Методика песочница картинки: Иллюстрация 1 из 31 для Как научить ребенка читать, если ему 2, 3, 4, 5, 6, или 7 лет? Методика «Песочница» — Ирина Знатнова | Лабиринт

Методика по рисованию фигур на песке

           Рисование фигур и символов на песке очень понравится вашему ребенку, к тому же это очень полезно для гармоничного развития малыша.

          В процессе рисования можно изучать различные геометрические фигуры, рисуя прямые и кривые линии, прямоугольники, треугольники, круги, спирали, звезды, солнце, восьмерки и т.д.. Хотя рисунки на песке очень эстетичны и способны заинтересовать детей, их, конечно, нельзя отнести к числу долго хранящихся изображений. Разровняв песок, вы получите поверхность, снова пригодную для рисования на ней. В данном случае результат (т.е. рисунок) не является целью – цель заключается в самом процессе творчества. При помощи песка дети самовыражаются намного эффективнее, чем при использовании карандаша и бумаги. Рисование фигур на песке является оптимальной методикой и при обучении письму. Играя в песке, дети проявляют уверенность и любознательность.

         Песок оказывает благотворное воздействие на человека, в особенности на его душевное состояние. Ребенок включается в игру всем своим существом – эмоционально, психически и физически. При этом создаются благоприятные условия для проявления у детей концентрации внимания, любознательности, увлеченности, а также для релаксации. Активируются мыслительные и эмоциональные резервы, что выражается в физических формах, создаваемых руками.

        Приведенные методики полезны не только для детей с ограниченными возможностями (в частности, испытывающими затруднения в общении и с нарушенной координацией движений), но и для детей, не имеющих патологии, но нуждающихся в целостном гармоничном развитии.

        Занятия и рисование фигур в «ЧУДО-песочнице» с песком коренным образом отличаются от игр в уличной песочнице и имеют совсем иной смысл. Дело в том, что ограниченность поверхности (размеры, например, юнгианской песочницы: 50^х 70 см) мно­гим детям дает ощущение безопасности, создает благоприятную атмос­феру для их творчества.

         В нашем интернет-магазине представлены «ЧУДО-песочницы» прямоугольной формы. Это не случайно: подобная форма воздействует на наше сознание совершенно иначе, чем квадрат или круг. Если квадрат или круг вызывают умиротворение и сосредоточенность, то прямоугольник более динамичен. Ребенок имеет возможность выбирать любой формат будущего рисунка (горизонтальный или вертикальный), ему легче определить центр композиции. Кроме того, прямоугольная форма песочницы лучше, чем квадратная, подходит для создания симметрич­ных фигур.

       Итак, приступим!) Но прежде, маленькая рекомендация: Чтобы песок не рассыпался вокруг песочницы во время игры, положите под песочницу большое полотенце или клеенку; с них легко можно будет встряхнуть песок обратно.

       Насыпьте в юнгианскую песочницу 1 кг песка понравившегося вам цвета. Выбор цвета очень полезное занятие для ребенка, а для родителей — возможность интерпритировать состояние и настрой малыша, в зависимости от выбранного цвета. Более подробно читайте статью на нашем сайте: «Выбор и интерпритация цвета песка». Для рисования песком достаточно 5 основных цветов по 1 кг каждого, которые можно менять от занятия к занятию. 

      Выровняйте равномерно по всей поверхности песок (например, скалкой или чем-то наподобие катка) Начните с несложных заданий. Например, попросите ребенка нарисовать горизонтальную и вертикальные линии.

       Затем линии по диагонали:

       Волнистая линия как символ волны, а зигзаг — горы.

       Вертикальную прямую линию можно провести как сверху вниз, так и снизу вверх.

        Горизонтальную прямую линию можно провести как слева направо, так и справо налево.

      Прямые линии по горизонтали и по вертикали. Сложность заключается в том, чтобы провести их параллельно друг от друга (хорошо развивает глазомер). Спросите сколько получилось линий? Можно ребенка попросить соединить эти линии, получится клетка для льва!)

     Длинные прямые линии чередуются с короткими.

     Длина прямых линий постепенно увеличивается до максимума, а затем таким же образом уменьшается. Для левой фотографии: помимо того, что линии должны быть параллельны, сложность еще и в том, чтоб нижняя часть линий была на одной прямой, а верхняя часть линий была синхронна относительно середины (по тому же принципу и фото справа).

     Те же самые упражнения можно выполнить и с горизонтальными линиями.

       Из вертикальных и горизонтальных линий образуются новые интересные формы. Упражнение для продвинутых детишек))

       Дети могут работать с песочницей, повернув её к себе длинной (портретный формат) или более короткой (ландшафтный формат) стороной. В первом случае для того, чтобы провести вертикальную ли­нию, ребенку придется сильно наклоняться вперед и вытягивать руку над песочницей. Можно заметить, что ребенок, выполняя такое упражнение, использует не только руку, но и всю верхнюю часть тела, а движение распространяется до самых кончиков пальцев ног. В отличие от верти­кальной, горизонтальная ориентация песочницы привлекает детей шириной рабочего пространства. Они получают такое же ощущение, когда широко раздвигают руки.

       В следующих упражнениях прямые линии нужно проводить по диагонали или с каким-либо наклоном. Движения, которые совершает ребенок, когда проводит линию по диагонали сверху вниз, отличаются от дви­жений при проведении такой линии снизу вверх. Соответственно, он и запоминает их по-разному. Идущая сверху вниз линия напоминает луч, светящий в глубину, и наоборот: линия, проведенная снизу, по­добна лучу, бьющему из глубины. 

      Далее предложите ребенку проделать все те же упражнения, что и с прямыми линиями, только теперь под углом, т.е. по диагонали.

     Следующие задания направлены на понимание того, как образуются углы. В снежинках углы образуются пересекающимися линиями.

        Прямоугольники слева это еще и 4 прямых угла, образовавшихся двумя сходящимися линиями.

       Сочетание горизонтальных и диагональных линий:

        Сочетание вертикальных и диагональных линий:

        Другие упражнения с линиями, нарисованными по диагонали и с различным наклоном:

        Следующие упражнения можно выполнять как с диагональными линиями, так и с линиями, имеющими разный наклон:

       Треугольник, нарисованный с вершиной вверх и вниз:

       Два составленных вместе треугольника образуют квадрат или ромб:

       Вершины треугольников попеременно направлены вверх и вниз. Упражнение хорошо развивает пространственное воображение.

       Слева: Два треугольника накладываются друг на друга вершинами. Справа: Наложенные друг на друга треугольники образуют шестиконечную звезду.

        Разомкнутая слева кривая линия кажется открытой, а нарисованная наоборот — закрытой.

        Дуги, направленные вверх и вниз. Могут быть, как симметричными, так и увеличиваться/уменьшаться.

         Замкнутая кривая линия образует круг. Круг можно преобразовать в овал:

         В овал можно одним движением, не отрываясь, вписать S-образную или волнистую линию:

     Если фигуру нарисовать в обратном направлении, то получится восьмерка. Справа представлены пересекающиеся линии.

      Половинки окружностей, открытые вниз и вверх. Задание хорошо развивает чувство симметрии.

       Упражнения с пересекающимися прямыми линиями:

     Упражнения с пересекающимися петлями:

       Если кривую линию нарисовать таким образом, то она будет напоминать красивую четкую волну:

         В круге можно найти центр, а можно описать окружность вокруг центра. Крест, вписанный в круг, разделяет его на четыре сектора:

        Квадрат, вписанный в круг. Если вписать в круг снежинку, получится колесо:

         Треугольник, вписанный в круг.

       Рисование концентрических (т.е. имеющих общий центр) окружностей способствует концентрации внимания. Можно предложить детям начать рисование с самого маленького кружка в центре или, наоборот, двигаться от внешней окружности к центру.

        Радиальные (т.е. расположенные по радиусу) и концентрические формы:

 Рисование спирали, закручивающейся к центру, способствует концентрации внимания.А спираль, раскручивающаяся наружу, предполагает динамичное движение. Следующее задание способствует концентрации внимания:

       В данном примере окружность, обозначающая солнце, — это воображаемая линия. Рисуя солнце, лучи можно проводить как от центра наружу, так и снаружи к центру.

        Рисование спирали, закручивающейся к центру, способствует концентрации внимания.А спираль, раскручивающаяся наружу, предполагает динамичное движение.

         Раскручивающаяся наружу спираль переходит в спираль, закручивающуюся внутрь, и в результате образуется двойная спираль. Достигая центра, закручивающаяся внутрь спираль разворачивается, а затем раскручивается наружу:

       Взрослому тоже будет интересно понаблюдать за собой, когда он пытаетесь определить, что проще нарисовать: спираль, закручивающуюся внутрь, или спираль, раскручивающуюся наружу; спираль, которая начинается в верхнем левом углу и далее идет вниз и вправо, или, наоборот, спираль, которая начинается в верхнем правом углу, а затем идет вниз и влево.

        Упражнения можно выполнять и с лабиринтом:

        Как вы уже поняли, вариантов рисования разного рода фигур много. Желаем вам интересных занятий и как результат — успешных деток!

песочная терапия купить для песочной терапии песочная терапия купить для песочной терапии песочная терапия купить для песочной терапии песочная терапия купить для песочной терапии песочная терапия купить для песочной терапии песочница песочница песочница

 песочница купить песочницу песочная терапия игры с песком юнгианская песочная терапия песочница купить спб песочная терапия купить песочницу для песоной терапии песок песочная терапия купить для песочной терапии песочная терапия купить песочница песок

Методика «Песочница».

Ну, нет мне покоя. Гложет меня червячок безалаберности… Перестала я со Славой нормально заниматься и развивать его. Вот, решила немного взяттся за ум, не только свой, но и карапуза и начать изучать с ним алфавит.

Случайно прочитала про методику «Песочница» и решила попробовать.

А что мы теряем… да ничего! Получится — здорово, нет — все равно все не проходит без какой-либо пользы.

Сама идея мне понравилась. Материал преподносится в виде небрльшого спектакля, где главные герои — буквы. Все действие желательно производить в песочнице (отсюда и название методики). Единственное, к каждому занятию надо подготовить дополнительный материал — картинки.

Для детей 3-4 лет спектакль (новая буква) обновляется раз в неделю. Между занятиями можно устраивать разные игры и повторять спектакль.

Буквы изучаются в определенном порядке.

Буквы из книги я вырезать не стала, а сделала их ксерокс и обклеила для большей прочности скотчем

В книжке с играми есть плакат азбуки с изображением вмех зверей, но, к сожалению, он очень маленький 😔

Первая буква А

Занятия я решила проводить по понедельникам. В вызодные Славик частенько ездит гостить к бабушкам-дедушкам.

Я все заранее приготовила, разок отрепетировала, чтобы посмотреть что и как.

После садика Славик поел и мы пошли смотреть спектакль. Усадить гаврика, чтобы он ничего не трогал, а сидел и смотрел — это то еще занятие, но у меня более-менее это получилось.

Славик был в восторге от происходящего. По мне, текст и действие какое-то… никакое, но ребенок был увлечен.

Быстро втянулся в пение песенки (произношение буквы А). По окончании сказки запросил еще. Но, стал участвовать (помагал немного с героями). Больше всего ему понравилось вылетать из пещеры Бабой Ягой и дуть на Аистенка.

Этот спектакль мы смотрели еще два дня. Славик сам просил, принимал активное участие, просил, чтобы я не пела песенку, а он сам, начинал рассказыватьмоменты скащки за меня, был и лягушкой, и птичкой, и Бабой Ягой.

Пока наше обучение идет вполне успешно. Посмотрим, что будет дальше.

Я приготовила еще пару «игр» с буквой А, но Слава приболел и я решила пока не нагружать его. Все должно быть с охоткой и позитивом.

Наше обучение продолжилось через неделю. Опять посмотрели несколько раз спектакль и немного позанимались.

Попросила Славу найти все буквы А и обвести их в кружок. Искал с удовольствием и интересом, правда вместо кружка закрашивал их, но это на выполнение задания совсем не повлияло

Нашел все!

Показала картинку и поинтересовалась, что на ней нарисовано… Узнала столько интересного, хорошо работает у гаврика воображение 😆. Но букву лн так и не увидел. Покпзала ему ее сама, но, явно, и с моей помощью он ее не совмем разглядел.

Попросила раскрасить… помучался немного. Это для него оказалось тяжелое задание, больше пока не буду такие давать

В целом насалом эксперемента я довольна. Слава запомнил изображение и как произносить. Теперь в книжках ищет знакомую песенку 😉

Песочная терапия: суть и задачи. Какую песочницу и песок выбрать для занятия.

     На сегодняшний день в психологической и психотерапевтической работе используют различные методы и техники. Одним из популярных методов является песочная терапия.

Песок — это очень интересный и загадочный материал. Он способен снимать нервное напряжение, улучшать настроение, вызывать самые богатые ассоциации. Игра с песком захватывает и взрослых, и детей. С помощью таких игр можно выразить свои чувства и переживания. Не требуется специальных навыков для работы с этим материалом, так как всем детям он знаком и понятен.

Задачи песочной терапии

- Раскрытие индивидуальности.
- Активизация творческих способностей и фантазии.
- Решение психологических проблем.
- Лишение комплексов и страхов.
- Снятие внутреннего напряжения и получения эмоционального удовлетворения.
- Развитие координации движений, мелкой моторики, ориентации в пространстве.
- Формирование навыков позитивной коммуникации.
- Улучшение памяти, внимания и пространственного воображения.

     Песочница - это уменьшенная модель окружающего мира, где дети могут свободно творить, не боясь что-то сломать или испортить.  Обычно изготавливается из дерева.
Песочницу можно сделать самому или приобрести и пользоваться ею в домашних условиях. Но чтобы достичь нужных результатов в терапии следует заниматься со специалистом.
В кабинете психотерапевта обычно есть определенные правила и нормы по размещению и наполнению песочниц.

Виды песочниц

Юнгианская песочница

Это деревянный ящик, который имеет четко установленные параметры - 50/70/8 см. Именно такой размер является комфортным для восприятия.
Дно и борта окрашены голубым цветом, символизирующим небо и водоемы.
Песочницу можно разделить горизонтально на две зоны (женская и мужская) или на три (прошлое, настоящее и будущее). Или вертикально на три части - мысли, эмоции, действия.
По возможности используют 2 песочницы - для сухого и мокрого песка.

Столы стоит размещать в центре комнаты, чтобы к ним был обеспечен свободный доступ со всех сторон. 
Отдельно на стеллажах размещаются миниатюрные фигурки, которые необходимы в песочной терапии.
Их должно быть достаточное количество и очень важно позволить ребенку самостоятельно выбирать предметы для работы.
Смотря на выбор ребенка, можно понять причину возникновения проблемы. Особенностью во время занятий с песком является то, что психолог внимательно наблюдает, а не руководит.
Это позволяет лучше понять чувства и эмоции ребенка.

Набор игрушек и предметов для песочной терапии

- Люди

Должны быть разного пола, возраста, а также различных специальностей. Сюда же относятся фигурки персонажей сказок, легенд и мифов.

-  Животные

Домашние, дикие, морские, доисторические, а также герои мультфильмов. Желательно, чтобы были семьи животных.

- Птицы

Дикие и домашние, а также сказочные летающие существа (динозавры). 

- Насекомые

Бабочки, жуки, пауки, мухи и др.

- Морские жители

Рыбы, осьминоги, крабы, морские коньки и звезды, мушли и др.

- Жилье людей

Современные здания и предметы мебели, сооружения школ, больниц, магазинов, домики из сказок и жилья разных народов.

- Муляжи посуды и продуктов питания.

- Транспорт

Наземный, воздушный и водный.

- Растительность
Деревья, трава, цветы. Можно использовать и природные материалы - каштаны, желуди, кора деревьев, семена растений и т.д.

- Аксессуары

Картинки, фотографии, ткани, бусинки, пуговицы, украшения и др.

Световая песочница

Идеальный дидактический материал в игровой терапии. Подходит для школ, инклюзивных ресурсных центров, сенсорных комнат. 
Именно эта песочница идеально подходит для песочной анимации, которая является одним из самых эффективных методов в развитии детей.
Этот удивительный процесс не оставляет никого равнодушным, улучшает эмоциональное состояние. Подходит для детей с разными темпераментами.
Занимаясь данным видом творчества, гиперактивные дети становятся уравновешенными, скованные расслабляются, агрессивные успокаиваются.
Ребенок, который занимается рисованием на песке чувствует себя настоящим художником.

