A deteção falsa de antivírus causou danos à Carteira encriptada, como lidar com isso?
No ambiente da Internet atual, as ameaças de segurança estão sempre a surgir, e instalar software antivírus pode ajudar os utilizadores a aumentar a segurança do sistema. No entanto, o software antivírus só pode reduzir os riscos e não garante segurança absoluta. O combate é um processo dinâmico, e a instalação do software antivírus é apenas o primeiro passo para aumentar a segurança. Ao mesmo tempo, o software antivírus também pode apresentar falsos positivos, trazendo riscos adicionais.
Recentemente, alguns usuários relataram que, após usar software antivírus, algumas extensões de navegador (especialmente extensões de Carteira de encriptação) foram erroneamente identificadas como malware, resultando na isolação ou exclusão de arquivos JavaScript da extensão, danificando assim a carteira da extensão e tornando-a inutilizável.
Para os usuários de Web3, essa situação é especialmente grave, pois as extensões de Carteira de encriptação geralmente armazenam chaves privadas, e se não forem tratadas adequadamente, podem levar à perda de dados da Carteira, até mesmo à impossibilidade de recuperar ativos. Portanto, é crucial entender como recuperar corretamente os dados da extensão que foram isolados por engano.
Como lidar?
Se descobrir que o software antivírus gerou um falso positivo que levou a danos na extensão do navegador, recomenda-se seguir os seguintes passos para a recuperação:
1. Recuperar arquivos da zona isolada, não desinstalar a extensão
Se você descobrir que um determinado software ou extensão não está funcionando, verifique imediatamente a "Zona de Quarentena"(Quarantine) ou o "Histórico"(History) do seu software antivírus, procurando arquivos sinalizados erroneamente, e não exclua os arquivos em quarentena.
Se o arquivo ainda estiver na quarentena, escolha "Restaurar"(Restore) e adicione o arquivo ou extensão à lista de confiança para evitar falsas detecções novamente.
Se o ficheiro foi eliminado, verifique se há cópias de segurança automáticas ou utilize ferramentas de recuperação de dados para o recuperar.
Lembre-se: não desinstale a extensão! Mesmo que a extensão esteja corrompida, ainda podem existir arquivos relacionados à encriptação da chave privada localmente, e ainda há a possibilidade de recuperação.
2. Faça backup e encontre dados de extensão local
Os dados expandidos geralmente são armazenados no disco rígido local; mesmo que a expansão não possa ser aberta, ainda é possível encontrar dados relevantes para recuperação (ID da expansão, usando MetaMask como exemplo: nkbihfbeogaeaoehlefnkodbefgpgknn):
Referência de caminho do Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
Referência de caminho Mac: ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn
É importante notar que, se o Chrome tiver várias configurações de conta, o Default no caminho pode se tornar Profile 1/Profile 2. É necessário verificar o diretório específico do Profile e ajustar o caminho conforme a situação real. Recomenda-se fazer um backup completo do diretório da extensão alvo o mais rápido possível, para que possa ser restaurado em caso de problemas.
3. Método de recuperação agressivo: sobrepor o diretório de extensão local
Se um falso positivo causar danos à extensão, a maneira mais direta é, em um novo computador ou novo ambiente de navegador, substituir diretamente os dados da extensão de backup no diretório da extensão correspondente ao caminho local e, em seguida, reabrir o programa da extensão.
4. Métodos de recuperação avançados: descriptografar manualmente os dados da chave privada
Se a extensão ainda não abrir ou os dados estiverem faltando, você pode tentar um método de recuperação mais avançado, ou seja, descriptografar manualmente os dados da chave privada para recuperar. Tomando o MetaMask como exemplo:
Procure o ID da extensão MetaMask localmente no computador, encontre o seguinte diretório: C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
Este diretório pode conter arquivos ldb/log, que armazenam dados de chaves privadas encriptadas. Pode utilizar a ferramenta de descriptação Vault oficial da MetaMask para descriptação.
copiar o conteúdo encriptado do arquivo ldb/log
Se a extensão MetaMask ainda conseguir abrir algumas páginas (como chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), você pode tentar executar o seguinte código para obter os dados da chave privada de encriptação:
Em seguida, copie os dados do vault para a ferramenta de descriptação do MetaMask Vault para descriptação.
