Помилка антивірусного програмного забезпечення призвела до пошкодження Гаманець, як з цим впоратися?

У сучасному інтернет-середовищі загрози безпеці виникають постійно, встановлення антивірусного програмного забезпечення може допомогти користувачам підвищити безпеку системи. Проте антивірусне програмне забезпечення може лише зменшити ризики, але не може гарантувати абсолютну безпеку. Протидія є динамічним процесом, встановлення антивірусного програмного забезпечення – це лише перший крок до підвищення безпеки. Крім того, саме антивірусне програмне забезпечення також може давати хибні сповіщення, що призводить до додаткових ризиків.

Нещодавно користувачі повідомили, що після використання антивірусного програмного забезпечення деякі розширення браузера (особливо розширення гаманець шифрування) були помилково визначені як шкідливе програмне забезпечення, що призвело до ізоляції або видалення файлів JavaScript розширення, в результаті чого гаманець розширення був пошкоджений і не міг нормально працювати.

Для користувачів Web3 ця ситуація є особливо серйозною, оскільки Гаманець шифрування зазвичай зберігає приватні ключі, і якщо з ними неправильно поводитися, це може призвести до втрати даних гаманця та навіть до неможливості повернути активи. Тому важливо знати, як правильно відновити дані розширення, які були помилково ізольовані.

Як обробити?

Якщо ви виявили, що антивірусне програмне забезпечення помилково повідомляє про загрозу, що призвело до пошкодження розширення браузера, рекомендується виконати наступні кроки для відновлення:

1. Відновлення файлів із зони ізоляції, не видаляйте розширення

Якщо ви виявите, що певне програмне забезпечення або розширення не працює, в першу чергу перевірте "Гаманець"(Quarantine) або "історію"(History), щоб знайти неправильно виявлені файли, не видаляйте файли в ізоляції.

• Якщо файл все ще в ізольованій зоні, виберіть "Відновити"(Restore) та додайте цей файл або розширення до списку довірених, щоб запобігти повторному помилковому сповіщенню.
• Якщо файл був видалений, будь ласка, перевірте, чи є автоматичні резервні копії або скористайтеся інструментами відновлення даних.
• Пам'ятайте: не видаляйте розширення! Навіть якщо розширення пошкоджене, на локальному пристрої все ще можуть залишатися файли, пов'язані з шифруванням приватного ключа, тому все ще можливо відновлення.

2. Резервне копіювання та пошук локальних розширених даних

Розширені дані зазвичай зберігаються на локальному диску, навіть якщо розширення не може бути відкрите, все ще можна знайти відповідні дані для відновлення (ID розширення на прикладі MetaMask: nkbihfbeogaeaoehlefnkodbefgpgknn):

• Посилання на шлях Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Посилання на шлях до Mac: ~/Бібліотека/Підтримка додатків/Google/Chrome/Налаштування локального розширення/nkbihfbeogaeaoehlefnkodbefgpgknn

Слід зазначити, що якщо Chrome використовує кілька облікових записів, то в шляху Default може змінитися на Profile 1/Profile 2, потрібно перевірити конкретний каталог Profile та налаштувати шлях згідно з фактичними умовами. Рекомендується в першу чергу створити резервну копію повного каталогу цільового розширення, щоб у разі виникнення проблем можна було відновити.

3. Грубий метод відновлення: перезаписати локальний каталог розширень

Якщо помилкове сповіщення призвело до пошкодження розширення, найпростіший спосіб - це в новому комп'ютері або новому браузерному середовищі безпосередньо замістити резервні дані розширення в локальний шлях відповідного каталогу розширення, а потім знову відкрити програму розширення.

4. Просунуті методи відновлення: ручне шифрування даних приватного ключа

Якщо розширення все ще не відкривається або дані відсутні, можна спробувати більш складний метод відновлення, а саме ручне шифрування даних приватного ключа для відновлення. Наприклад, на MetaMask:

• Шукайте ID розширення MetaMask на локальному комп'ютері, знайдіть наступний каталог: C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Ця директорія може містити файли ldb/log, які зберігають шифровані дані приватних ключів. Можна використовувати офіційний інструмент для декодування Vault від MetaMask для розшифрування. скопіюйте зашифроване вміст з файлу ldb/log

Якщо розширення MetaMask все ще може відкрити певні сторінки (наприклад, chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), можна спробувати виконати наступний код для отримання даних шифрування приватного ключа:

Javascript chrome.storage.local.get('data', result => { var vault = result.data.KeyringController.vault; console.log(сховище); });

Потім скопіюйте дані сейфа до інструменту розшифрування MetaMask Vault для розшифрування.