Интерактивная песочница

Это современное и революционное оборудование, которое подходит для песочной, сенсорной и игровой терапии.
Эта песочница позволяет создать собственный мир, который без труда меняется или дополняется.
С помощью программного обеспечения можно воспроизвести природные явления соответствии с законами физики.
Использование интерактивной песочнице способствует развитию речи, коммуникативных навыков, стимулирует зрительную, тактильную системы,
а также развивает общую моторику и координацию движений. 

Какой песок используется?

     Песок для наполнения песочниц может быть различным. Основное чтобы он был качественным: экологическим и чистым. Можно использовать песок с берега реки, озера или моря.
Но перед работой его нужно очистить и кварцевать. Для песочной анимации лучше всего подойдет очень мелкий и сухой песок.
Мокрый пригодится, когда захочется слепить объемные фигуры или здания.
     Также в этом случае можно использовать кинетический песок.
Особенность кинетического песка в том, что он очень приятный на ощупь, не липнет к рукам и одежде, легко вычищается с любых поверхностей и не оставляет следов.
А чтобы занятия стали еще более интересными и захватывающими можно работать с цветным песком.

     В интернет магазине «Инклюзия: реабилитационное и коррекционное оборудование»
вы можете получить необходимую консультацию по оборудованию для песочной терапии и выбрать для себя наиболее подходящий вариант. 

Метод «Песочная терапия» в психологическом консультировании. г. Москва

Оказание психологической помощи

Психолог по семейным вопросам, специалист по эриксоновскому гипнозу и эриксоновской терапии, НЛП-тренер, НЛП-мастер, арт-терапевт — Логинова Ольга Иосифовна

Контактный телефон: 8(916) 555-98-10   E-mail: [email protected]      г. Москва

Метод «Песочная терапия»
в психологическом консультировании

Обзорная статья по теме: «Метод «Песочная терапия» в психологическом консультировании». Дается определение песочной терапии, краткая история создания метода «Песочной терапии». Определяются цель и задачи песочной терапии. Показания и противопоказания к песочной терапии. Краткая классификация миниатюрных фигурок для песочной терапии. Использование метода «Песочной терапии» в индивидуальной, семейной и групповой терапии, при работе с детьми в детском саду. Рекомендуемая литература ведущих российских авторов по данному вопросу.

Подробно о тренинге
 

История создания метода «Песочная терапия»

Началом использования подноса с песком в психологической практике принято считать конец 1920-х годов.

При работе с детьми игрушки и миниатюры использовали Анна Фрейд, Эрик Эриксон и другие психотерапевты.

Разработанная К.Юнгом техника активного воображения может рассматриваться как теоретическая основа песочной терапии. Создание песочных картин способствует творческому регрессу, работа в песочнице возвращает человека в детство и способствует активизации «архетипа ребенка».

Автор метода «Песочной терапии», швейцарский юнгианский аналитик Дора Кальфф (Dora Kalff), считает что «Картина на песке может быть понята как трехмерное изображение какого-либо аспекта душевного состояния. Неосознанная проблема разыгрывается в песочнице, подобно драме, конфликт переносится из внутреннего мира во внешний и делается зримым».

Dora Kalff является автором книги «Sandplay». (Boston: Sigo Press, 1980). В книге описаны случаи из практики.

Песочная терапия в контексте арт-терапии представляет собой невербальную форму психокоррекции, где основной акцент делается на творческом самовыражении клиента.

Эти образы проявляются в символической форме в процессе создания творческого продукта – композиции из фигурок, построений на подносе с песком.

Метод базируется на сочетании невербальной (процесс построения композиции) и вербальной экспрессии клиентов (рассказ о готовой композиции, сочинение истории или сказки, раскрывающий смысл композиции). Песочная терапия применяется как при работе с детьми, так и при работе со взрослыми.

В Швеции Шарлотта Бюлер разработала «тест мира»,  который до сих пор используется в Швеции как диагностический инструмент в детской психиатрии.

Идея использования песка в игре с больными и психологически неблагополучными детьми была реализована Маргарет Ловенфельд в 1930 годах. М.Ловенфельд назвала свою методику – техника «построения мира». Техника «построения мира» была взята из «теста мира».

В 1950-х годах юнгианский психоаналитик Дора Кальфф, изучив методику «построения мира» начала разрабатывать юнгианскую «Песочную терапию», ставшую в впоследствии самостоятельным направлением в психотерапии. Д.Кальфф вначале использовала песочную терапию с детьми, а затем и с взрослыми людьми.

Д.Кальфф положила в основу своего подхода к песочной терапии теорию К. Г. Юнга.

Сегодня метод песочной терапии используют в арт-терапии, гештальт-терапии, когнитивно-поведенческой и семейной терапии, в детском психоанализе.

Песочная терапия – это дополнение к другим видам терапии: визуализации, психодрамы, работы с телом и движением, гипноз и т.д.

Юнгианская песочная психотерапия предполагает использование подноса с песком стандартного размера и большого количества миниатюрных предметов.

Отличие арт-терапевтической практики работы с песочницей от традиционного варианта юнгианской песочной терапии «заключается также в возможности использования фокусирующих техник, связанных с работой на выбранные клиентом темы. Они могут быть связаны с запросом или актуальной проблемой клиента».

Существенное отличие от традиционного варианта юнгианской песочной терапии заключается в использовании интерактивных игр и упражнений.

Применение фокусирующих техник, связанных с песочной терапией на определенную тему и нередко бывает обусловлено неуверенностью и повышенной тревожностью клиента. В условиях краткосрочной терапии, специалист иногда может применять тематический подход.

Основная цель песочной терапии – достижение клиентом эффекта самоисцеления посредством спонтанного творческого выражения.

Основная задача песочной терапии — соприкосновение с вытесненным и подавленным материалом личного бессознательного, его включение в сознание.

Возможности песочной терапии

Данный метод позволяет:

— Проработать психотравмирующую ситуацию на символическом уровне.

— Отреагировать негативный эмоциональный опыт в процессе творческого самовыражения.

— Изменения отношения к себе, к своему прошлому, настоящему и будущему, к значимым другим, в целом к своей судьбе.

— Способствует регрессу клиента к прошлому опыту с целью повторного переживания и освобождения.

— Служит дополнением к другим методам психотерапевтической работы.

 
Видео. Песочная терапия. Ответы на вопросы (2017 г)

Психотерапевтическая работа  позволяют психологу решать следующие задачи:

— Диагностические:

— Коррекционные;

— Терапевтические;

— Творческого развития.

Модификации песочной терапии могут использоваться в работе педагогов, дефектологов, социальных работников, обученных этому методу.

Видео. Песочная терапия для взрослых. Фрагмент рабочей видеозаписи. (Февраль 2020 г.)

Видео. Песочная терапия. Часть 1. Работа с агрессией. Фрагмент рабочей видеозаписи. (Сентябрь 2017 г)

Видео. Песочная терапия. Часть 2. Работа с фобиями. Фрагмент записи. (Сентябрь 2017 г)

Видео. Песочная терапия. Часть 3. Работа с мамой особого ребенка. Фрагмент записи (Декабрь 2018 г)

Видео. Арт-терапия. Песочная терапия при работе с травмой. Фрагмент передачи. Съемки СТРИМ телевидение, 2016

Показания к песочной терапии

Как правило песочная терапия используется не с первой встречи, за исключением, когда клиент специально направлен для процедуры песочной терапии.

Рекомендуется предлагать песочную терапию в случае, если клиент:

— неспособен объяснить словами то, что он чувствует или думает;

— ограничен в проявлении своих чувств;

— переживает экзистенциальный или возрастной кризис;

— имеет психологическую травму;

— имеет проблемы в принятии решения.

Противопоказания к использованию песочной терапии

Песочную терапию нельзя проводить в следующих случаях:

— дети с синдромом дефицита внимания с гиперактивностью (СДВГ).

— эпилепсия или шизофрения.

— клиент с очень высоким уровнем тревожности.

— клиент с неврозом навязчивых состояний.

— аллергия на пыль и мелкие частицы.

— легочные заболевания.

— кожные заболевания и порезы на руках.

Однако ряд психологов используют песочную терапию с детьми с СДВГ. На сколько это эффективно с такими детьми, трудно сказать, пока можно опираться на обратную связь с родителями этих детей.

Песок для песочницы

В песочнице можно использовать кварцевый песок  маркировки «кварцевый песок 0,1-03». Это достаточно мелкие частицы. Более подходящий песок для песочной терапии песок для шиншиллы.

Для мелкого песка можно иметь пуливизатор с водой, чтобы орошать песок.

Кроме этого можно использовать речной или морской песок с более крупными частицами. Песок бывает разного оттенка — от светлого до темного. Желательно иметь песочницы с разным песком.

Песок может быть цветным. В работе с клиентами желательно иметь песок различной окраски. В работе используется как сухой так и мокрый песок. Для этого необходимо иметь емкость с водой. Выбор с каким песком работать всегда остается за клиентом.

__________

Вопрос: «Где можно купить песок?»

Ответ. «Он продается в зоомагазинах в упаковках от 1 кг до 6 кг.
В настоящее время существует сеть магазинов, которые специализируются на продаже цветного песка для творческих работ. Для песочницы вполне достаточно 4-6 кг песка. Песочницу заполняют на две треть песком».
__________

В отдельных случаях для работы с песком можно использовать также и ватман, у которого загибаются края и он превращается в импровизированную песочницу. Для работы достаточно одного кг песка.
Еще один вариант для создания песочных картин — использование  песочницы со специальным экраном с подсветкой.  В настоящее время изготавливают различные модификации светового стола для рисования песком (песочная анимация) с различной подсветкой. В этом случае используется один кг песка.

При работе с детьми при создании волшебных картин на ватмане, как вариант, можно использовать не только песок, но и фасоль, горох, манку и другую цветную крупу. Грунтовые цветные камни для аквариума. Это позволяет детям развивать творческие способности. Картины делаются быстро. Их можно мгновенно менять, что очень нравится детям и создает эффект волшебства.

На плотной бумаге можно делать песочные картины. Для этого делается эскиз картины, затем покрывается клеем ПВА, а далее насыпают песок. Песок сцепляется с клеем. Застывает. Где-то через сутки песок можно покрасить гуашью.

Символизм ландшафта песочной картины

Ландшафт в песочном пространстве символизирует карту клиента. Это могут быть горы, равнины, реки, моря и океаны, дороги, леса и т.д. В момент построения мира клиент может погрузиться в легкое трансовое состояние, фокусируясь на своей проблеме и выходе из проблемной ситуации. Ландшафт показывает, какой путь выбрал себе человек, как он будет его проходить.

В песочной терапии при работе с клиентом можно использовать сказки, легенды, мифы, притчи. которые подбираются в зависимости от проблемы клиента. Сюжет должен быть понятен клиенту не зависимо от возрастной группы — ребенок это или взрослый человек. У терапевта должна быть подборка притч, метафор, сказок. В ходе работы их можно соединять в одну единую метафору. Одна метафора может плавно переходить в другую.

Коллекция миниатюрных объектов

Для песочной терапии должен быть большой выбор миниатюрных объектов, т.к. фигурки будут символами сознательных и бессознательных процессов клиента.

Кроме миниатюрных фигур в кабинете  желательно иметь следующие материалы: ткань, нитки, тесьма, глина, пластилин, цветная бумага, маркеры, чтобы клиент мог создать свой объект, создать, то чего нет в коллекции.

В коллекции должны быть миниатюры-символы, привлекательные и непривлекательные; прекрасные и ужасные; символы добра и зла, гармонии и  абсурда.

Коллекция должна быть представлена объектами различных размеров, цветов, структур и материалов. Они должны быть:

— Большие и крошечные;

— Бесцветных и ярких цветов;

— Прозрачные и непрозрачные;

— Сделанные из разных материалов: металла, стекла, глины, древесины и пластмассы.

В данной статье не рассматривается подробный перечень миниатюрных фигур. Однако можно сказать, что несколько фигур могут выделяться из всего ряда фигур и при выборе клиентом могут стать ключевыми фигурами всей терапии. Но надо быть осторожными, когда на приеме маленькие дети, т.к. они все тащат в рот. Слишком мелкие фигурки не использовать с маленькими детьми.

__________

Вопрос: «Где можно купить миниатюрные фигурки для песочной терапии?»

Ответ. «Фигуры для песочной терапии можно приобрести в киосках Союзпечати, в  магазине «Детский мир», в киосках «Сувениры». Подойдут фигурки из Киндерсюрпризов».
__________
 

Символизм миниатюрных фигурок, выбранных для песочной картины

Фигурки, выбранные на поле, символизируют то, что человек имеет на сегодняшний день.  Самым главным, основным считается то, что сам автор думает по поводу выбранных фигурок.

Важно помнить и понимать, что сколько людей столько и импровизаций может быть.

Находясь в кабинете психолога, человек выберет из множества фигурок, только те,  которые для него актуальны в настоящее время.

_____________

Вопрос: «Можно ли отдавать клиенту понравившуюся фигурку после терапии?»

Ответ: «Однозначного ответа нет. Ребенку можно дать, но в обмен на другую фигурку. Взрослому человеку лучше не отдавать, т.к. в какой-то момент может произойти обесценивание терапии».

___________________

Семейная песочная терапия

Песочную терапию возможно использовать и в семейной психотерапии.

При решении семейных проблем терапевт может предложить клиенту или семейной паре, которая пришла на прием выбрать фигурки тех животных, которые подходят для каждого члена семьи, и создать на песочном поле композицию из них. Выбирая фигурки животных, человек создает метафору, которая символизирует то, что происходит в семье клиента.
 

Песочная терапия с детьми

Игры с песком играют важную роль в процессе развития ребенка. Для начала ребенку можно предложить поиграть с мокрым песком, а затем играть с сухим песком, используя при этом ведерко, грабли, лопатку, различные формочки, изображающие транспорт, людей, животных. Для маленького ребенка важен сам процесс игры и строительства.

Требования к песку для песочницы с детьми

Песок для детской песочницы должен быть сертифицированным. Его необходимо промыть, прокалить в духовке или прокварцевать. Эту процедуру делают не реже одного раза в 3-4 месяца. Желательно обновлять песок в песочнице один раз в год.

Свойства песка способствуют тактильной стимуляции и отреагированию эмоций, проработке психологической травмы.

При работе с детьми часто вводятся правила, которые не нужны при работе со взрослыми, ограничивается или увеличивается время сессии песочной терапии, допускается или специально организуется присутствие родителей или значимых взрослых на занятии.

В случае возникновения проблем в детско-родительских отношениях предлагается построение мира на одном песочном поле совместно ребенка и родителя. Возможно построение мира в разных песочницах.

В книге Н.В. Кузуб, Э.И. Осипук «В гостях у песочной Феи» даются описания упражнений с песком для детей младшего и старшего дошкольного возраста, которые выполняются детьми совместно с педагогами или психологами детского сада. Эти упражнения направлены на снижение психофизического напряжения, регуляцию мышечного напряжения, расслабления, развитие тактильной чувствительности, развитие воображения, расширению представлений об окружающем мире.

Дора Калльфф выявила закономерности в выборе миниатюр детьми разного возраста.

Так в возрасте до 6-7 лет у детей преобладают растения и животные, натуральные предметы (мох, веточки, шишки, камушки и т.д.).

А к 11- 12 годам в песочнице чаще появляются люди и темы конфликтов и сражений.

У детей старше 12-13 лет могут возникать сцены, отражающие как реальную жизнь, так и мечты о будущем, возможны и абстрактные картины.

Таким образом, метод песочной терапии могут использоваться в группах личностного роста, на тренингах общения, в центрах коррекционно-развивающего обучения и реабилитации;  в детских садах, в детских центрах (рисование песком) на столе с подсветкой.

Библиография

1. Зинкевич-Евстегнеева Т.Д. Психотерапия зависимостей. Метод сказкотерапии. — СПб.:Речь, 2010. — 176 с.

2. Зинкевич-Евстегнеева, Грабенко Т.М. Чудеса на песке. Практикум по песочной терапии. СПб.: Речь, 2010. — 340 с.

3.Киселева М.В. Арт-терапия в работе с детьми: Руководство для детских психологов, педагогов, врачей и специалистов, работающих с детьми. – СПб.: Речь, 2006. – 160 с.