5. Escrever ferramenta de recuperação personalizada
Se os métodos acima não conseguirem recuperar os dados da Carteira, os usuários podem escrever um script para extrair os dados de armazenamento expandido do arquivo de banco de dados local e, em seguida, proceder com a encriptação. Abaixo está a implementação dos princípios subjacentes e da implementação de diferentes ferramentas de recuperação de Carteira, usando PhantomKeyRetriever como modelo:
Os plugins de Carteira geralmente armazenam dados sensíveis em bancos de dados ou arquivos no sistema local. As carteiras de extensão do navegador (como Phantom, MetaMask, etc.) utilizam a API de armazenamento fornecida pelo navegador para guardar dados encriptados na área de armazenamento local do navegador, normalmente em sistemas de banco de dados como LevelDB ou IndexedDB. Independentemente do tipo de Carteira, um princípio chave é que os dados são sempre armazenados de forma encriptada, garantindo que mesmo que os dados sejam copiados, não possam ser acessados sem a senha correta.
A maioria das Carteiras de encriptação adota uma arquitetura de encriptação em camadas para aumentar a segurança. Primeiro, a senha principal do usuário é usada para encriptar uma chave intermediária (geralmente chamada de "chave de encriptação" ou "chave de decriptação"). Em seguida, essa chave intermediária é usada para encriptar a chave privada real ou a frase mnemônica. Este design significa que mesmo que o código do aplicativo da Carteira seja comprometido, um atacante ainda precisaria saber a senha do usuário para acessar a chave privada. Este design em múltiplas camadas também permite que o aplicativo da Carteira decrete apenas a chave intermediária após o login do usuário, sem a necessidade de inserir a senha principal a cada operação.
O processo de elaboração de uma ferramenta de recuperação de Carteira geralmente inclui:
Localizar e extrair dados de encriptação (ler dados do LevelDB/IndexedDB).
Analisar a estrutura de dados, identificar chaves privadas/frases de recuperação encriptadas.
Solicitar ao usuário que insira a senha da carteira e calcular a chave de descriptografia através do KDF (como PBKDF2 ou Scrypt).
Descriptografar a chave intermediária e, em seguida, descriptografar a chave privada/frase de recuperação.
Este processo requer um entendimento preciso do esquema de encriptação da Carteira e do formato de armazenamento de dados, o que geralmente exige a obtenção através de engenharia reversa ou análise do código-fonte aberto da Carteira.
Em relação à ferramenta PhantomKeyRetriever, trata-se de um script projetado especificamente para extrair frases de recuperação ou chaves privadas da Carteira Phantom a partir dos dados do navegador Chrome, sendo o seu princípio fundamental o seguinte:
Ler a base de dados LevelDB do Chrome e copiar os dados relevantes para o diretório temporário.
Percorrer a base de dados, procurando as chaves de encriptação e as informações de semente da Carteira Phantom.
O utilizador insere a palavra-passe do Phantom, o script utiliza PBKDF2/Scrypt para calcular a chave de decriptação.
Descriptografar dados do cofre da Carteira, extrair a frase mnemônica BIP39 ou a chave privada Base58.
Neste processo de dupla encriptação, o script suporta duas funções de derivação de chave: PBKDF2 e Scrypt, e utiliza a biblioteca NaCl's SecretBox para uma decriptação segura. No final, de acordo com o tipo de dados decriptados, o script gerará uma frase mnemónica padrão BIP39 ou extrairá uma chave privada codificada em Base58.
É importante notar que outros navegadores que suportam Carteiras de extensão (como Edge, Firefox) funcionam com princípios semelhantes, não sendo necessário repetir isso aqui.
Como prevenir?
Para reduzir o risco de falsos positivos, os usuários podem tomar as seguintes medidas:
Realize backups regulares de arquivos importantes e dados de extensões do navegador, para que possa recuperar rapidamente em caso de falsos positivos.
Adicione manualmente regras de confiança no software antivírus. Para software ou extensões importantes (como MetaMask), pode adicioná-los manualmente à lista de confiança para evitar falsos positivos.
