¿Cómo funciona el sandbox de Antivirus?

0

Suponiendo que tenemos un .EXE malicioso que elimina (usando el comando DEL con cmd) un archivo de sistema sensible.

Primero, un antivirus común analizará el archivo con la detección de firmas.

En segundo lugar, será en espacio aislado en tiempo de ejecución por el antivirus.

¿Cómo funciona el antivirus sandbox it? ¿Lo "rastrea" usando un "comando similar a ptrace" en Windows e impide que el .EXE malicioso use DEL? ¿O impide que el sistema operativo realice el proceso asociado y ejecute el .EXE malicioso en una pequeña máquina virtual con un pequeño sistema operativo específico?

    
pregunta Duke Nukem 05.07.2016 - 13:34
fuente

1 respuesta

0

Sandboxes y AntiVirus son dos cosas separadas. AV escanea un archivo y, por lo general, busca "conocidos conocidos" (firmas) y heurísticas de un archivo, mientras que un sandbox ejecuta un archivo en un entorno aislado. Como Schroeder declaró que los entornos de pruebas funcionan de manera diferente, dependiendo de qué tipo de entornos de seguridad esté ejecutando.

Un sandbox típico tomará una instantánea de los procesos, conexiones, subprocesos, registro antes de ejecutar una muestra, ejecutará la muestra, volverá a tomar una instantánea de los procesos, subprocesos, etc., y comparará las diferencias. Las diferencias son entonces informadas a usted. Este es el método más óptimo para determinar lo que está sucediendo. El software malintencionado (si se ejecuta con privilegios escalados) puede (a veces) hacer cualquier cosa que un administrador pueda hacer. Esto significa que el software puede modificar los registros de eventos, borrar archivos, ocultar conexiones / software, etc. Con "instantáneas", la mayoría de los entornos limitados pueden mostrar las diferencias (antes y después). CÓMO AV depende del software, la esencia es la misma (comparaciones)

    
respondido por el munkeyoto 05.07.2016 - 16:52
fuente

Lea otras preguntas en las etiquetas