4.Копытин А.И., Свистовская Е.Е. Руководство по детско-подростковой и семейной арт-терапии. – СПб.: Речь, 2010. — 256 с.

5. Кузуб Н.В., Э.И. Осипук Э.И. В гостях у песочной феи. Организация педагогической песочницы и игр с песком для детей дошкольного возраста. Методическое пособие для воспитателей и психологов дошкольных учреждений. СПб.: Речь: М.: Сфера, 2011. — 61 с.

6.Сакович Н.А. Технология игры в песок. Игры на мосту. СПб.: Речь, 2008. — 176 с.

7.Эль Г.Н. Человек, играющий в песок. Динамичная песочная терапия. – СПб.: Речь, 2010. – 2008.

8.Интернет-ресурсы. Материал из Википедии — свободной энциклопедии. Песочная терапия.

 © ЛОГИНОВА О.И. «ПСИХОЛОГИЧЕСКАЯ ПОМОЩЬ», 2005-2020.
     ® Все права защищены. Частичное воспроизведение материалов сайта
      допускается только при указании имени и фамилии автора статьи.
      Гиперссылка на сайт www.olga2901L.narod.ru обязательна.

Методика Зайцева/Чаплыгина — Я расту@развивающие методики для детей. Развивающие игрушки

От сказок и картинок к съёмкам видеоклипов

Детский сад «Родничок» приобрёл новое оборудование — световые мольберт и планшет. Вот уже неделю педагог-психолог I категории Оксана Ермакова проводит с их помощью занятия по песочной арт-терапии.

— Я в своей работе пытаюсь связать психологию с творчеством. По моему мнению, именно через творчество, через игру, ребёнок развивается лучше. Поэтому мне очень нравится метод песочной арт-терапии. У нас есть мягкая песочница с кинетическим песком, я сшила её сама. На кинетическом песке работают детки, которые нуждаются в углублённых занятиях для развития мелкой моторики руки. Через песочек, через тактильное восприятие очень хорошо развивается мелкая моторика руки, — рассказал Оксана Ермакова. — Метод «Песочница» хорошо подходит деткам, которым необходимо индивидуальное сопровождение. Если ребёнок не может в группе работать, или познавательная сфера развивается не так, как у всех детей, какие-то навыки страдают, то образовательный процесс нужно выстраивать один на один. На первоначальном этапе это позволяет снять внутреннее напряжение ребёнка, потому что эти дети часто страдают оттого, что они внутренне очень напряжены, у них высокое внутреннее напряжение, тревожность, которая потом может перерасти в агрессию. Важно научить ребёнка снимать это внутреннее напряжение, и песок очень для этого подходит, — добавила Оксана Демировна.

Световой мольберт используется для групповой работы по четыре-шесть человек, а световой переносной планшет — для индивидуальных занятий. Эти планшеты могут менять цвет и оттенки подсветки, дети не просто получают возможность тактильного массажа, они также играют с цветом.

Занятие начинается с разминки рук массажными мячиками, чтобы дети включились в процесс. Ребята обеими руками крутят массажный мячик и проговаривают четверостишия. Здесь одновременно развиваются мелкая, крупная моторика и эмоциональное восприятие.

— Мне важно включить две руки, чтобы, когда дети рисуют, играют с песком, у них работали оба полушария. С помощью песочной методики развивается вся познавательная сфера. Мы говорим — активизируем речь, задаём вопросы — строим диалог, развивается воображение, мышечная и слуховая память, — рассказывает Оксана Ермакова.

Дети занимаются индивидуально и в группах. В начале года происходит диагностика, определяются проблемные зоны малыша.

— Если вдруг у ребёнка в три года «запало» мышление или цветовое восприятие, то я советуюсь с родителями, и мы берём ребёнка на коррекционные развивающие занятия. Также работают логопед, инструктор по физкультуре, музыканты. Если есть общие западания в развитии определённых познавательных сфер у нескольких детей, то я формирую группы, например, группу по развитию мышления и мелкой моторики рук.

Оксана Ермакова 18 лет работает в образовательной сфере и 15 лет педагогом-психологом. В детском саду «Родничок» она уже три года.

— Через тактильную чувствительность у ребёнка идёт развитие всей познавательной сферы, особенно мышления и речи. Рука — пульт управления мозгом, что делала когда-нибудь рука — не забудет никогда. Важно детям в этом возрасте развивать мышечную память, через неё идёт развитие мелкой моторики, активизируется речь и мышление. А мышление — это интеллект, это удачи в школе и в жизни в дальнейшем. У нас есть желание создать ресурсный центр с интерактивным оборудованием и применением его в образовательной среде, у нас уже есть несколько интерактивных досок с оборудованием, теперь появились вот такие «песочницы». Детям нравится тактильный массаж, они расслабляются. Я создала программу работы с кинетическим песком, теперь я дорабатываю раздел с сухим песком. От сказок и картинок можно перейти к съёмкам видеоклипов, создавать мультики, это уже будет зависеть от творческой инициативы педагога и умения зарядить этим детей.

фото Юлии Базай / автор текста Олеся Каминская / Пресс-служба города Переславля-Залесского

Еще больше фото на официальных ресурсах:

https://vk.com/newspereslavl

https://ok.ru/newspereslavl

https://www.instagram.com/NewsPereslavl/

https://www.facebook.com/NewsPereslavl/

19 Апреля 2018 21:43

Просмотров: 694

Дедуктивный метод в преподавательской и аналитической работе / Хабр

Что такое дедукция?

Дедукция — это логически правильный вывод из уже имеющегося знания или из уже имеющихся мыслей. Выводы, построенные с помощью дедукции, изучает наука логика. Натуральная дедукция в логике использует правила, которые близки тому, как рассуждает человек, поэтому она так и называется »натуральная дедукция”. Дедукция применяется в повседневной жизни, а также в преподавательской и аналитической работе.

Пример дедуктивного рассуждения в логике

Дедукция известна со времен Аристотеля. Именно Аристотель рассматривал умозаключения с посылками и выводом.

Пример дедуктивного умозаключения:

Все люди смертны.
Сократ – человек.
Следовательно, Сократ смертен.

Первые два суждения называются посылками, а последнее суждение – это вывод или следствие.
В логике существуют определенные правила вывода, на основе которых строятся рассуждения. Эти правила нужны для того, чтобы приходить к истинному выводу, исходя из истинных посылок.

Применение дедуктивных рассуждений в повседневной жизни

В рассказах Конан Дойла знаменитый сыщик Шерлок Холмс говорит о своём дедуктивном методе. Действительно, он рассматривает общую картину преступления, потом изучает детали. Дедукция — это рассуждение от общего знания к частному. То есть если мы имеем какое-то уже исходное знания, то мы дальше в процессе рассуждения приходим к неким выводам.

Представим, как бы рассуждал сыщик. Допустим мы находимся вне города и видим человека, который несёт рыбу.

Исходное знание – человек несет рыбу. Далее наше рассуждение выглядит так. Мы можем предположить, что, первое, — человек купил эту рыбу в магазине. Но магазина рядом нет, так что скорее всего он взял рыбу у кого-то или поймал ее сам. Если человек поймал рыбу сам, то тогда у него должно быть удочки с собой. Но удочки у него нет. Тогда, возможно, удочка осталась на берегу или у него вовсе не было удочки. Если у этого человека нет удочки вовсе, то он взял рыбу у кого-то. Сыщику достаточно будет посмотреть, нет ли на берегу удочки. Если она есть – то этот человек сам выловил рыбу. Если ее нет, то человек взял у кого-то эту рыбу.
Это пример дедуктивного рассуждения: есть исходное общее знание, и далее мы рассматриваем частности и детали.

Пример дедуктивного рассуждения при принятии решения

У Андрея сейчас уровень английского языка чуть ниже среднего. Он хочет достичь среднего уровня английского языка (B1) через 3 месяца. Рассмотрим рассуждения Андрея.
Если я буду заниматься самостоятельно, то мне нужно будет самому искать учебные материалы, упражнения и выполнять задания без проверки преподавателя. Тогда я должен буду запланировать 3 часа в день на занятия английским, чтобы через 3 месяца достичь уровня B1.

Если я буду заниматься с преподавателем 2 раза в неделю, то тогда мне не нужно искать учебные материалы, упражнения, и преподаватель будет проверять мои задания. В этом случая я должен запланировать 2 часа в день на занятия английским языком, чтобы через 3 месяца достичь уровня B1.

Заниматься самостоятельно или заниматься с преподавателем

Запланировать 3 часа на занятия английским языком в день.
Я достигну уровня B1 через 3 месяца.

Заниматься с преподавателем

Запланировать 2 часа в день на занятия английским языком.
Я достигну уровня B1 через 3 месяца.

Я достигну уровня B1 через 3 месяца.

Как дедуктивный метод помогает в жизни?

1. Цель определяется заранее.
2. Рассматриваем варианты того, как вы ее можете достигнуть.
3. На принятие решения не оказывают влияние эмоции.
4. На принятие решения не оказывают влияния советы третьих лиц.
5. Вы сами выбираете направление, которое вам позволит прийти к цели.
6. Вы можете выбрать наиболее экономичное (в денежном или время затратном плане) решение.

Применение дедуктивного метода в преподавании и аналитической работе

Дедуктивный метод в преподавании основывается на объяснении с помощью правил. Вначале идет презентация правил, а потом следуют примеры употребления этих правил и упражнения на их отработку.

Примером дедуктивного обучения может быть следующая ситуация:
Вы устроились на новое место работы. В первый рабочий день вы заметили, что ваши новые коллеги ставят плюсик напротив своей фамилии при входе в здание, берут пропуск, а после рабочего дня отдают пропуск на выходе из здания. После вы делаете тоже самое.

Итак, используя дедуктивный метод вы опираетесь изначально на некоторое правило. Например, в работе преподавателя иностранных языков применение этого метода будет следующим.

Когда начинается занятие по грамматике, после некоторого вступления, приветствия, преподаватель сначала объясняет правило использования той или иной грамматической конструкции, потом приводит примеры использования, и дает студентам упражнения на применение этого правила.

Применение дедуктивного метода в когнитивно-поведенческой психологии

Рассмотрим пример применения дедуктивного метода в когнитивно-поведенческая психологии. Работа психотерапевта – аналитическая, специалист анализирует мыслительный процесс клиента, делает выводы. Необходимо отметить, что особенность этой терапии заключается в том, что клиент проводит большую самостоятельную работу, читает литературу и отрабатывает навыки.

Когда клиент приходит на первую сессию к психотерапевту, то ему не известны суть и особенности проведения консультаций у психотерапевта, работающего в этом направлении. Психотерапевт сначала объясняет специфику когнитивно-поведенческой терапии, рассказывает, как убеждения влияют на эмоции, а потом уже терапевт задает задание на применение и отработку определенных правил выявления когнитивных искажений.

Безусловно, как преподаватели, так и психотерапевты используют различные методы в своей работе. Каждый метод имеет свои особенности, преимущества и недостатки. Еще раз подчеркну, что в этой статье я рассматриваю приемы и методику именно дедуктивного метода.

Обзор дедуктивного подхода в преподавательской и аналитической работе был бы не полным, если не рассмотреть некоторые недостатки метода.

Недостатки дедуктивного подхода

Рассмотрим на примере использования этого метода в преподавании иностранного языка.

1. Начинать урок с презентации грамматики может быть трудоемким и сложным для некоторых студентов, особенно начального уровня. Они могут не знать специфической терминологии для объяснения грамматики. Кроме того, они могут не понимать некоторые более простые грамматические конструкции.
2. Объяснение грамматики переводит центр внимания на преподавателя, тем самым уменьшая количество времени, которое можно использовать на взаимодействие студентов друг с другом. Тем самым, не уделяется основное время урока на отработку навыков общения и использование языка в речи.
3. Объяснение не так хорошо воспринимается, как другие формы презентации материала, как например наглядная демонстрация.
4. Такой подход может внушить студенту мысль, что знание языка – это просто знание некоторого набора правил.

Дедуктивный метод имеет множество преимуществ, рассмотрим некоторые из них.

Преимущества дедуктивного метода

1. Он сразу достигает поставленной цели, и поэтому может быть экономным в плане финансовых затрат. Многие правила, в особенности правила грамматической формы, может быть просто и быстро объяснено, затем выявляться из примеров. Это дает больше времени на практику и применение правил.
2. Дедуктивный метод признает знания и зрелость студентов, а также роль когнитивных процессов в освоении языка.
3. Он оправдывает ожидания многих студентов от процесса обучения, в особенности тех студентов, у которых аналитический стиль изучения нового материала.
4. Он позволяет преподавателям иметь дело с различными особенностями языка в процессе урока вместо того, чтобы предполагать заранее те вопросы, которые могут возникнуть и готовиться к ним до урока.

Литература:

Thornbury S. How to Teach Grammar. Pearson Education Limited, 1999
Johan van Benthem, Hans van Ditmarsch, Jan van Eijck, Jan Jaspars. Logic in Action, 2016
Фотографии взяты из открытого источника www.pexels.com

Анализ методов компьютерного зрения в классификации вредоносных программ | Раджа Нарасимхан

Итак, как вы можете видеть результаты, опубликованные в этих статьях, обнаруживается около 95–98% вредоносных программ, что показывает, что техника компьютерного зрения намного лучше традиционных подходов. Классификация вредоносных программ с использованием представления изображений также показывает модель с CNN, а встраивание слов дает точность около 99,5%.

Не только компьютерное зрение, но и некоторые исследователи опубликовали статью, в которой используется обучение с подкреплением, обработка естественного языка и т. Д.

В наши дни злоумышленники также начали использовать автоматизацию, и Антивирусу сложно защитить наши системы устаревшими методами.

Исследования Глобального института McKinsey показывают, что автоматизация, основанная на таких технологиях, как искусственный интеллект и машинное обучение, может повысить производительность на 0,8–1,4% в год в течение следующих полувека, также McKinsey оценивает создание глобальной экономической стоимости от 9 до 21 триллиона долларов. зависит от устойчивости среды кибербезопасности.

Глубокое обучение позволяет достичь действительно хорошей точности, а также требует меньше оборудования по сравнению с традиционным методом. Так что, может быть, это будущее.

Я надеюсь, что это хорошее введение и скоро опубликую свои идеи в этой области

До скорой встречи

Ссылка:

[1] Аджай Сингх , Классификация вредоносных программ с использованием представления изображений (2017), Междисциплинарный центр кибербезопасности и киберзащиты критических инфраструктур

[2] Дэниел Гилберт, Сверточные нейронные сети для классификации вредоносных программ (2016), IEEE

[3] L.Натарадж, С. Картикеян, Г. Джейкоб, BS Manjunath Образы вредоносных программ: визуализация и автоматическая классификация (2011 г.), Vison Reasearch Lab

https://www.welivesecurity.com/wp-content/uploads/2018/08 /Can_AI_Power_Future_Malware.pdf

https://techbeacon.com/security/antivirus-dead-how-ai-machine-learning-will-drive-cybersecurity

Проверьте мой профиль:

https: // github. com / rajanarasimhan

https://www.linkedin.com/in/raja-narasimhan-645329171/

https: // rajanarasimhan.github.io./

Глубокая песочница приложения

Конкретные шаги, которые вы предпринимаете для внедрения тестовой среды приложения, уникальны для вашего приложения, но механизмы контроля доступа, используемые в тестовой среде приложения для защиты пользовательских данных, остаются неизменными:

• Права. Сообщайте macOS конкретные системные ресурсы, необходимые вашему приложению для выполнения своей работы, и не более того.

• Контейнеры. Доступ только к файлам и каталогам, которые считаются безопасными для вашего приложения.

• Постоянный доступ к ресурсам. Сохраняйте закладки с ограничением безопасности при запуске вашего приложения для любых дополнительных файлов, к которым пользователь специально предоставил вашему приложению доступ.

• Подпись кода. Однозначно идентифицируйте ваше приложение в системе, чтобы другое приложение не могло замаскироваться под ваше.

• Разделение привилегий. Разделите приложение на более мелкие части, каждая из которых имеет свои собственные права доступа к ресурсам, минимизируя ущерб, если какая-либо из частей окажется скомпрометированной.