Utilize canais oficiais para baixar o software, evitando instalar aplicações não oficiais ou modificadas, para reduzir a possibilidade de ser marcado como um risco potencial pelo antivírus.
Resumo
A luta contra as ameaças é sempre dinâmica e as estratégias de segurança precisam ser constantemente ajustadas. Instalar software antivírus é, sem dúvida, importante, mas, no final, o usuário é a última linha de defesa dos seus ativos. Ao enfrentar falsos positivos, o usuário deve manter a calma e evitar excluir diretamente arquivos críticos, utilizando métodos de recuperação apropriados. Somente dominando o conhecimento de segurança correto é que se pode realmente garantir a segurança dos próprios dados.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
9
Partilhar
Comentar
0/400
AirdropSkeptic
· 07-14 11:50
novato必备insights valiosos
Ver originalResponder0
BridgeTrustFund
· 07-13 18:41
Primeiro faça backup, depois use antivírus.
Ver originalResponder0
PaperHandSister
· 07-13 04:47
Tenha cuidado ao usar a chave privada e cuide bem dela.
Ver originalResponder0
ContractCollector
· 07-11 19:40
O backup é o mais crucial.
Ver originalResponder0
LowCapGemHunter
· 07-11 15:09
Construir uma lista de permissões não é difícil.
Ver originalResponder0
MetaverseLandlady
· 07-11 14:57
Fazer backup da chave privada é o mais importante.
Estratégias para lidar com danos ao Carteira de encriptação causados por falsos positivos de software antivírus
A deteção falsa de antivírus causou danos à Carteira encriptada, como lidar com isso?
No ambiente da Internet atual, as ameaças de segurança estão sempre a surgir, e instalar software antivírus pode ajudar os utilizadores a aumentar a segurança do sistema. No entanto, o software antivírus só pode reduzir os riscos e não garante segurança absoluta. O combate é um processo dinâmico, e a instalação do software antivírus é apenas o primeiro passo para aumentar a segurança. Ao mesmo tempo, o software antivírus também pode apresentar falsos positivos, trazendo riscos adicionais.
Recentemente, alguns usuários relataram que, após usar software antivírus, algumas extensões de navegador (especialmente extensões de Carteira de encriptação) foram erroneamente identificadas como malware, resultando na isolação ou exclusão de arquivos JavaScript da extensão, danificando assim a carteira da extensão e tornando-a inutilizável.
Para os usuários de Web3, essa situação é especialmente grave, pois as extensões de Carteira de encriptação geralmente armazenam chaves privadas, e se não forem tratadas adequadamente, podem levar à perda de dados da Carteira, até mesmo à impossibilidade de recuperar ativos. Portanto, é crucial entender como recuperar corretamente os dados da extensão que foram isolados por engano.
Como lidar?
Se descobrir que o software antivírus gerou um falso positivo que levou a danos na extensão do navegador, recomenda-se seguir os seguintes passos para a recuperação:
1. Recuperar arquivos da zona isolada, não desinstalar a extensão
Se você descobrir que um determinado software ou extensão não está funcionando, verifique imediatamente a "Zona de Quarentena"(Quarantine) ou o "Histórico"(History) do seu software antivírus, procurando arquivos sinalizados erroneamente, e não exclua os arquivos em quarentena.
2. Faça backup e encontre dados de extensão local
Os dados expandidos geralmente são armazenados no disco rígido local; mesmo que a expansão não possa ser aberta, ainda é possível encontrar dados relevantes para recuperação (ID da expansão, usando MetaMask como exemplo: nkbihfbeogaeaoehlefnkodbefgpgknn):
É importante notar que, se o Chrome tiver várias configurações de conta, o Default no caminho pode se tornar Profile 1/Profile 2. É necessário verificar o diretório específico do Profile e ajustar o caminho conforme a situação real. Recomenda-se fazer um backup completo do diretório da extensão alvo o mais rápido possível, para que possa ser restaurado em caso de problemas.
3. Método de recuperação agressivo: sobrepor o diretório de extensão local
Se um falso positivo causar danos à extensão, a maneira mais direta é, em um novo computador ou novo ambiente de navegador, substituir diretamente os dados da extensão de backup no diretório da extensão correspondente ao caminho local e, em seguida, reabrir o programa da extensão.
