¿Cómo ejecuto un archivo .exe desconocido sin estar en riesgo [duplicado]

4

Me gustaría saber si hay alguna forma de ejecutar un archivo ejecutable absolutamente desconocido sin ser hackeado, incluso si el archivo contiene una gran cantidad de código malicioso. ¿Hay algún programa en el que pueda ejecutarlo sin correr ningún riesgo?

    
pregunta Tomas 08.09.2016 - 16:15
fuente

5 respuestas

6

Si realmente desea lo más parecido a una forma 100% segura de ejecutar malware:

Cree una cuenta con Amazon Web Services, active un servidor pero no lo conecte a nada (lea: colóquelo en su propio VPC) y realice su análisis allí. Quemar después de analizar.

Nota al margen: hay algunas AMI pre-creadas en el "Ec2 Market Place" que ya tienen cargadas herramientas de análisis de malware si tienes ganas de volverte loco.

    
respondido por el HashHazard 08.09.2016 - 16:29
fuente
5
  

¿Esto garantiza una protección del 100 por ciento?

No. Nunca. Nunca jamás jamás jamás. Periodo.

El 100% de las garantías simplemente no existe en el mundo real. Si desea un ejemplo de lo que podría acercarse al 100%:

  • Compra una máquina nueva. Ponlo en poder aislado. Ponga el ejecutable en él
  • Desconéctalo de la red.
  • Ejecutar el programa
  • No mire los resultados (puede verse tentado a actuar sobre ellos, rompiendo la garantía del 100%. Por lo que sabe, los resultados pueden hipnotizarlo para que asesine a su perro)
  • Apaga la computadora.
  • Coloque la computadora en una astilladora de madera
  • Recolecta los restos y vierte en una fundición de acero a. la. Terminator 2

Ahora hay cosas que puede hacer para mitigar el riesgo. Cosas como ejecutarlo en una máquina virtual (como lo recomienda el Servicio Web de Amazon que recomienda Hollowproc) son herramientas poderosas para mitigar el riesgo. También es útil limpiar el disco duro después de usarlo. Sin embargo, no existe una garantía del 100%.

Para un ejemplo de esto, considere Stuxnet. ¡Stuxnet es famoso por atacar una instalación de enriquecimiento nuclear a través de un aeródromo ! No fue fácil, pero sucedió.

Una mejor solución sería no abrir un archivo si no puede decir nada acerca de qué tan seguro es.

    
respondido por el Cort Ammon 08.09.2016 - 22:26
fuente
1

Otra cosa a considerar, es si este programa intentará replicar, filtrar datos o hacer otros daños a través de la red. Para evitar que eso ocurra, recomendaría el uso de una máquina virtual. Tenga cuidado de eliminar el acceso al host (o, en ocasiones, el uso compartido de archivos host / guest) y elimine las interfaces de red virtual antes de ejecutar el programa en la máquina virtual. Los buenos hipervisores de VM deben brindar una protección razonable a los datos y el hardware en el host de VM, pero si está realmente preocupado por eso, considere ejecutarlo en una VM en un host de VM dedicado sin red.

También puedes ver sandboxie , que está básicamente destinado a ejecutar programas no confiables de forma aislada. Sin embargo, esto no impide que el programa realice conexiones de red.

    
respondido por el A Heisner 08.09.2016 - 19:52
fuente
1

Salvo los ataques de nivel NSA que alteran el firmware del disco duro y similares, existe una solución relativamente simple y barata.

  • Compre un disco duro adicional que incluya algún tipo de software gratuito de "clonación" o "migración", o una unidad de arranque que se pueda "reparar" en Linux.
  • Clone el disco duro de su sistema a la nueva unidad y luego desenchufe la nueva.
  • Desconecte la fuente de Internet (enrutador, módem, etc.) para detener la exfiltración
  • Instale / ejecute su EXE no confiable tanto como sea necesario.
  • Reinicie y borre el disco duro principal de una unidad de disco de arranque.
  • Clona la copia de nuevo en el cuadro principal y reinicia.

Esto le permite ejecutar el código en su configuración normal, localmente (sin red), y tener la seguridad de que no se producirán daños en su máquina o datos. Aún podría ser atacado por un ataque dirigido que use algo como exfiltración basada en fanáticos, pero si solo le preocupa el ransomware, el spyware o un virus, el método de copia y restauración es muy efectivo.

Use esta rutina en una computadora adicional de $ 100 (refuerce en newegg o ebay) si el EXE necesita internet.

    
respondido por el dandavis 08.09.2016 - 21:45
fuente
0

No puedes.

Si usa una solución de virtualización a nivel de sistema operativo (entornos limitados, contenedores, selinux), el malware puede usar el exploit de escalado de privilegios locales. Si utiliza la virtualización de hardware, el malware puede explotar vulnerabilidades en el hipervisor (y otro software subyacente, incluido el sistema operativo, bios y firmwares (muchos dispositivos tienen flashweb firmwares, esto permite la creación de rootkits extremadamente persistentes)) e inyección de fallas como RowHammer. Si usa un emulador, el malware puede intentar explotar una vulnerabilidad en el emulador.

Entonces, necesita una máquina física separada y si necesita analizar los binarios automáticamente, necesita que el software en la máquina de análisis no sea vulnerable.

Ahora olvida todo lo escrito anteriormente porque no es un escenario de la vida real (a menos que seas un objetivo de alto valor para las agencias de inteligencia). Una solución de virtualización de hardware (por ejemplo, QubesOS) debería ser suficiente, si la corta desde dispositivos (sin pasaje de OpenGL, sin pasaje de PCI, sin pasaje de USB, sin acceso a almacenamiento, etc.)

    
respondido por el KOLANICH 08.09.2016 - 22:13
fuente

Lea otras preguntas en las etiquetas