Необходимость последней линии защиты

Вы защитите свое приложение от атак вредоносных программ, следуя методам, рекомендованным в Руководство по безопасному кодированию . Но, несмотря на все ваши усилия по созданию неуязвимого барьера — за счет предотвращения переполнения буфера и других повреждений памяти, предотвращения раскрытия пользовательских данных и устранения других уязвимостей — ваше приложение может быть использовано вредоносным кодом. Злоумышленнику нужно только найти одну дыру в вашей защите или в любой из фреймворков и библиотек, с которыми вы связаны, чтобы получить контроль над взаимодействием вашего приложения с системой.

Тестовая среда приложения предназначена для прямого противостояния этому сценарию, позволяя вам описать предполагаемое взаимодействие вашего приложения с системой. Затем система предоставляет вашему приложению только тот доступ, который необходим вашему приложению для выполнения своей работы. Если вредоносный код получает контроль над правильно изолированным приложением, ему остается доступ только к файлам и ресурсам в изолированной программной среде приложения.

Чтобы успешно внедрить тестовую среду приложения, используйте другой образ мышления, отличный от того, к которому вы, возможно, привыкли, как это предлагается в Таблице 2-1.

Воспользуйтесь преимуществом доступа во всем приложении

Права и доступ к системным ресурсам

Приложение, не изолированное от песочницы, имеет доступ ко всем доступным для пользователя системным ресурсам, включая встроенную камеру и микрофон, сетевые разъемы, печать и большая часть файловой системы.В случае успешной атаки вредоносного кода такое приложение может вести себя как враждебный агент с широким потенциалом причинения вреда.

Когда вы включаете тестовую среду приложения для своего приложения, вы удаляете все, кроме минимального набора привилегий, а затем намеренно восстанавливаете их один за другим, используя права. Права доступа — это пара «ключ-значение», которая определяет конкретную возможность, например возможность открывать исходящий сетевой сокет.

Одно специальное право — Включить тестовую среду приложения — включает тестовую среду приложения.Когда вы включаете песочницу, Xcode создает файл списка свойств .entitlements и показывает его в навигаторе проекта.

Если вашему приложению требуется возможность, запросите ее, добавив соответствующее разрешение в свой проект Xcode, используя вкладку «Сводка» целевого редактора. Если вам не нужна возможность, постарайтесь не указывать соответствующее право.

Вы запрашиваете разрешения для каждого целевого объекта. Если ваше приложение имеет единственную цель — главное приложение — вы запрашиваете права только для этой цели.Если вы разрабатываете свое приложение для использования основного приложения вместе с помощниками (в форме служб XPC), вы запрашиваете права индивидуально и, если необходимо, для каждой цели. Вы узнаете больше об этом в разделах «Внешние инструменты», «Службы XPC» и «Разделение привилегий».

Вам может потребоваться более детальный контроль над правами вашего приложения, чем это доступно в целевом редакторе Xcode. Например, вы можете запросить разрешение на временное исключение, потому что песочница приложения не поддерживает возможности, необходимые вашему приложению, такие как возможность отправлять событие Apple в приложение, которое еще не предоставляет какие-либо группы доступа для сценариев.Для работы с разрешениями на временные исключения используйте редактор списка свойств Xcode, чтобы напрямую отредактировать файл списка свойств целевого объекта .entitlements .

Примечание: Если вы запрашиваете разрешение на временное исключение, обязательно следуйте инструкциям относительно разрешений, представленных на веб-сайте iTunes Connect. В частности, сообщите об ошибке, запрашивая необходимую вам функциональность, и используйте поле «Обзор заметок» в iTunes Connect, чтобы объяснить, почему вашему приложению требуется временное исключение.Обязательно укажите номер ошибки.

для macOS описаны в разделе Включение изолированной программной среды приложения в справочнике по ключу прав . Пошаговое руководство по запросу прав для целевого объекта в проекте Xcode см. В разделе Быстрый запуск тестовой среды приложения.

Каталоги контейнеров и доступ к файловой системе

Когда вы внедряете тестовую среду приложения, ваше приложение получает доступ к следующим расположениям:

• Каталог контейнера приложения. При первом запуске операционная система создает специальный каталог для использования вашим приложением — и только вашим приложением — под названием контейнер .Каждый пользователь в системе получает индивидуальный контейнер для вашего приложения в своем домашнем каталоге; ваше приложение имеет неограниченный доступ для чтения и записи к контейнеру для пользователя, который его запустил.

• Каталоги контейнеров группы приложений. Изолированное приложение может указать право, которое дает ему доступ к одному или нескольким каталогам контейнеров группы приложений, каждый из которых является общим для всех приложений с этим правом.

• Файлы, указанные пользователем. Изолированное приложение (с соответствующими правами) автоматически получает доступ к файлам в произвольных местах, когда эти файлы явно открываются пользователем или перетаскиваются пользователем в приложение.

• Сопутствующие товары. С соответствующими правами ваше приложение может получить доступ к файлу с тем же именем, что и указанный пользователем файл, но с другим расширением. Это можно использовать для доступа к файлам, которые функционально связаны (например, файл субтитров, связанный с фильмом), или для сохранения измененных файлов в другом формате (например, повторное сохранение плоского файла RTF в качестве контейнера RTFD после того, как пользователь добавил картина).

• Временные каталоги, каталоги инструментов командной строки и определенные общедоступные места. Изолированное приложение имеет разную степень доступа к файлам в некоторых других четко определенных местах.

Эти политики подробно описаны в следующих разделах.

Каталог контейнера тестовой среды приложения

Каталог контейнера тестовой среды приложения имеет следующие характеристики:

• Он расположен по определенному системой пути в домашнем каталоге пользователя. В изолированном приложении этот путь возвращается, когда ваше приложение вызывает функцию NSHomeDirectory .

• Ваше приложение имеет неограниченный доступ для чтения и записи к контейнеру и его подкаталогам.

• API поиска путей macOS (выше уровня POSIX) ссылаются на местоположения, специфичные для вашего приложения.

  Большинство этих API для поиска пути ссылаются на местоположения относительно контейнера вашего приложения. Например, контейнер включает в себя отдельный каталог Library (указанный константой пути поиска NSLibraryDirectory ) для использования только вашим приложением с отдельными подкаталогами Application Support и Preferences .

  Использование вашего контейнера для файлов поддержки не требует изменения кода (из версии вашего приложения до песочницы), но может потребовать однократной миграции, как описано в разделе «Миграция приложения в песочницу».

  Некоторые API для поиска пути (выше уровня POSIX) ссылаются на зависящие от приложения местоположения за пределами домашнего каталога пользователя. Например, в изолированном приложении функция NSTemporaryDirectory предоставляет путь к каталогу, который находится за пределами домашнего каталога пользователя, но специфичен для вашего приложения и внутри вашей песочницы; у вас есть неограниченный доступ для чтения / записи для текущего пользователя.Поведение этих API для поиска пути адаптировано для тестовой среды приложения, и изменение кода не требуется.

• macOS устанавливает и обеспечивает соединение между вашим приложением и его контейнером с помощью подписи кода вашего приложения.

• Контейнер находится в скрытом месте, поэтому пользователи не взаимодействуют с ним напрямую. В частности, контейнер не предназначен для пользовательских документов. Он предназначен для файлов, которые использует ваше приложение, а также для баз данных, кешей и других данных, специфичных для приложения.

  Для приложения в стиле обувной коробки, в котором вы предоставляете единственный пользовательский интерфейс для пользовательского контента, этот контент помещается в контейнер, и ваше приложение имеет к нему полный доступ.

  iOS Примечание. Контейнер macOS отличается от контейнера iOS, поскольку он не предназначен для пользовательских документов. Кроме того, в отличие от macOS, контейнер iOS содержит само приложение.

  iCloud Примечание. Технология Apple iCloud , описанная в Руководстве по дизайну iCloud , также использует название «контейнер».Нет функциональной связи между контейнером iCloud и контейнером песочницы приложения.

Благодаря подписи кода никакое другое изолированное приложение не может получить доступ к вашему контейнеру, даже если оно пытается замаскироваться под ваше приложение с помощью идентификатора вашего пакета. Однако в будущих версиях вашего приложения — при условии, что вы используете ту же подпись кода и идентификатор пакета — будет повторно использоваться контейнер вашего приложения.

Для каждого пользователя каталог контейнера изолированного приложения создается автоматически, когда этот пользователь впервые запускает приложение.Поскольку контейнер находится в домашнем каталоге пользователя, каждый пользователь в системе получает свой собственный контейнер для вашего приложения.

Каталог контейнеров группы приложений

В дополнение к контейнерам для каждого приложения в macOS 10.7.5 и 10.8.3 и более поздних версиях приложение может использовать право com.apple.security.application-groups для запроса доступа к один или несколько общих контейнеров, общих для нескольких приложений, созданных одной командой разработчиков. Право — это массив строк идентификаторов группы, каждая из которых называет другую группу, к которой принадлежит приложение.Контейнеры групп предназначены для содержимого, не предназначенного для пользователей, например для общих кешей или баз данных.

Примечание. Приложения , которые являются членами группы приложений, также получают возможность совместно использовать семафоры Mach и POSIX и использовать некоторые другие механизмы IPC вместе с другими членами группы. Дополнительные сведения см. В разделе «Семафоры IPC и POSIX и общая память».

Песочница приложения автоматически увеличивается, чтобы включить в нее все контейнеры группы приложения. Сами контейнеры хранятся в ~ / Library / Group Containers / , где — это имя группы, как указано в одной из строк идентификатора группы прав. .Идентификаторы групп должны начинаться с идентификатора вашей группы разработчиков, за которым следует точка.

Начиная с macOS 10.8.3, ваше приложение может получить путь к контейнеру группы, вызвав метод containerURLForSecurityApplicationGroupIdentifier: из NSFileManager с допустимым идентификатором группы.

Примечание. В macOS 10.9 при вызове этого метода автоматически создается каталог контейнера группы вместе с папками Library / Preferences , Library / Caches и Library / Application Support в этом каталоге контейнера группы.

В предыдущих версиях, хотя каталог контейнера группы является частью вашей песочницы, сам каталог не создается автоматически. Ваше приложение должно создать этот каталог, как показано в Листинге 2-1:

Листинг 2-1 Создание каталога контейнера группы приложений

 NSFileManager * fm = [NSFileManager defaultManager]; 

 NSString * appGroupName = @ "Z123456789.com.example.app-group"; / * Например * / 

 NSURL * groupContainerURL = [fm containerURLForSecurityApplicationGroupIdentifier: appGroupName]; 

 NSError * theError = nil; 

 if (! [Fm createDirectoryAtURL: groupContainerURL withIntermediateDirectories: YES attributes: nil error: & theError]) {

 // Обработка ошибки.

} 

Дополнительные сведения см. В разделе «Добавление приложения в группу приложений» в справочнике по ключу прав .

Powerbox и доступ к файловой системе за пределами вашего контейнера

Ваше изолированное приложение может получить доступ к расположениям файловой системы за пределами своего контейнера следующими тремя способами:

• По указанию пользователя

• Используя права на определенные расположения файловой системы (описанные в разделе Права и доступ к системным ресурсам)

• Когда расположение файловой системы находится в определенных каталогах, доступных для чтения всем пользователям

Вызывается технология безопасности macOS, которая взаимодействует с пользователем для расширения вашей изолированной программной среды. Блок питания .У Powerbox нет API. Ваше приложение использует Powerbox прозрачно, если вы используете классы NSOpenPanel и NSSavePanel . Вы включаете Powerbox, устанавливая права с помощью Xcode, как описано в разделе «Включение доступа к выбранным пользователем файлам» в справочнике по ключу прав .

Когда вы вызываете диалоговое окно «Открыть» или «Сохранить» из изолированного приложения, открывающееся окно представляется не AppKit, а Powerbox. Использование Powerbox происходит автоматически, когда вы внедряете тестовую среду приложения — это не требует изменения кода по сравнению с версией вашего приложения до песочницы.Вспомогательные панели, которые вы использовали для открытия или сохранения, точно отображаются и используются.

Преимущество безопасности, обеспечиваемое Powerbox, заключается в том, что им нельзя управлять программно — в частности, нет механизма, позволяющего враждебному коду использовать Powerbox для доступа к файловой системе. Только пользователь, взаимодействуя с диалоговыми окнами «Открыть» и «Сохранить» через Powerbox, может использовать эти диалоги для доступа к частям файловой системы за пределами ранее созданной «песочницы». Например, если пользователь сохраняет новый документ, Powerbox расширяет вашу песочницу, чтобы предоставить вашему приложению доступ для чтения / записи к документу.

Когда пользователь вашего приложения указывает, что он хочет использовать файл или папку, система добавляет связанный путь к песочнице вашего приложения. Скажем, например, пользователь перетаскивает папку ~ / Documents на плитку Dock вашего приложения (или на значок Finder вашего приложения, или в открытое окно вашего приложения), тем самым показывая, что он хочет использовать эту папку. В ответ система делает папку ~ / Documents , ее содержимое и ее подпапки доступными для вашего приложения.

Если вместо этого пользователь открывает определенный файл или сохраняет в новый файл, система делает указанный файл и только этот файл доступным для вашего приложения.

Кроме того, система автоматически разрешает изолированному приложению:

• Подключиться к системным методам ввода

• Вызов служб, выбранных пользователем в меню «Службы».

  Некоторые службы небезопасны для песочницы. Например, служба Open в приложении Finder может позволить скомпрометированному приложению программно открыть произвольный файл в любом месте системы, таким образом избегая изолированной программной среды. Поставщикам услуг рекомендуется помечать эти виды услуг как ограниченные (по умолчанию службы не ограничены), и в этом случае служба по-прежнему доступна для изолированных приложений, но только после того, как пользователь получит предупреждение и даст явное разрешение на продолжение.См. Руководство по внедрению служб для получения дополнительной информации.

• Открыть файлы, выбранные пользователем в меню «Открыть недавние»

• Участвовать в других приложениях путем копирования и вставки по запросу пользователя

• Чтение файлов, доступных для чтения всем, в определенных каталогах, включая следующие каталоги:

  • / bin

  • / sbin

  • / usr / bin

  • / usr / lib

  • / usr / sbin

  • / usr / акция

  • / System

• Чтение и запись файлов в каталогах, созданных с помощью вызова NSTemporaryDirectory .

  Примечание: Каталог / tmp — это , а не , доступный из изолированных приложений. Используйте функцию NSTemporaryDirectory , чтобы получить временное расположение для временных файлов вашего приложения.

После того, как пользователь указал файл, который он хочет использовать, этот файл оказывается в изолированной программной среде вашего приложения. Затем файл становится уязвимым для атаки, если ваше приложение используется вредоносным кодом: песочница приложения не обеспечивает защиты. Чтобы обеспечить защиту файлов в вашей песочнице, следуйте рекомендациям в Secure Coding Guide .

По умолчанию файлы, открытые или сохраненные пользователем, остаются в вашей песочнице до завершения работы вашего приложения, за исключением файлов, которые были открыты в момент , когда ваше приложение завершает работу. Такие файлы автоматически открываются повторно с помощью функции возобновления macOS при следующем запуске приложения и автоматически добавляются обратно в песочницу вашего приложения.

Чтобы обеспечить постоянный доступ к ресурсам, расположенным за пределами вашего контейнера, способом, который не зависит от возобновления, используйте закладки с ограничением безопасности, как описано в разделах Закладки с ограничением безопасности и постоянный доступ к ресурсам.

Связанные элементы

Функция связанных элементов тестовой среды приложения позволяет вашему приложению получать доступ к файлам, которые имеют то же имя, что и выбранный пользователем файл, но с другим расширением. Эта функция состоит из двух частей: списка связанных расширений в файле Info.plist приложения и кода, сообщающего песочнице, что вы делаете.

Есть два распространенных сценария, в которых это имеет смысл:

• Сценарий 1:

  Ваше приложение должно иметь возможность сохранять файл с расширением, отличным от расширения исходного файла.Например, когда вы вставляете изображение в файл RTF в TextEdit и сохраняете его, TextEdit изменяет расширение файла с .rtf на .rtfd (и становится каталогом).

  Чтобы справиться с этой ситуацией, необходимо использовать объект NSFileCoordinator для координации доступа к файлу. Перед переименованием файла вызовите метод itemAtURL: willMoveToURL: . После переименования файла вызовите метод itemAtURL: didMoveToURL: .