4. Métodos de recuperação avançados: descriptografar manualmente os dados da chave privada
Se a extensão ainda não abrir ou os dados estiverem faltando, você pode tentar um método de recuperação mais avançado, ou seja, descriptografar manualmente os dados da chave privada para recuperar. Tomando o MetaMask como exemplo:
Se a extensão MetaMask ainda conseguir abrir algumas páginas (como chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), você pode tentar executar o seguinte código para obter os dados da chave privada de encriptação:
javascript chrome.storage.local.get('dados', resultado => { var vault = result.data.KeyringController.vault; console.log(vault); });
Em seguida, copie os dados do vault para a ferramenta de descriptação do MetaMask Vault para descriptação.
5. Escrever ferramenta de recuperação personalizada
Se os métodos acima não conseguirem recuperar os dados da Carteira, os usuários podem escrever um script para extrair os dados de armazenamento expandido do arquivo de banco de dados local e, em seguida, proceder com a encriptação. Abaixo está a implementação dos princípios subjacentes e da implementação de diferentes ferramentas de recuperação de Carteira, usando PhantomKeyRetriever como modelo:
Os plugins de Carteira geralmente armazenam dados sensíveis em bancos de dados ou arquivos no sistema local. As carteiras de extensão do navegador (como Phantom, MetaMask, etc.) utilizam a API de armazenamento fornecida pelo navegador para guardar dados encriptados na área de armazenamento local do navegador, normalmente em sistemas de banco de dados como LevelDB ou IndexedDB. Independentemente do tipo de Carteira, um princípio chave é que os dados são sempre armazenados de forma encriptada, garantindo que mesmo que os dados sejam copiados, não possam ser acessados sem a senha correta.
A maioria das Carteiras de encriptação adota uma arquitetura de encriptação em camadas para aumentar a segurança. Primeiro, a senha principal do usuário é usada para encriptar uma chave intermediária (geralmente chamada de "chave de encriptação" ou "chave de decriptação"). Em seguida, essa chave intermediária é usada para encriptar a chave privada real ou a frase mnemônica. Este design significa que mesmo que o código do aplicativo da Carteira seja comprometido, um atacante ainda precisaria saber a senha do usuário para acessar a chave privada. Este design em múltiplas camadas também permite que o aplicativo da Carteira decrete apenas a chave intermediária após o login do usuário, sem a necessidade de inserir a senha principal a cada operação.
O processo de elaboração de uma ferramenta de recuperação de Carteira geralmente inclui:
Este processo requer um entendimento preciso do esquema de encriptação da Carteira e do formato de armazenamento de dados, o que geralmente exige a obtenção através de engenharia reversa ou análise do código-fonte aberto da Carteira.
Em relação à ferramenta PhantomKeyRetriever, trata-se de um script projetado especificamente para extrair frases de recuperação ou chaves privadas da Carteira Phantom a partir dos dados do navegador Chrome, sendo o seu princípio fundamental o seguinte:
Neste processo de dupla encriptação, o script suporta duas funções de derivação de chave: PBKDF2 e Scrypt, e utiliza a biblioteca NaCl's SecretBox para uma decriptação segura. No final, de acordo com o tipo de dados decriptados, o script gerará uma frase mnemónica padrão BIP39 ou extrairá uma chave privada codificada em Base58.
É importante notar que outros navegadores que suportam Carteiras de extensão (como Edge, Firefox) funcionam com princípios semelhantes, não sendo necessário repetir isso aqui.
Como prevenir?
Para reduzir o risco de falsos positivos, os usuários podem tomar as seguintes medidas:
Resumo
A luta contra as ameaças é sempre dinâmica e as estratégias de segurança precisam ser constantemente ajustadas. Instalar software antivírus é, sem dúvida, importante, mas, no final, o usuário é a última linha de defesa dos seus ativos. Ao enfrentar falsos positivos, o usuário deve manter a calma e evitar excluir diretamente arquivos críticos, utilizando métodos de recuperação apropriados. Somente dominando o conhecimento de segurança correto é que se pode realmente garantir a segurança dos próprios dados.