5. Написання власного інструменту відновлення

Якщо вищезазначені методи не можуть відновити дані Гаманець, користувач може самостійно написати скрипт для вилучення даних розширеного зберігання з локальних файлів бази даних, а потім виконати шифрування. Тут використовується PhantomKeyRetriever як шаблон, написані різні інструменти відновлення Гаманець з основними принципами та реалізацією нижче:

Гаманець плагіни зазвичай зберігають чутливі дані у базі даних або файлах локальної системи. Розширення браузера для гаманець (такі як Phantom, MetaMask тощо) використовують API зберігання, що надаються браузером, для збереження зашифрованих даних у локальній області зберігання браузера, зазвичай у системах бази даних, таких як LevelDB або IndexedDB. Незалежно від типу гаманця, одним із ключових принципів є те, що дані завжди зберігаються в зашифрованій формі, що гарантує, що навіть якщо дані будуть скопійовані, доступ до них неможливий без правильного пароля.

Більшість гаманець шифрування використовують багатошарову архітектуру шифрування для підвищення безпеки. По-перше, головний пароль користувача використовується для шифрування проміжного ключа (зазвичай називається "шифрувальним ключем" або "ключем розшифрування"). Потім цей проміжний ключ використовується для шифрування фактичного приватного ключа або мнемонічної фрази. Такий дизайн забезпечує те, що навіть якщо код програми гаманця буде змінено, зловмисник повинен знати пароль користувача, щоб отримати приватний ключ. Цей багатошаровий дизайн також дозволяє програмі гаманця після входу користувача просто розшифрувати проміжний ключ, без необхідності щоразу повторно вводити головний пароль.

Процес написання інструменту відновлення Гаманець зазвичай включає:

• Визначення та витяг шифрованих даних (читання даних з LevelDB/IndexedDB).
• Аналізувати структуру даних, ідентифікувати шифрування приватного ключа/мнемонічної фрази.
• Вимагається, щоб користувач ввів пароль Гаманця, щоб обчислити ключ розшифрування за допомогою KDF (наприклад, PBKDF2 або Scrypt).
• Дешифруйте проміжний ключ, потім дешифруйте приватний ключ/мнемонічну фразу.

Цей процес потребує точного розуміння Гаманець шифрування схеми та формату зберігання даних, що зазвичай вимагає отримання через зворотне проектування або аналіз відкритого коду Гаманець.

Щодо інструмента PhantomKeyRetriever, це скрипт, спеціально розроблений для вилучення мнемонічних фраз або приватних ключів Phantom Гаманець з даних браузера Chrome, його основний принцип такий:

• Зчитування бази даних Chrome LevelDB, копіювання відповідних даних до тимчасового каталогу.
• Перегляньте базу даних, щоб знайти шифровані ключі та інформацію про насіння гаманця, збережені в гаманці Phantom.
• Користувач вводить пароль Phantom, скрипт використовує PBKDF2/Scrypt для обчислення ключа розшифрування.
• Розшифрування даних сховища гаманець, витягування BIP39 мнемонічної фрази або Base58 приватного ключа.

У цьому двошаровому процесі шифрування сценарій підтримує дві функції похідних ключів: PBKDF2 та Scrypt, і використовує бібліотеку NaCl SecretBox для безпечного розшифрування. Врешті-решт, залежно від типу даних після розшифрування, сценарій генерує мнемонічну фразу стандарту BIP39 або витягує приватний ключ у кодуванні Base58.

Слід зазначити, що інші браузери, які підтримують розширені Гаманець (наприклад, Edge, Firefox), мають подібний принцип, тому тут більше не будемо повторювати.

Як запобігти?

Щоб зменшити ризик хибних сповіщень, користувачі можуть вжити такі заходи:

• Регулярно створюйте резервні копії важливих файлів та даних розширень браузера, щоб швидко відновити їх у разі помилкового сповіщення.
• Вручну додайте правила довіри в антивірусному програмному забезпеченні, для важливих програм або розширень (наприклад, MetaMask) можна вручну додати їх до списку довірених, щоб запобігти помилковим сповіщенням.
• Використовуйте офіційні канали для завантаження програмного забезпечення, щоб уникнути встановлення неофіційних або змінених додатків, що зменшить ймовірність того, що антивірусне програмне забезпечення відзначить їх як потенційний ризик.

Підсумок

Протистояння завжди динамічно змінюється, тому й політика безпеки повинна постійно коригуватися. Встановлення антивірусного програмного забезпечення, безсумнівно, важливо, але врешті-решт, користувач є останньою лінією захисту своїх активів. У разі помилкового сповіщення користувач має спокійно реагувати, уникати безпосереднього видалення ключових файлів і використовувати відповідні засоби відновлення. Тільки володіючи правильними знаннями з безпеки, можна дійсно забезпечити безпеку своїх даних.