• Сценарий 2:

  Ваше приложение должно иметь возможность открывать или сохранять несколько связанных файлов с тем же именем и разными расширениями (например, чтобы автоматически открывать файл субтитров с тем же именем, что и файл фильма, или разрешить файл журнала SQLite).

  Чтобы получить доступ к этому вторичному файлу, создайте класс, соответствующий протоколу NSFilePresenter . Этот объект должен предоставлять URL-адрес основного файла в качестве свойства primaryPresentItemURL и должен предоставлять URL-адрес вторичного файла в качестве свойства PresentItemURL .

  После того, как пользователь откроет основной файл, объект-презентатор файла должен вызвать метод класса addFilePresenter: в классе NSFileCoordinator для регистрации.

  Примечание: В случае файла журнала SQLite, начиная с версии 10.8.2, файлы журнала, файлы журнала упреждающей записи и файлы общей памяти автоматически добавляются в список связанных элементов, если вы открываете базу данных SQLite, поэтому этот шаг не нужен.

В обоих сценариях необходимо внести небольшие изменения в файл Info.plist приложения. В вашем приложении уже должен быть объявлен массив типов документов ( CFBundleDocumentTypes ), который объявляет типы файлов, которые может открывать ваше приложение.

Для каждого словаря типов файлов в этом массиве, если этот тип файла должен рассматриваться как потенциально связанный тип для целей открытия и сохранения, добавьте ключ NSIsRelatedItemType с логическим значением YES .

Чтобы узнать больше о презентаторах файлов и координаторах файлов, прочтите Руководство по программированию файловой системы .

Поведение диалогового окна открытия и сохранения в тестовой среде приложения

Некоторые методы NSOpenPanel и NSSavePanel ведут себя по-разному, когда для вашего приложения включена песочница приложения: Классы NSSavePanel отличаются от тестовой среды приложения, как показано в таблице 2-2.

Из-за этой разницы во времени выполнения объект NSOpenPanel или NSSavePanel наследует меньше методов с песочницей приложения.Если вы пытаетесь отправить сообщение объекту NSOpenPanel или NSSavePanel , и этот метод определен в классах NSPanel , NSWindow или NSResponder , система вызывает исключение. Компилятор Xcode не выдает , а не предупреждение или ошибку, чтобы предупредить вас об этом поведении во время выполнения.

Закладки с ограничением безопасности и постоянный доступ к ресурсам

Доступ вашего приложения к расположениям файловой системы за пределами его контейнера, предоставленный вашему приложению посредством намерения пользователя, например, через Powerbox, не сохраняется автоматически при запуске приложения или системе перезапускается.Когда ваше приложение откроется снова, вам придется начинать заново. (Единственным исключением являются файлы, открытые с в момент , когда ваше приложение завершает работу, которые остаются в вашей песочнице благодаря функции возобновления macOS).

Начиная с macOS 10.7.3, вы можете сохранить доступ к ресурсам файловой системы, используя механизм безопасности, известный как закладки с областью безопасности , который сохраняет намерения пользователя. Вот несколько примеров функций приложения, которые могут извлечь из этого пользу:

• Выбранная пользователем папка для загрузки, обработки или вывода

• Файл библиотеки браузера изображений, который указывает на указанные пользователем изображения в произвольных местах

• Сложный формат документа, который поддерживает встроенные носители, хранящиеся в других местах

Два разных типа закладки с ограниченным доступом

Закладки с ограниченным доступом , доступны начиная с macOS 10.7.3, поддерживают два различных варианта использования:

• Закладка в области приложения предоставляет вашему изолированному приложению постоянный доступ к указанному пользователем файлу или папке.

  Например, если ваше приложение использует папку загрузки или обработки, которая находится за пределами контейнера приложения, получите начальный доступ, представив диалоговое окно NSOpenPanel , чтобы узнать намерение пользователя использовать определенную папку. Затем создайте закладку в области приложения для этой папки и сохраните ее как часть конфигурации приложения (возможно, в файле списка свойств или с помощью класса NSUserDefaults ).С помощью закладки на уровне приложения ваше приложение может в будущем получить доступ к папке.

• Закладка на уровне документа обеспечивает конкретный документ с постоянным доступом к файлу.

  Например, приложение для редактирования видео обычно поддерживает понятие проектного документа, который ссылается на другие файлы и требует постоянного доступа к этим файлам. Такой проектный документ может хранить закладки безопасности для файлов, на которые он ссылается.

  Получите начальный доступ к упомянутому элементу, запросив у пользователя намерение использовать этот элемент.Затем создайте закладку на уровне документа для элемента и сохраните закладку как часть данных документа.

  Закладка на уровне документа может быть разрешена любым приложением, имеющим доступ к самим данным закладки и к документу, который владеет закладкой. Это поддерживает переносимость, позволяя пользователю, например, отправить документ другому пользователю; защищенные закладки документа остаются доступными для получателя. Документ может быть одним плоским файлом или пакетом, содержащим несколько файлов.

  Закладка в области документа может указывать только на файл, но не на папку, и только на файл, который не находится в месте, используемом системой (например, / частный или / Библиотека ).

Использование закладок с областью безопасности

Чтобы использовать любой из типов закладки с областью безопасности, необходимо выполнить пять шагов:

1. Установите соответствующие права в целевом объекте, который должен использовать закладки с областью безопасности.

   Сделайте это один раз для каждой цели как часть настройки вашего проекта Xcode.

2. Создание закладки с ограничением безопасности.

   Сделайте это, когда пользователь указал намерение (например, через Powerbox) использовать ресурс файловой системы вне контейнера вашего приложения, и вы хотите сохранить возможность доступа вашего приложения к этому ресурсу.

3. Разрешить закладку с ограничением безопасности.

   Сделайте это, когда вашему приложению позже (например, после перезапуска приложения) потребуется доступ к ресурсу, который вы добавили в закладки на шаге 2. Результатом этого шага является URL с ограничением безопасности.

4. Явно укажите, что вы хотите использовать ресурс файловой системы, URL-адрес которого вы получили на шаге 3.

   Сделайте это сразу после получения URL-адреса с ограниченным уровнем безопасности (или, если вы позже захотите восстановить доступ к ресурсу после отказавшись от доступа к нему).

5. По завершении использования ресурса явно укажите, что вы хотите прекратить его использование.

   Сделайте это, как только узнаете, что вам больше не нужен доступ к ресурсу (обычно после его закрытия).

   После того, как вы откажетесь от доступа к ресурсу файловой системы, чтобы снова использовать этот ресурс, вы должны вернуться к шагу 4 (чтобы снова указать, что вы хотите использовать ресурс).

   Если ваше приложение перезапускается, вы должны вернуться к шагу 3 (для устранения закладки с ограничением безопасности).

Первый шаг в предыдущем списке, запрос прав, является предварительным условием для использования любого типа закладки с ограниченным доступом. Выполните этот шаг следующим образом:

• Чтобы использовать закладки на уровне приложения в целевом объекте, установите для параметра com.apple.security.files.bookmarks.app-scope значение полномочий true .

• Чтобы использовать закладки на уровне документа в целевом объекте, установите для параметра com.apple.security.files.bookmarks.document-scope значение полномочий true .

При необходимости вы можете запросить одно или оба этих разрешения в целевом объекте. Эти права доступны начиная с macOS 10.7.3 и описаны в разделе «Включение закладки с ограничением безопасности и доступа по URL-адресу».

При наличии соответствующих прав вы можете создать закладку с областью безопасности, вызвав метод bookmarkDataWithOptions: включаяResourceValuesForKeys: relativeToURL: error: класса NSURL .

Когда вам позже потребуется доступ к ресурсу, отмеченному закладкой, разрешите его закладку с ограничением безопасности, вызвав метод URLByResolvingBookmarkData: options: relativeToURL: bookmarkDataIsStale: error: класса NSURL .

В изолированном приложении вы не можете получить доступ к ресурсу файловой системы, на который указывает URL-адрес с областью безопасности, пока вы не вызовете метод startAccessingSecurityScopedResource для URL-адреса.

Если вам больше не нужен доступ к ресурсу, полученному с помощью области безопасности (обычно после закрытия ресурса), вы должны вызвать метод stopAccessingSecurityScopedResource для URL-адреса ресурса.

Вызовы для запуска и остановки доступа не вложены. Когда вы вызываете метод stopAccessingSecurityScopedResource , вы немедленно теряете доступ к ресурсу.Если вы вызовете этот метод для URL-адреса, к которому у вас нет доступа, ничего не произойдет.

Предупреждение: Если вы не откажетесь от доступа к ресурсам файловой системы, когда они вам больше не нужны, ваше приложение потеряет ресурсы ядра. При утечке достаточного количества ресурсов ядра ваше приложение теряет возможность добавлять расположения файловой системы в свою песочницу, например, через Powerbox или закладки с ограничением безопасности, пока не будет перезапущено.

Для получения подробных описаний методов, констант и прав, используемых для реализации закладок с областью безопасности в вашем приложении, прочтите Справочник по классу NSURL и прочтите «Включение закладки с ограниченным уровнем безопасности и доступа по URL-адресу в справочнике по ключу прав ».

Тестовая среда приложения и подписание кода

Чтобы внедрить тестовую среду приложения, вы также применяете подписывание кода. Без подписи кода многие функции тестовой среды приложения, такие как ограничение вашего приложения только собственным контейнером файловой системы, не имеют особого смысла, поскольку система не может однозначно идентифицировать ваше приложение. Более того, права, в том числе те, которые активируют тестовую среду приложения в первую очередь, физически хранятся в подписи кода приложения. Приложение, не подписанное кодом, не имеет возможности даже запросить, чтобы его поместили в песочницу.Проще говоря, неподписанный код не изолирован от , независимо от того, какие права вы запрашиваете в настройках целевой сборки.

Современный Xcode упрощает внедрение подписи кода для вашего приложения. Вы предоставляете свои учетные данные для программы разработчика, а Xcode автоматически обрабатывает большую часть остального. Для получения дополнительных сведений о подписи кода, включая описание того, как это работает и как вы его используете, прочтите Руководство по подписанию кода .

macOS обеспечивает связь между контейнером приложения и подписью кода приложения.Эта важная функция безопасности гарантирует, что никакое другое изолированное приложение не сможет получить доступ к вашему контейнеру. Механизм работает следующим образом:

1. Когда система создает контейнер для приложения, она устанавливает список управления доступом (ACL) для этого контейнера. Первоначальная запись управления доступом в этом списке содержит назначенное требование (DR) приложения, которое является частью подписи приложения, описывающей способ распознавания будущих версий приложения. См. Требования к коду в Руководстве по подписанию кода для описания DR.

2. Каждый раз, когда запускается приложение с тем же идентификатором пакета, система проверяет, соответствует ли подпись кода приложения указанным требованиям, указанным в одной из записей в ACL контейнера. Если система не находит совпадения, приложение не запускается.

Обеспечение целостности контейнеров в macOS влияет на цикл разработки и распространения. Это связано с тем, что в процессе создания и распространения приложения приложение подписывается кодом с использованием различных подписей.Вот как работает этот процесс:

1. Перед созданием проекта вы получаете от Apple три сертификата подписи кода: сертификат разработки, сертификат распространения и (необязательно) сертификат Developer ID.

   При использовании вместе с соответствующими закрытыми ключами из вашей цепочки для ключей эти сертификаты образуют три отдельных цифровых удостоверения. Для разработки и тестирования вы подписываете свое приложение своим удостоверением разработчика. Когда вы отправляете версию в магазин приложений, вы используете свой идентификатор распространения.Если вы распространяете версию за пределами магазина приложений, вы используете свой идентификатор разработчика.

2. Когда Mac App Store распространяет ваше приложение, оно подписывается кодом подписи Apple.

Для тестирования и отладки вы можете запустить обе версии вашего приложения: версию, которую вы подписываете, и версию, которую подписывает Apple. Но macOS рассматривает версию вашего приложения, подписанную Apple, как злоумышленник и не разрешает запуск: ее подпись кода не соответствует той, которую ожидает существующий контейнер вашего приложения.

Если вы попытаетесь запустить версию своего приложения, подписанную Apple, вы получите отчет о сбое, содержащий утверждение, подобное этому:

 Тип исключения: EXC_BAD_INSTRUCTION (SIGILL) 

Решение — отрегулировать список управления доступом (ACL) в контейнере вашего приложения, чтобы распознать версию вашего приложения, подписанную Apple. В частности, вы добавляете указанное требование кода для подписанной Apple версии вашего приложения в ACL контейнера приложения.

Чтобы настроить ACL для распознавания подписанной Apple версии вашего приложения

1. Откройте терминал (в / Applications / Utilities) .

2. Откройте окно Finder, которое содержит версию вашего приложения, подписанную Apple.

3. В Терминале введите следующую команду:

   asctl container acl add -file

   Вместо заполнителя , замените путь к подписанной Apple версии вашего приложения. Вместо того, чтобы вручную вводить путь, вы можете перетащить значок Finder приложения в окно Терминала.

ACL контейнера теперь включает указанные требования к коду для обеих версий вашего приложения. После этого macOS позволяет запускать любую версию вашего приложения.

Вы можете использовать этот же метод для совместного использования контейнера между (1) версией приложения, которую вы изначально подписали с удостоверением разработчика, например той, которую вы использовали в быстром запуске тестовой среды приложения, и (2) загруженной выпущенной версией из Mac App Store.

Вы можете просмотреть список требований к коду в ACL контейнера.Например, после добавления обозначенного требования к коду для версии вашего приложения, подписанной Apple, вы можете подтвердить, что ACL контейнера содержит два допустимых требования к коду.

Для отображения списка требований к коду в ACL контейнера

1. Открытый терминал (в / Applications / Utilities) .

2. В Терминале введите следующую команду:

   asctl container acl list -bundle <имя контейнера>

   Вместо заполнителя <имя контейнера> замените имя вашего приложения каталог контейнера.(Имя каталога контейнера вашего приложения обычно совпадает с идентификатором пакета вашего приложения.)

Для получения дополнительной информации о работе со списками управления доступом контейнера песочницы приложения и требованиями к их коду прочтите страницу руководства для asctl ( Инструмент управления песочницей приложения).

Внешние инструменты, службы XPC и разделение привилегий

Некоторые операции приложения с большей вероятностью станут целями злонамеренного использования. Примерами являются анализ данных, полученных по сети, и декодирование видеокадров.Используя XPC, вы можете повысить эффективность сдерживания ущерба, предлагаемого песочницей приложения, разделив такие потенциально опасные действия на их собственные адресные пространства.

Ваше приложение также может запускать существующие вспомогательные приложения с помощью Launch Services, но только при соблюдении определенных условий.

Важно: В то время как дочерний процесс, порожденный приложением (например, с использованием вилки ), просто наследует песочницу своего родителя, вспомогательные приложения — нет. Поэтому, если вы отправляете свое приложение в Mac App Store, убедитесь, что все встроенные вспомогательные приложения также изолированы индивидуально.

Для этого выполните следующую команду для каждого встроенного исполняемого файла в вашем пакете приложений и убедитесь, что каждый из них имеет право на песочницу приложения:

 codeign -dvvv --entitlements: -  

Разделы ниже объясняют эти концепции более подробно.

XPC Services

XPC — это технология межпроцессного взаимодействия macOS, которая дополняет тестовую среду приложения, обеспечивая разделение привилегий. Разделение привилегий , в свою очередь, представляет собой стратегию разработки, в которой вы разделяете приложение на части в соответствии с доступом к системным ресурсам, который необходим каждой части. Компоненты, которые вы создаете, называются XPC services .

Вы создаете службу XPC как отдельную цель в своем проекте Xcode. Как правило, каждая служба получает свою собственную песочницу — в частности, она получает свой собственный контейнер и свой собственный набор полномочий. Фактически, если вы распространяете свое приложение в Mac App Store, службы XPC должны быть изолированы.Для приложений, распространяемых где-то еще, например, использующих Developer ID, использование служб XPC в песочнице не является обязательным, но настоятельно рекомендуется.

Примечание. В редких случаях ваше приложение может иметь небольшую функциональность, которую нельзя изолировать. Вместо того, чтобы полностью отказываться от песочницы приложения, вы можете передать неподходящий код службе XPC, которая не изолирована. Легче защитить меньший фрагмент кода, чем более крупный, и, таким образом, большая часть вашего приложения пользуется преимуществами App Sandbox.

