encuentra que el malware, el antivirus automáticamente invoca y elimina el malware. ¿Cómo puedo hacer esto?

    
pregunta Join Trinh 07.05.2018 - 09:24
fuente

2 respuestas

1

En realidad, el software antivirus moderno en realidad ya usa un sandbox. Muchos de ellos ejecutarán archivos sospechosos en su propia caja de arena incorporada, mientras los monitorean para detectar comportamientos maliciosos durante una fracción de segundo. Si el software parece comportarse, el programa se vuelve a ejecutar con el sandbox deshabilitado. De lo contrario, el software AV pondrá en cuarentena o eliminará el archivo. Esta es una técnica común en el software antivirus heurístico. Tenga en cuenta que el malware a menudo tiene técnicas para evadir este método de detección ejecutando una tarea benigna el tiempo suficiente para que la comprobación de la zona de pruebas pase.

    
respondido por el forest 07.05.2018 - 09:25
fuente
0

Bueno, los antivirus usan sandbox. (La mayoría de ellos). Puede usar un sandbox para desempaquetar un archivo que está empaquetado para el cual no ha diseñado un empaquetador. Los antivirus también usan emulación para tareas como estas. Sin embargo, hay una gran cantidad de bypasses basados en sandbox. enlace No es una buena idea confiar únicamente en los resultados de la ejecución de un archivo en un recinto de seguridad. Los AV también monitorean las llamadas a la API, etc. del programa que se ejecuta en el recinto de seguridad ...

Puede diseñar un sandbox utilizando QEMU KVM, etc. ... Personalmente, utilicé enlace para diseñar un sandbox porque soy un vago. Pero existen bastantes errores para libvirt ... enlace Pero Todavía lo usaría antes de implementar su propio código a menos que piense que su código contendrá menos errores.

Si desea emular un archivo PE, use el motor Unicorn.

Si desea ver un proyecto de código abierto: enlace

    
respondido por el NTDLL 11.08.2018 - 06:45
fuente

Lea otras preguntas en las etiquetas