nedjelja, 11.01.2009.

Malo drukciji tip zastite od virusa i ostalih nepozeljnih smetala

S obzirom da sam nedavno objavio clanak na ovu temu, dotaknuo sam se prijedloga novog nacina zastite od virusa i ostalih racunalnih smetala.

Prije nego sto pocnemo, definirat cu univerzalni pojam malware koji predstavlja sve tipove smetala, poput virusa, crva, trojanskih konja, backdoorova, itd.

Radi se o sljedecem - svaki malware je zapravo baziran na fajlu koji ubaci u Windows operativni sustav na nacin da se podize zajedno sa sustavom. Taj fajl cemo nazvati master file.

Ako imamo popis svih master fileova i lokacija gdje ih malware ubacuje, tada imamo mogucnost zastititi se na sljedeci nacin:

1. Kreiramo folder u kojem cemo drzati master fileove i nazovimo ga C:\Antimalware, ukljucimo password protection na njemu
2. Kreirajmo fileove nulte velicine (0 bytes) sa imenima svih poznatih malware master fileova, ukljucimo password protection na svim fajlovima
3. U svakom folderu gdje se inace pravi master file ubacuje kreirajmo hardlinkove na nase stvorene master fileove
4. Sakrijmo sve kreirane hardlinkove, master fileove i C:\Antimalware folder uz pomoc hidden atributa
5. Unistimo prava citanja, pisanja i izvrsavanja svih hardlinkova, master fileova i C:\Antimalware foldera

To je zapravo sve sto se treba napraviti. Vjerujem da dosta ljudi ne razumije zapravo o cemu se tu radi, pa cu pojasniti.

1. Kreiranjem foldera u kojem cemo drzati master fileove zapravo imamo centralno mjesto koje je namijenjeno drzanju master fileova i u koje ce stizati updateovi kako se budu pojavljivali. Zbog potrebe zastite ovog foldera, postaviti password protection nad njim, tako da niti jedan korisnik ne moze uci u njega bez potrebnog passworda, ukljucujuci korisnika Administrator.

2. Fileovi nulte velicine se kreiraju tako da se otvori notepad i pohrani se prazni file pod imenom . Radi potrebe zastite od svih korisnika isto ukljucujemo password protection.

3. Hardlink je verzija shortcuta, no radi na drugom principu. Radi se o tome da za isti file pohranjen na tvrdom disku mozemo koristiti nekoliko razlicitih imena u razlicitim folderima. Mi koristimo hardlink za svaki file iz razloga sto postoje odredjena ogranicenja na maksimalan broj hardlinkova prema jednom fajlu (NTFS datotecni sustav moze imati maksimalno 1023 imena za isti file na tvrdom disku).

4. Sakrivanje fileova i foldera se radi iz razloga da se ne ometa normalni rad korisnika za racunalom (npr. da se ne pojavljuje brdo unosa u C:\Windows folderu)

5. Ovo je onaj dio koji je najbitniji. Sa naredbom 'cacls /d everyone' u command promptu mozemo unistiti prava pristupa svim korisnicima (ukljucujuci i "NT AUTHORITY\System" ili "BUILTIN\Administrators"), odn., svim specijalnim korisnicima. Kada odredjenom fileu ubijemo prava, njega ne moze koristiti nitko osim korisnika Administrator. Kako je ocito da Administrator moze pobrisati doticni file, ukljucujemo password protection tako da svatko tko pokusa pristupiti tom fileu mora upisati password da se dozvoli pristup ili izmjena.
Drugim rijecima, kada malware pokusa kopirati svoj master file u folder gdje vec postoji hardlink (zapravo, mozemo reci file) istog imena, on nece moci kopirati nista u taj folder jer nema pravo pisanja preko postojeceg filea.

Update se izvodi vrlo jednostavno i moguce je napisati kratku skriptu koja bi se izvrsavala preko 'Schedulera' jednom svakih nekoliko sati.

1. Dopustanje prava pristupa korisniku 'Administrator' za folder C:\Antimalware i upisivanje passworda kako bi mogli uci u folder
2. Spajanje na internet (update server), te provjera da li se pojavio novi filename koji treba stvoriti
3. Ukoliko se pojavio novi filename, kreirati ga u C:\Antimalware folderu, napraviti hardlink u folderu u kojem ga malware spusti, unistiti prava pristupa i postaviti password protection za kreirani file i za C:\Antimalware folder

Prednost ovakvog nacina zastite lezi u skoro nultom zauzecu diskovnog prostora i nepostojecim memorijskim zahtjevima. Moglo bi se reci da je ovo pasivna obrana od malwarea.

Mana ovog nacina je bas njegova pasivnost, odn., nemogucnost reagiranja na mutirane prijetnje. Stoga, ukoliko bi se recimo napravio AV koji koristi ovaj pasivni dio i nadopunjuje ga aktivnim u kojem ima napredne algoritme za otkrivanje malwarea (recimo heuristika), to bi bio pun pogodak. :)

Posto je ovo prilicno drukciji nacin zastite od postojeceg koji koristi rezidencijalne programe koji trose sistemske resurse, naravno da ima jako puno propusta. Rekao bih da je ovo osnovni koncept. :)


Sretna nova godina svima. :)

- 23:41 - Komentari (7) - Isprintaj - #

<< Arhiva >>

Creative Commons License
Ovaj blog je ustupljen pod Creative Commons licencom Imenovanje-Dijeli pod istim uvjetima.

Enter your email address:

Delivered by FeedBurner

Blog.hr koristi kolačiće za pružanje boljeg korisničkog iskustva. Postavke kolačića mogu se kontrolirati i konfigurirati u vašem web pregledniku. Više o kolačićima možete pročitati ovdje. Nastavkom pregleda web stranice Blog.hr slažete se s korištenjem kolačića. Za nastavak pregleda i korištenja web stranice Blog.hr kliknite na gumb "Slažem se".Slažem se