Кроме того, служба XPC, которую вы включаете в свое приложение, доступна только вашему приложению. Эти преимущества делают XPC лучшей технологией для реализации разделения привилегий в приложении macOS.

Напротив, дочерний процесс, созданный с помощью функции posix_spawn , путем вызова fork и exec (не рекомендуется) или с помощью класса NSTask просто наследует песочницу процесса, который его создал. Вы не можете настроить права дочернего процесса.По этим причинам дочерние процессы не обеспечивают эффективного разделения привилегий.

Чтобы использовать XPC с песочницей приложения:

• Предоставьте минимальные привилегии каждой службе XPC в соответствии с ее потребностями.

• Обеспечьте безопасность передачи данных между основным приложением и каждой службой XPC.

• Правильно структурируйте пакет приложения.

Жизненный цикл службы XPC и ее интеграция с Grand Central Dispatch (GCD) полностью управляются системой.Чтобы получить эту поддержку, вам нужно только правильно структурировать пакет вашего приложения.

Дополнительные сведения о XPC см. В разделе «Создание служб XPC» в Руководстве по программированию демонов и служб .

Запуск помощников с помощью Launch Services

Изолированному приложению разрешено запускать помощника с помощью Launch Services, если выполнено хотя бы одно из этих условий:

• И приложение, и помощник проходят оценку Gatekeeper. По умолчанию это означает, что оба подписаны в Mac App Store или с идентификатором разработчика.

  Примечание: Это не , а не включает в себя вашу разработку («Разработчик Mac») или распространение («Приложение разработчика Mac стороннего производителя»), подписывающее идентификационные данные.

• Приложение установлено в / Applications , а пакет приложений и все содержимое принадлежат пользователю root.

• Помощник был (вручную) запущен пользователем хотя бы один раз.

Если ни одно из этих условий не было выполнено, вы увидите следующие ошибки:

• «Запрет запуска процесса 19920» / Applications / Main.app / Contents / Resources / Helper.app ‘, потому что вердикт оценки безопасности был отклонен «.

  Это сообщение означает, что оценка Gatekeeper была отклонена. Вы можете подтвердить это с помощью инструмента spctl следующим образом:

  Имя разработчика

  $ spctl --assess -vvvv /Applications/Main.app/

  /Applications/Main.app/: отклонено

  origin12 Mac Developer

  $ spctl --assess -vvvv / Applications / Main.app / Contents / Resources / Helper.app /

  /Applications/Main.app/Contents/Resources/Helper.app/: отклонено

  origin = Имя разработчика

• «Приложение« Помощник »не может быть запущено, потому что оно повреждено».

  «Операция не может быть завершена. (Ошибка OSStatus -10827.)»

  Это типичная ошибка, если ни одно из вышеперечисленных условий не было выполнено.

Результаты одинаковы независимо от того, используете ли вы Launch Services напрямую (например, вызывая LSOpenCFURLRef ) или косвенно (вызывая метод launchApplicationAtURL: options: configuration: error: в NSWorkspace , например) .

Кроме того, в случае сбоя в OS X 10.7.5 и более ранних версиях вы также увидите ложное сообщение deny file-write-data /Applications/Main.app/Contents/Resources/Helper.app нарушение песочницы. Эта ошибка не влияет на работу и ее можно игнорировать.

Семафоры IPC и POSIX и общая память

Обычно изолированные приложения не могут использовать Mach IPC, семафоры POSIX и разделяемую память или сокеты домена UNIX (полезно). Однако, указав право, которое запрашивает членство в группе приложений, приложение может использовать эти технологии для связи с другими членами этой группы приложений.

Примечание. Семафоры System V не поддерживаются в изолированных приложениях.

Доменные сокеты UNIX просты; они работают так же, как и любой другой файл.

Любой семафор или порт Mach, к которому вы хотите получить доступ в изолированном приложении, должны быть названы в соответствии со специальным соглашением:

• Семафоры POSIX и имена разделяемой памяти должны начинаться с идентификатора группы приложений, за которым следует косая черта ( / ), за которым следует имя по вашему выбору.

• Имена портов Mach должны начинаться с идентификатора группы приложений, за которым следует точка (. ), за которой следует имя по вашему выбору.

Например, если имя вашей группы приложений - Z123456789.com.example.app-group , вы можете создать два семафора с именами Z123456789.myappgroup / rdyllwflg и Z123456789.myappgroup / bluwhtflg . Вы можете создать порт Mach с именем Z123456789.com.example.app-group.Port_of_Kobe .

Примечание: Максимальная длина имени семафора POSIX составляет всего 31 байт, поэтому, если вам нужно использовать семафоры POSIX, вы должны оставить имена групп приложений короткими .

Чтобы узнать больше о группах приложений, прочтите «Каталог контейнеров групп приложений», затем прочтите «Добавление приложения в группу приложений» в справочнике по ключу прав .

Терапия с песочными лотками

Терапия с песочными лотками - это форма экспрессивной терапии, которую иногда называют песочной терапией (хотя у песочной игры есть другой подход) или Мировой техникой. Его разработали Маргарет Ловенфельд, Дора Калфф, Геста Хардинг, Шарлотта Бюлер, Хедда Болгар, Лизолотт Фишер и Рут Бойер.

Этот вид терапии часто используется с детьми, но может применяться и к взрослым, и к подросткам.В то время как песочная терапия может применяться в парах и в группах, песочная терапия предназначена для отдельных лиц.

Терапия с песочными лотками позволяет человеку построить собственный микрокосм из миниатюрных игрушек и цветного песка. Созданная сцена действует как отражение собственной жизни человека и дает ему возможность разрешать конфликты, устранять препятствия и принимать себя.

Хотя и терапия песочными лотками, и терапия песочными играми включают использование песка в терапевтических целях в безопасной среде, подходы имеют тонкие, но существенные различия.Например, песочная терапия может включать в себя различные теоретические направления, тогда как песочная терапия основана на юнгианской психологии.

Терапия с песочными подносами подчеркивает, что человек, проходящий терапию, испытывает в данный момент, и терапевты активно участвуют в обеспечении текущего опыта осознания и роста. Поскольку пациенты, проходящие лечение, должны эмоционально открываться - делиться своими глубочайшими мыслями и чувствами по мере их возникновения - терапевтические отношения в терапии с песочницей должны быть сильными, чтобы лечение было эффективным.В отличие от этого терапевты, занимающиеся песочными играми, сосредотачиваются на бессознательном и стремятся предоставить людям, проходящим терапию, свободное, защищенное пространство и возможность невербального общения. Таким образом, терапевты с песочными играми никоим образом не интерпретируют, не вмешиваются и не направляют человека во время терапии, а анализ проводится после сеанса терапии.

Хотя вербализация является важным аспектом каждого сеанса песочницы, песочная терапия может быть более эффективной для детей или для людей, которые не могут выразить себя вербально из-за перенесенной травмы.

Гуманистический подход - распространенная стратегия, применяемая в терапии песочными лотками. Клиницисты, использующие эту технику, полагаются исключительно на клиента в поиске решений своих проблем, используя песок как инструмент для исцеления. Посредством творческого самовыражения человек, проходящий терапию, может проявлять в песке то, что он иначе не смог бы озвучить или адресовать в традиционной терапии. Терапевт обращается с человеком как с целым и исцеленным, зная, что процесс терапии песочными лотками позволяет человеку найти ответы, которые уже находятся внутри него.

Методы песочной терапии

Одной из наиболее распространенных техник, используемых в песочной терапии, является Мировая Техника. Этот невербальный подход предполагает использование миниатюр. Людей, проходящих терапию, побуждают использовать миниатюрные игрушки, фигурки и предметы на песке по своему усмотрению, в то время как терапевт наблюдает, а затем анализирует взаимодействие человека.

Человек, проходящий терапию, может добавлять воду в песок и помещать миниатюры в песочницу в любом порядке. При создании песочного поддона они руководствуются своим воображением и подсознанием.Результат - микрокосм их внутреннего мира. Мир внутри песочного лотка выражен через символизм и метафору и может даже не иметь непосредственного смысла для человека, создавшего его. Но с помощью терапевта человек, проходящий терапию, даже ребенок, может начать осознавать связь между творением на песке и своим собственным внутренним миром.

Многие дети не могут выразить словами эмоциональные состояния, особенно перед лицом травмы, пренебрежения или жестокого обращения.Невербальный характер песочной терапии и привычная среда - песок - могут помочь детям обрести чувство комфорта и безопасности. С небольшими инструкциями терапевта ребенок может свободно играть и развивать свое собственное выражение ситуаций. Часто дети испытывают чувство самостоятельной игры и начинают делать предположения и изменять поведение без подсказок терапевта. Этот метод терапии может служить для детей ценным и мощным средством выхода и невероятно проницательным методом получения доступа к травматическим переживаниям.

Песочная терапия также очень полезна при лечении детей, подвергшихся сексуальному насилию. Эти дети часто хранят молчание, опасаясь причинения вреда или даже смерти. Когда они приходят на терапию, им часто угрожают и они находятся в очень тревожном состоянии. Расслабленная и интерактивная обстановка песочной терапии обеспечивает им исходную арену безопасности, которая может им понадобиться для перехода к исцелению.

Терапия с песочной ложкой для взрослых

Хотя терапия с песочницей может показаться детской игрой, это в высшей степени терапевтическая и многомерная форма терапии, которая также может обеспечить эмоциональное высвобождение и реализацию для взрослых в терапии.Взрослые, которые были травмированы и демонстрируют ограниченную реакцию на другие формы терапии, могут хорошо реагировать на терапию с песочницей. Окружающая среда представляет собой атмосферу, свободную от угроз, и терапевт работает с пациентом в процессе терапии, чтобы изменить положение миниатюрных объектов как репрезентаций истинных людей и событий.

Терапия с песочными лотками для взрослых может помочь, начав способствовать изменениям на фиктивном уровне, и человек может обрести смелость и способность признать, что такие же изменения могут быть внесены в их собственную жизнь.Хотя процесс песочной игры включает в себя создание серии лотков и может длиться месяцами или годами, некоторые изменения могут произойти всего за один сеанс песочного лотка.

Тренинг по терапии с использованием песочных лотков

Терапевты с песочными лотками, также называемые фасилитаторами или свидетелями, действуют как гиды для клиента или «строители» во время экспериментов с песочными лотками. Свидетеля учат, как помочь строителю полностью погрузиться в мир, который они создают на песке. Строитель всегда остается в центре внимания процесса, а свидетель должен ободрять, поддерживать и направлять строителя, когда они изображают элементы своего внутреннего мира на песке.Через обучение свидетель может узнать, как интегрировать в терапию дополнительные выразительные стратегии, такие как музыка, рассказы, йога и медитация.

Специалисты в области психического здоровья не нуждаются в какой-либо специальной сертификации, чтобы проводить терапию с песочницей, если они имеют лицензию терапевта. Международная ассоциация песочной терапии в настоящее время предоставляет терапевтам сертификаты. Терапевты, получившие этот сертификат, затем называются международно сертифицированными песчаными терапевтами (ICST).На сегодняшний день, однако, практикующим песочницам не требуется никакого признанного в стране обучения или сертификации.

Прежде чем человек сможет претендовать на звание терапевта с песочными играми, он должен получить сертификат Международного общества песочной терапии (ISST). Специалист в области психического здоровья может на законных основаниях рекламироваться как специалист по песочным играм после прохождения 120 часов обучения.

Ограничения терапии песочными лотками

Терапия с песочными лотками, как и другие терапевтические методы, может иметь ограничения.В некоторых сообществах или культурах этот метод может рассматриваться как трудоемкий, сбивающий с толку, разочаровывающий, навязчивый или слишком зависящий от клинического опыта терапевта. Взрослые могут сопротивляться этому визуально выразительному подходу, потому что считают, что им не хватает творческих способностей или достаточных художественных навыков для того, чтобы лечение было эффективным.

Кроме того, интерпретация изображений песка остается обсуждаемой темой в сообществе психиатров. Иногда интерпретация символов, фигур или целых сцен терапевтом и / или терапевтом может быть расплывчатой ​​или двусмысленной, причем такие интерпретации иногда способствуют игнорированию альтернативных объяснений.Хотя использование песочной терапии основано на теоретической поддержке и значительных клинических данных, было проведено относительно мало исследований, чтобы обеспечить конкретную научную валидацию этого подхода.

Британский педиатр Маргарет Лоуэнфельд считается первым человеком, который применил песочницу в качестве терапевтического метода. После развития интереса к психодинамической психологии в 1921 году Ловенфельд начал заниматься детской психотерапией в 1928 году.

Ловенфельд утверждала, что ее идея использования песочных лотков в терапии была вдохновлена ​​книгой «Напольные игры», написанной в 1911 году Гербертом Уэллсом. В книге Уэллс описывает различные веселые игры, в которые он и его сыновья играли на полу, и поощряет игру как средство личного развития как для детей, так и для родителей.

После основания Института детской психологии в Лондоне в начале 1930-х годов Ловенфельд ввел в детскую игровую комнату два цинковых подноса; первый был наполовину заполнен песком, второй содержал воду и различные предметы, используемые для формования или формования песка.В непосредственной близости от подносов хранилась «чудо-шкатулка», наполненная маленькими игрушками, бумагой, кусочками металла и прочими красочными безделушками. Ловенфельд сообщил, что со временем дети, проходящие лечение, начали называть чудо-ящик «миром» и вскоре они создали трехмерные сцены, комбинируя элементы из ящика с песком в лотке. Она считала, что этот подход, который она назвала «Мировой техникой», может служить средством общения между создателем сцены и наблюдателем, давая возможность наблюдателю заглянуть во внутренний мир строителя.

После того, как Дора Калфф познакомилась с мировой техникой на международной конференции в 1956 году, она приехала в Лондон, чтобы учиться у Ловенфельда. Калфф в конечном итоге объединил технику мира Лоуэнфельда с восточной философией, системной моделью Неймана и теорией индивидуации Карла Юнга. С разрешения Ловенфельда Калфф назвал свой подход песочной игрой и обучил многих практикующих по всему миру новой технике.

Если вы или ваш ребенок боретесь с эмоциональными последствиями травмы, жестокого обращения или пренебрежения и ищете выход для исцеления, терапия с песочницей может оказаться полезной.Найдите терапевта, который может помочь сегодня.

Эта страница содержит как минимум одну партнерскую ссылку для программы Amazon Services LLC Associates, что означает, что GoodTherapy.org получает финансовую компенсацию, если вы совершаете покупку, используя ссылку Amazon.

Артикул:

1. Каннингем, Л. (нет данных). Введение в песочную терапию. Тренировки Sandplay по всему миру. Получено с https://www.sandplaytrainingworldwide.com/weekend-sandplay-trainings
.
2. Дейл, М.А., и Лиддон, У. Дж. (2000). Sandplay: конструктивистская стратегия оценки и изменений. Журнал конструктивистской психологии, 13 (2), 135-154. DOI: 10.1080 / 107205300265928
3. ДеДоменико, Г.С. (нет данных). Что такое песочная терапия? Получено с https://www.playbuildgrow.com/more-information/detailed-description-sandtray-therapy
.
4. Часто задаваемые вопросы. (нет данных). Международная ассоциация песочной терапии. Получено с https://sandtraytherapy.org/faq
.
5. Фридман, Х.С. и Митчелл Р. Р. (1994). Песчаная игра: прошлое, настоящее и будущее . Нью-Йорк, Нью-Йорк: Рутледж.
6. Линцмайер, К. Д., & Халпенни, Э. А. (2013, 1 февраля). «Было весело»: оценка картинок из песочницы, инновационный визуально выразительный метод исследования опыта детей с природой. Международный журнал качественных методов, 12 (1), 310-337. DOI: 10.1177 / 1609406200115
7. Санганджанаванич, В. Ф. и Магнусон, С. (23 декабря 2011 г.).Использование подносов с песком и миниатюрных фигурок для облегчения принятия решений о карьере. The Career Development Quarterly, 59 (3), 264-273. DOI: 10.1002 / j.2161-0045.2011.tb00068.x
8. Мировая техника. (нет данных). Доктор Маргарет Лоуэнфельд Траст. Получено с http://lowenfeld.org/the-world-technique
.

Общие методы

Введение

Хотя сам по себе относится к довольно специфическому подразделу вредоносных программ, программа-вымогатель - это термин, который может относиться к огромному количеству вредоносных программное обеспечение.От простых вирусов с минимальным уклонением от защиты или без него до продвинутых угрозы с тяжелыми трюками антианализа и песочницы, мир программы-вымогатели столь же разнообразны, как и приносят прибыль киберпреступникам.

К счастью, в поведении всех семейства программ-вымогателей, которые помогают нам обнаруживать и классифицировать эти образцы. Эта мини-серия сообщений в блоге будет посвящена описанию того, как поведенческий анализ может быть мощным инструментом для обнаружения и защиты от эти угрозы и предоставим обзор того, как это работает на практике, используя наша песочница Triage.В части 1 мы кратко рассмотрим некоторые общие методы. которые не относятся к какой-либо конкретной семье, с более техническими описания некоторых, особенно интересных варианты.

Записки о выкупе

Практически все программы-вымогатели создают читаемые файлы в заметных местах, которые служат для информирования владельца системы о том, что они заражены, и инструктируют им о том, как заплатить требование выкупа. Таким образом, эти файлы часто могут содержать легко узнаваемая информация, которая может помочь идентифицировать детали заражение, такое как семейство и версия, а также полезная информация для дальнейшего расследование, такое как адреса для платежей в биткойнах и контактная информация.

В качестве метода защиты живой системы этот подход явно ограничивает значение, так как обычно примечания о выкупе будут созданы только после шифрования процесс. Однако в качестве метода обнаружения программ-вымогателей в среде песочницы это имеет реальную ценность.

Записки о выкупе не предназначены для сокрытия - они часто следуют за очень отчетливыми соглашения об именах и множественные копии создаются по всей файловой системе. Ниже перечислены некоторые примеры путей к файлам.

Большинство семейств программ-вымогателей имеют особый способ сбросить эти записки о выкупе и использовать очень четкие формулировки в файлах (часто даже включая фамилию), что делает их очень полезным методом для категоризации и идентификации образцы.

Записка с требованием выкупа Cerber упала в каждую папку, где были зашифрованы файлы

Используя изображение выше в качестве примера, заметка не только чрезвычайно узнаваемый, но он также включает персонализированные ссылки, созданные для каждого инфекция, которую жертвы должны будут посетить, чтобы заплатить выкуп.В остальных случаях он часто включает адрес биткойн-кошелька, который будет использоваться для оплаты, или электронную почту адреса для прямой связи с операторами. Это вся полезная информация для собираются при расследовании кампаний вымогателей, а часто бывает только доступны во время динамического анализа образца.

В изолированной среде у нас есть четкая видимость созданных файлов и модифицированный по образцу. Проверяя содержимое этих файлов, особенно начальные байты, которые, как в приведенном выше примере, часто включают идентифицирующие или уникальная информация - мы можем определить, какие из них являются записками с требованием выкупа и дампом их для дальнейшего анализа.

После того, как соответствующие файлы были найдены, остается лишь разобрать содержимое для извлечения любой доступной полезной информации.

Полный отчет доступен на https://tria.ge/reports/1

Предотвращение восстановления системы

Удаление теневых копий

Теневые копии - это функция резервного копирования, впервые представленная в Windows Server 2003. Первоначально они функционировали, отслеживая изменения файловой системы с течением времени, что позволяло восстановление файлов при каждой модификации, в отличие от решений SCM, таких как git.Термин теперь расширен и включает несколько режимов для создания этих теней. копий, включая возможность создавать полные «снимки» файловой системы на конкретный момент времени. Эти «резервные копии» создаются с использованием техник предназначен для минимизации времени и дискового пространства, потребляемого процессом - дифференциальный метод особенно может обеспечить функциональность резервного копирования с большим меньшие требования к хранилищу, чем традиционная копия всего диска.

Теневые копии по умолчанию создаются, когда Windows создает восстановление системы. точка - процесс, который происходит во многих системах как повседневная задача.

Какой бы режим создания ни использовался, теневые копии теперь занимают центральное место во встроенном Инструменты резервного копирования и восстановления Windows, что делает их очевидной целью для программ-вымогателей. чтобы пострадавшим было труднее вылечиться от инфекции, не заплатив выкуп.

На практике это обычно достигается с помощью одной из двух (или обеих) Windows. команды - vssadmin или wmic .

• vssadmin удалить тени / все / тихо
• wmic shadowcopy удалить / nointeractive

Их легко обнаружить во время динамического анализа, так как они оба создают новые процессы, а не внутренние команды.WannaCry - отличный пример этой функции, поскольку она включает оба метода.

Полный отчет доступен по адресу https://tria.ge/reports/1

Отключить режим восстановления

Режим восстановления Windows позволяет пользователям получить доступ к безопасной загрузке и большей части встроенные функции восстановления системы, включая восстановление установки Windows с устройства восстановления. Многие семейства программ-вымогателей отключают этот режим, чтобы восстановление сложнее. Поскольку режим восстановления доступен при загрузке системы, это отключено редактированием параметров конфигурации загрузки с помощью bcdedit полезность.

bcdedit / set {default} recoveryenabled no

Эту функцию обычно можно увидеть во многих семьях, таких как Phobos, WannaCry, и Cerber, хотя это не так часто, как удаление теневой копии.

Удалить резервные копии

В дополнение к уже обсужденному подходу к теневому копированию, Windows включает поддержка полных резервных копий диска, которые делают копию всего состояния файловой системы. Как упоминалось ранее, они намного больше и требуют больших ресурсов для создавать и хранить, поэтому они менее распространены в качестве автоматического процесса на большинстве системы.Однако они - еще одна очевидная цель для любого, кто пытается препятствуют восстановлению системы.

Доступ к этим резервным копиям осуществляется через инструменты резервного копирования Windows - через командная строка; это означает утилиту wbadmin .

wbadmin удалить каталог - тихий

Эта функция присутствует в большинстве основных семейств вредоносных программ, как если бы они использовались Windows Резервное копирование - это чрезвычайно простой способ обойти выкуп.

Очистить журналы

Несмотря на ограниченную ценность в процессе восстановления, некоторые формы программ-вымогателей также выберите уничтожение некоторых журналов системных событий в процессе заражения.Этот операция менее распространена, чем те, которые уже обсуждались, и менее специфична для программы-вымогатели, но для полноты картины на них стоит кратко остановиться.

Команда wevtutil предоставляется в Windows для взаимодействия с журналами событий. через интерфейс командной строки, и вредоносные программы могут использовать это для очистки журналов. Например, Зенис вымогатель обнаружено в 2018 году командой MalwareHunterTeam использует это для очистки всех основных журналов событий Windows -

• cmd.exe / C wevtutil.exe cl Приложение
• cmd.exe / C wevtutil.exe cl Безопасность
• cmd.exe / C wevtutil.exe cl Система

Предположительно, это сделано для того, чтобы усложнить анализ происхождения заражения, но также действует как явно злонамеренная попытка скрыть действия, что очень заметно во время динамического анализа.

Полный отчет для этого образца Zenis доступен по адресу https://tria.ge/reports/1-4jjvvmbgys

Изменение обоев рабочего стола

Многие разновидности программ-вымогателей тем или иным образом изменяют обои рабочего стола - как правило, либо путем динамической генерации растрового изображения с помощью такой функции, как DrawText или установив его на изображение, включенное в полезную нагрузку.

Полезность этого действия ограничена, так как текстовое содержимое обоев обычно основано на выпадающих примечаниях с требованием выкупа. Однако это необычное действие для программ-вымогателей, поэтому оно может быть полезно при автоматической классификации выборки.

Полный отчет доступен по адресу https://tria.ge/reports/1

Если бы обои представляли особый интерес, можно было бы также подключить соответствующие API-интерфейсы (например, DrawText) для перехвата содержимого, записываемого в изображение, или использовать такую ​​технику, как OCR, для анализа ранее существовавшего изображения.Однако, как уже упоминалось, обычно легче получить эту информацию из записок о выкупе.

Операции с файлами

Все описанные до сих пор техники были чрезвычайно специфичными - индивидуальными. взаимодействия, которые можно обнаружить во время динамического анализа. Этот раздел немного менее определен, но пытается идентифицировать заражение вымогателем, глядя в шаблонах файловых операций, выполняемых в системе.

Этот подход специально нацелен на алгоритм шифрования программы-вымогателя, который обычно следует четкому процессу:

1. Перечислить файлы в папке
2. Чтение и шифрование содержимого каждого файла
3. Записать зашифрованное содержимое обратно в файл, либо перезаписав оригинал, либо создав новый файл
4. Очистите, удалив исходный файл, если он не перезаписан, или переименовав зашифрованный файл в соответствии с соглашением об именах программ-вымогателей.

Когда программа-вымогатель переименовывает файл, чтобы включить его конкретное расширение и т. Д., Оно фактически выполняет операцию перемещения файла. Если это будет выполняться для каждого файла в нормальной системе это будет включать большое количество почти идентичных операций - потенциально тысячи из них - что делает его чрезвычайно шумным процесс.

Перемещение файлов может выполняться через несколько различных API. Самое простое использование функции MoveFile, передавая исходный и целевой путь. Другой реализации могут немного абстрагироваться от этого процесса, копируя содержимое файл с помощью ReadFile, а затем создать новый с измененным именем файла, используя CreateFile, в который записывается уже зашифрованное содержимое файла.

В качестве примера последнего процесса рассмотрим образец WannaCry в Procmon. показывает такие шаблоны, как следующий -

Полный отчет доступен по адресу: https://tria.ge/reports/1

Мониторинг-анализ большого количества файлов, записанных таким образом, может быть хорошим способом обнаружения всех видов программ-вымогателей. Если эти API-интерфейсы могут быть подключены в процессе анализа, можно также проверить буферы, чтобы подтвердить, что выполняется шифрование, и исключить возможность того, что это неопасные файловые операции.

Другой способ проверить, что это вероятные операции, выполняемые программой-вымогателем, - изучить типы файлов, записанные образцом. Если исходные файлы будут иметь различимые заголовки, которые программы, такие как файл , могут прочитать для определения типа файла, версия после шифрования больше не будет иметь этих отличительных признаков, что означает, что они будут обнаруживаться как данные , или аналогичные, общий тип. Образец, который сбрасывает большое количество файлов с нераспознаваемыми типами MIME, вероятно, является хорошим индикатором присутствия шифровальщика-вымогателя.

Заключение

Мы надеемся, что это сообщение в блоге дало базовое введение в обнаружение программ-вымогателей в динамической среде. Однако общее поведение - это только часть картины, и отдельные семейства обычно содержат гораздо больше функций, чем описано выше.

Этот блог - начало нашей мини-серии о программах-вымогателях, и в ближайшие недели будет выпущено больше блогов. Просмотрите это пространство для будущих сообщений в блоге, в которых мы рассмотрим некоторые основные семейства программ-вымогателей и рассмотрим способы их обнаружения и классификации.Мы также более подробно рассмотрим встроенные в Triage средства извлечения информации о выкупе и конфигурации, а также то, как они могут автоматизировать сбор полезной информации из кампаний вредоносных программ.

Определение, типы, методы и эффективность

Что такое песочная терапия?

Терапия песочными подносами или песочная терапия - это терапевтический подход, используемый для людей, которые пережили травмирующее событие, такое как жестокое обращение или катастрофический инцидент. Хотя этот вид терапии чаще всего используется с детьми, песочная терапия также может быть полезна для подростков и взрослых.

При использовании этой терапии психотерапевты используют песочные лотки для оценки, диагностики или лечения различных психических заболеваний. Исследования показывают, что песочная терапия может помочь улучшить эмоциональное выражение, уменьшив психологический стресс, который может возникнуть в результате обсуждения травмирующих событий или переживаний.

Терапия с песочными лотками была разработана Дорой Калфф, вдохновленной работой с Маргарет Ловенфельд, британским детским психиатром и разработчиком World Technique.На юнгианскую теорию Кальфа также повлияли буддийские созерцательные практики.

Терапия с песочными лотками основана на представлении о том, что если терапевт предоставляет клиенту безопасное пространство, клиент будет использовать песочные лотки для самостоятельного решения своих проблем.

Типы игровой терапии

Терапия с песочницей - это разновидность игровой терапии. К другим распространенным типам игровой терапии относятся:

• Библиотерапия , которая использует литературу для изучения конкретных концепций или навыков
• Когнитивно-поведенческая игровая терапия , которая использует игру, чтобы помочь ребенку научиться думать и вести себя по-другому (например, просить ребенка дать своей кукле или мягкому игрушечному животному совет о том, как справиться со стрессовой ситуацией)
• Сыновняя терапия , цель которой - научить родителей взаимодействовать с ребенком через игру
• Воображаемая игра , в которой используются игрушки, такие как наряженная одежда, куклы или фигурки, чтобы пробудить детское воображение

Методы

Терапия песочными лотками - это комбинация игровой терапии и арт-терапии.Терапевт предоставляет клиенту поднос или коробку с песком, а также различные миниатюрные игрушки для создания игрового мира. Игрушки могут включать в себя что угодно, от сельскохозяйственных животных и динозавров до людей и автомобилей. Также распространены деревья, заборы, ворота, двери и постройки.

Клиенты выбирают, какие игрушки положить в лоток, и расставляют их так, как они хотят. Между тем терапевт в основном выполняет роль наблюдателя и редко прерывает клиента.

Те, кто предлагает этот тип терапии, верят, что клиенты создадут мир, отражающий их внутренние проблемы или конфликты.После завершения игры с песком терапевт и клиент обычно обсуждают то, что наблюдалось - игрушки, которые были выбраны, как они были расположены, а также любые символические или метафорические значения.

Затем клиент может переставить игрушки на основе обсуждения. Терапия с песочницей может также включать терапию разговорами, другие виды игры или арт-терапии или другие виды лечения.

С чем может помочь терапия с использованием песочных лотков?

Было показано, что песочная терапия помогает при следующих проблемах:

• Синдром дефицита внимания с гиперактивностью (СДВГ)
• Нападение
• Управление гневом
• Тревожные расстройства
• Расстройство аутистического спектра
• Депрессия
• Развод
• Горе и утрата
• Низкая самооценка
• Физические нарушения и нарушения обучаемости
• Проблемы, связанные со школой
• Социальные проблемы
• Травма и кризис

Преимущества песочной терапии

Исследования показывают, что песочная терапия уменьшает симптомы многих проблем с психическим здоровьем и повышает сопротивляемость.Поскольку песочная терапия не структурирована, она позволяет клиентам испытать исцеление в процессе лечения.

Клиенты освобождают себя от глубоко укоренившихся негативных эмоций во время песочной терапии, потому что они могут выражать свои внутренние мысли, чувствуя, что терапевт их принимает.

Sandplay также может помочь терапевтам вникнуть в смысл, который клиенты развивают и приписывают своему опыту, отслеживая их взаимодействие с игрушками или символами, с которыми они хотят играть.

Кроме того, песочная терапия часто доставляет удовольствие, способствуя естественному выражению эмоций. Его можно использовать как часть индивидуальной, групповой или семейной терапии.

Эффективность

Исследования показывают, что песочные поддоны являются эффективным способом решения множества проблем и могут использоваться в самых разных группах населения.

• Исследование, проведенное в Корее, показало, что песочная терапия в рамках школьного консультирования привела к повышению самооценки и значительным изменениям эмоциональных проблем у учеников четвертого и пятого классов.
• Исследование, проведенное на 4–5-летних детях с проблемами экстернализирующего поведения, показало, что эти дети проявляли менее агрессивное поведение после 30 минут групповой игры в песочнице. Они проходили терапию дважды в неделю по 16 сеансов.
• Другое небольшое исследование, проведенное в Корее, включало троих детей, ставших свидетелями домашнего насилия. Было обнаружено, что поддерживающая музыка и образы в сочетании с песочной терапией улучшили эмоциональную и поведенческую адаптивность после шести индивидуальных занятий.
• Между тем, другое исследование оценивало игру женщин-мигрантов в Корее с песочницей. Исследователи обнаружили, что групповая песочная терапия способствует позитивному самовыражению и снижает негативное самовыражение.
• В Китае проводится исследование с участием мальчиков с синдромом Аспергера, диагноз, который DSM-5 поставил с тех пор, и сегодня считается расстройством аутистического спектра (РАС) первого уровня, сочетает песочную терапию с другими формами лечения. Он пришел к выводу, что песочная терапия помогла мальчикам развить психологическое благополучие и навыки межличностного общения.
• Исследователи предполагают, что песочная терапия может помочь уязвимым, довербальным детям с травмами, что делает ее хорошей стратегией для тех, кто слишком молод, чтобы говорить о своем травматическом опыте. Исследование, подтверждающее эту теорию, было проведено на 3-летней сироте с вирусом иммунодефицита человека (ВИЧ). Исследователи обнаружили, что песочная терапия оказывала ребенку эмоциональную поддержку.

На что обратить внимание

Некоторые люди считают терапию песочными лотками запутанной и трудоемкой или слишком зависимой от клинической экспертизы терапевта, отмечая, что интерпретация изображений песка может быть расплывчатой ​​или двусмысленной.Кроме того, взрослые, которым не хватает творческих способностей, могут сопротивляться этой форме терапии.

Нередко возникает вопрос, как использование миниатюрных игрушек в песке помогает решить любые проблемы. Но песочная терапия может дать терапевтам возможность заглянуть внутрь того, что может беспокоить их клиентов. Это особенно полезно для людей, которым трудно говорить о факторах стресса.

Когда песочная терапия используется как часть плана лечения, терапевт может предоставить поднос с песком, а затем искать общие темы, которые указывают на неуверенность или агрессивное поведение, а также на стойкость и позитивное эмоциональное выражение.

Если вас беспокоит эффективность лечения, поделитесь своими опасениями с терапевтом. Вместе вы можете составить план лечения, соответствующий вашим потребностям.

С чего начать

Если вы думаете, что вам или вашему близкому может помочь терапия с песочницей, начните с разговора со своим врачом. Ваш врач может направить вас к местному терапевту.

• Найдите сертифицированного специалиста . В то время как любой психотерапевт может провести терапию с песочницей, некоторые терапевты имеют специальную сертификацию в области песочной терапии.Sandplay Therapists of America предлагает справочник сертифицированных терапевтов с песочными играми.
• Позвоните в свою медицинскую страховку . Поинтересуйтесь, покрывается ли ваша медицинская страховка терапией с использованием песочных лотков и, если нет, принимает ли терапевт оплату по скользящей шкале.
• Знайте, чего ожидать . Сеансы в песочнице могут длиться от 30 до 60 минут и планироваться еженедельно или раз в две недели. По прибытии на сеанс терапевт приветствует вас и дает вам пустой лоток для песка и миниатюры, чтобы вы могли приступить к работе.Терапевт может попросить сфотографировать ваши песочные поддоны, чтобы можно было со временем проанализировать изменения в создаваемых вами сценах.
• Будьте готовы ответить на вопросы . В конце каждого сеанса терапевт может уделить время разговору о вашей песочнице. Например, они могут обсудить, что это может означать, если одомашненные животные в вашем лотке с песком находятся в клетке, в то время как более опасные животные могут свободно бродить. Вместе вы можете найти какой-то смысл в песочнице. Также возможно, что вообще будет мало обсуждений.Вместо этого терапевт может просто предоставить вам безопасное место для работы.

Вредоносное ПО в образах

Злоумышленники часто хотят получить интересующую информацию из целевых компьютерных сред. Для достижения этой цели они обычно решают установить какое-то программное обеспечение, которое будет постоянно предоставлять эту информацию. На протяжении всей истории наиболее распространенным способом сделать это было установить исполняемый файл и запустить его. Со временем защитные системы улучшились и стали более успешными в обнаружении таких исполняемых имплантатов.В этой игре в кошки-мышки обе стороны пытаются улучшить свои инструменты, и по мере совершенствования защитных инструментов злоумышленники пытаются найти новые способы контрабанды вредоносного ПО в систему. Есть несколько популярных способов сделать это, например, встраивание вредоносного кода в различные форматы документов или выполнение вредоносного кода в памяти без сохранения чего-либо на диске. Со временем решения по обеспечению безопасности все больше осознают такие угрозы.

ReversingLabs постоянно совершенствует свои возможности по обнаружению вредоносных программ.Один из наиболее новых методов, которые привлекли наше внимание, - это сокрытие вредоносных программ внутри графических форматов, таких как PNG, BMP, GIF или JPEG. Недавно мы расширили поддержку нашей платформы для распаковки этих форматов изображений и перечислили некоторые из этих улучшений в одном из наших предыдущих сообщений в блоге.

В этом блоге мы продемонстрируем, как эти новые усовершенствования могут быть использованы для обнаружения новых вредоносных программ, и продемонстрируем несколько примеров изображений со скрытым исполняемым содержимым PHP. Большинство из них пытаются получить дополнительные ресурсы с удаленного сервера и используют различные виды обфускации, чтобы скрыть свои злонамеренные намерения.В качестве примера поиска угроз с помощью этой новой функции также будет показана скрытая веб-оболочка, которая привела к обнаружению уязвимого веб-сайта.

Вредоносное ПО, скрывающееся в образах

Форматы изображений представляют интерес для авторов вредоносных программ, поскольку они обычно считаются гораздо менее опасными, чем исполняемые файлы. Образы могут использоваться для развертывания вредоносных программ в сочетании с дроппером, где дроппер действует как безопасный исполняемый файл, который анализирует вредоносный контент, скрытый внутри изображения.

Одной из областей, где можно использовать этот метод, является веб-загрузка.Многие веб-сайты позволяют загружать изображения, но неправильно отфильтровывают исполняемые файлы и скрипты. В таких случаях вредоносный код может быть упакован в изображение и загружен на веб-сервер, содержащий потенциальную уязвимость, которая позволяет выполнить его содержимое. Вероятно, наиболее знакомый тип такой полезной нагрузки - это веб-оболочки PHP.

Злоумышленники обнаруживают и используют уязвимости в приложениях, используемых для анализа форматов изображений. Чтобы оставаться незамеченными и не привлекать внимание средств безопасности, они обычно стараются создавать файлы, которые соответствуют спецификации формата изображения, когда это возможно.

Самый простой способ встроить вредоносный контент в изображение - добавить его в конец изображения или, как его обычно называют, наложение. Злоумышленники обычно просто берут неопасный файл изображения и добавляют некоторое содержание. Это делает его хорошо известным методом, который довольно легко обнаружить.

Например, в случае файла GIF все байты после байта конца (0x3B) GIF могут считаться наложенными. В случае файла PNG все, что находится после конца фрагмента IEND , может считаться наложением.Это концептуально то же самое, что и добавление контента к любому другому обычному формату файла, поэтому мы не будем вдаваться в подробности о наложениях в этом сообщении блога.

Еще одним интересным местом для поиска вредоносных программ при анализе образцов изображений являются теги EXIF. Эти теги представляют собой поля метаданных, используемые для хранения дополнительных описательных данных об изображении, таких как модель камеры, используемой для съемки, дата и время, когда был сделан снимок, или даже геолокация места, где было снято изображение.Эти данные являются частью формата изображения, но они не требуются для визуальной интерпретации изображения, и некоторые инструменты, используемые для просмотра изображений, не предоставляют пользователям все эти теги, что делает их отличным укрытием.

Вредоносное ПО в тегах PHP EXIF ​​

Titanium Platform использует собственный синтаксический анализатор для извлечения этих полей метаданных и позволяет искать изображения на основе их содержимого метаданных EXIF. Поэтому интересной отправной точкой является поиск изображений, содержащих код PHP в своих тегах EXIF.Даже такой простой поисковый запрос дает несколько достойных результатов.

Использование расширенного поиска A1000 для поиска образца с кодом PHP в тегах exif

Первым в списке идет файл с хешем SHA1 b497e231d19934c5d96853985bdbc147589a9a77. Анализ его тегов Artist и ImageDescription EXIF ​​показывает, что код PHP получает контент с URL-адреса. Несмотря на то, что это не обязательно вредоносное поведение, поскольку оно может иметь некоторые законные применения, также вполне возможно, что такой код PHP может быть использован для получения вредоносного контента с сервера C2.

EXIF ​​данные из b497e231d19934c5d96853985bdbc147589a9a77 образца

Второй в списке - файл с хешем SHA1 518178bdd959ca17eca15777d38499bc9f3d95ad. Он имеет довольно большой фрагмент кода в теге Copyright . В начале фрагмента приведены некоторые манипуляции с комментариями PHP. Кажется, что код пытается скрыть тот факт, что это сценарий PHP, закомментировав открывающий тег PHP. Обычные парсеры PHP игнорируют комментарий, открывающийся перед тегом.Однако некоторые инструменты могут иметь другую реализацию алгоритма синтаксического анализа PHP.

EXIF ​​данные из 518178bdd959ca17eca15777d38499bc9f3d95ad образца

Детальный взгляд на код показывает, что он пытается открыть сокет для определенного IP-адреса и порта, а затем использует этот сокет для получения потока данных и его последующего выполнения с помощью функции eval (). Несмотря на то, что IP-адрес принадлежит к диапазону частных IP-адресов, трудно представить себе законную причину для встраивания такого кода в тег EXIF ​​изображения.Такой образец может быть использован злоумышленником для бокового перемещения в частной сети после того, как он получит начальную точку опоры.

Третий пример - это файл с хешем SHA1 1c308589a493469416df53acaa75a7fd4aed7e65. Единственные метаданные EXIF ​​- это тег Copyright . Очевидно, что это специально подобранная последовательность байтов. Небольшой поиск в Google дает быстрый ответ: этот PHP-код использовался в прошлом, чтобы проверить, уязвим ли сервер для атак включения файлов.В основном на сайтах, использующих системы управления контентом, такие как Joomla или WordPress .

EXIF ​​данные из 1c308589a493469416df53acaa75a7fd4aed7e65 образца

Хотя этот код PHP сам по себе обнаруживается большинством инструментов безопасности, его скрытие внутри изображения резко снижает скорость обнаружения. Понятно, почему уровень обнаружения был низким 10 лет назад, когда этот код был впервые обнаружен в дикой природе, но проблема в том, что уровень обнаружения этого типа контрабанды кода за последние годы существенно не улучшился.

Как упакованная веб-оболочка привела к уязвимому веб-сайту

Предыдущие образцы были найдены с помощью расширенной поисковой системы Titanium Platform, но еще один способ найти интересные файлы - использовать функцию ReversingLabs YARA Retrohunt.

rule image_eval_hunt
{
strings:
$ png = {89 50 4E 47}
$ jpeg = {FF D8 FF}
$ gif = "GIF"
$ eval = "eval ("
condition:
(($ png при 0) или ($ jpeg на 0) или ($ gif на 0)) и $ eval
}

Правило YARA для поиска образцов с помощью eval call

Предоставленное правило YARA пытается сопоставить образцы, начинающиеся с некоторых последовательностей магических байтов, характерных для форматов изображений, а также содержащие строку «eval (» внутри, что означает, что они потенциально имеют вызов функции eval где-то в содержимом изображения. чего не ожидается в мультимедийных файлах.TitaniumCloud YARA Retrohunt предоставляет довольно много образцов, и после анализа результатов появляются два интересных. Оба этих примера содержат код PHP в обычном сегменте изображения.

Первый - это файл с хешем SHA1 e3a64475e1272f34fe8a9043b486d60595460aa2.

ReversingLabs A1000 - Пример сводки

Из аннотации видно, что это изображение в формате JPEG. В сводке также показано, что Titanium Platform обнаружила и извлекла из нее дополнительный файл.Быстрый анализ извлеченных файлов показывает, что он распознается как текстовый / PHP-файл, и при использовании функции предварительного просмотра A1000 отображается его содержимое. Этот простой сценарий PHP сначала декодирует строку в кодировке base64, а затем вызывает функцию eval для декодированного содержимого.

Предварительный просмотр содержимого сегмента, извлеченного из образца изображения

Строка в кодировке base64 может быть декодирована с помощью удобного инструмента CyberChef. Эта операция приводит к более запутанному PHP-коду, который можно увидеть на следующем изображении.

Результат декодирования строки base64 первого уровня

Приведенный выше код выполняет самодеобфускацию и приводит к еще одному уровню запутанного кода. Этот метод обфускации включает в себя вставку символа «I» в случайных местах в некоторые строковые литералы и вставку последовательности символов «an», чтобы скрыть строку create_function .

Самый простой способ деобфускации такого PHP-кода - это скопировать / вставить его в песочницу PHP и заменить последнюю строку кода на echo в переменной $ H.Это распечатает деобфусцированный код.

Результат деобфускации кода второго уровня

Это последний слой. Он берет необработанные данные после HTTP-заголовков HTTP-запроса и пытается найти контент, ограниченный значениями, указанными в переменных $ kh и $ kf . Когда регулярное выражение соответствует, оно берет содержимое между разделителями, декодирует его через base64 и передает его в качестве аргумента функции x , которая выполняет простую расшифровку XOR.Результатом всех этих операций является сжатый поток, который распаковывается и затем выполняется функцией eval .

Помимо информации о функциональности кода, встроенного в изображение, Titanium Platform также предоставляет способ найти источник образца. Глядя на источники, из которых был получен этот образец, обнаруживается интересный URL.

ReversingLabs A1000 - Источник образца

Этот образец можно найти в открытом доступе на веб-сайте behinburg.com . По этому адресу находится веб-сайт иранского туристического агентства, выглядящего вполне законно. Путь URL содержит интересную структуру каталогов с «загрузками», которые имеют неограниченный доступ к контенту, загруженному пользователями. Веб-сайт также не пытается ограничить доступ неавторизованных пользователей к структуре каталогов. Содержимое каталога, в котором находилось это изображение, включало 35 других файлов, загруженных в период с 11 по 12 декабря 2020 года. Все они содержали какую-то веб-оболочку и, очевидно, использовались в попытке взломать этот сервер.

Справочник

Используя нашу телеметрию, мы не смогли определить, была ли попытка злоумышленника успешной. Однако в этом случае злоумышленнику не нужно было получать какие-либо дополнительные привилегии для получения конфиденциальных данных. В том же каталоге загрузки, помимо файлов, загруженных злоумышленником, можно было найти множество изображений, содержащих сканы паспортов. Это туристическое агентство позволяет своим пользователям подавать заявление на получение иранской визы с помощью своей веб-страницы. Чтобы подать заявку, пользователям необходимо загрузить скан паспорта через веб-форму.

Часть визовой анкеты

Загруженные изображения хранятся на сервере неопределенное время. Хранение незащищенных и незашифрованных файлов в общедоступном веб-каталоге - очень плохая практика безопасности. Пользователям рекомендуется рассмотреть другие варианты, прежде чем загружать отсканированные изображения своих личных документов на любую веб-страницу. Есть много подобных веб-сайтов, которые не следуют лучшим методам безопасности, когда дело доходит до обработки личной информации.

Когда маленький PHP-код приводит его большого друга

Последний пример, который мы рассмотрим, - это изображение в формате JPEG со встроенным PHP-скриптом в одном из его обычных сегментов. Это сохраняет его в соответствии со спецификацией формата JPEG. Titanium Platform может легко обнаруживать и извлекать такой встроенный вредоносный контент.

Образец сводки

Предварительный просмотр фрагмента извлеченного изображения показывает, что это еще один запутанный PHP-скрипт. На этот раз метод обфускации создает строку URL путем вызова функции chr для целочисленных значений, представляющих коды ASCII.Затем выходные символы объединяются, чтобы сформировать результирующий URL.

ReversingLabs A1000 - Предварительный просмотр содержимого сегмента

Комментарии PHP между присвоением переменной $ password и $ c кодируются в ISO 2022 Simplified Chinese , что дает нам представление о возможном происхождении этого вредоносного скрипта.

Весь PHP-код с деобфусцированными константами в комментариях можно увидеть на следующем изображении.

Содержание скрипта

Деобфусцированный URL «http: // i.niupic.com/images/2017/05/21/v1QR1M.gif » был доступен на момент написания. На нем размещен файл с хешем SHA1 370788d26150bba413082979e26da4cd6828a752.

Это сжатый поток Gzip, содержащий веб-оболочку PHP. Он имеет размер 145 КБ и содержит почти 3000 строк кода PHP, включая функции, которые включают повышение привилегий, работу с базой данных SQL, загрузку файлов, сканирование портов и некоторые другие.

Большинство строковых литералов в сообщениях, отображаемых веб-оболочкой, закодированы в уже упомянутом наборе символов китайского языка.

Поиск в Google сведений по конкретным строкам показывает, что некоторые китайские источники называют этот тип веб-оболочки PHP Малайзия бэкдором , с одним аналогичным образцом, найденным в этом репозитории github.

Заключение