Si realmente desea lo más parecido a una forma 100% segura de ejecutar malware:
Cree una cuenta con Amazon Web Services, active un servidor pero no lo conecte a nada (lea: colóquelo en su propio VPC) y realice su análisis allí. Quemar después de analizar.
Nota al margen: hay algunas AMI pre-creadas en el "Ec2 Market Place" que ya tienen cargadas herramientas de análisis de malware si tienes ganas de volverte loco.
¿Esto garantiza una protección del 100 por ciento?
No. Nunca. Nunca jamás jamás jamás. Periodo.
El 100% de las garantías simplemente no existe en el mundo real. Si desea un ejemplo de lo que podría acercarse al 100%:
Ahora hay cosas que puede hacer para mitigar el riesgo. Cosas como ejecutarlo en una máquina virtual (como lo recomienda el Servicio Web de Amazon que recomienda Hollowproc) son herramientas poderosas para mitigar el riesgo. También es útil limpiar el disco duro después de usarlo. Sin embargo, no existe una garantía del 100%.
Para un ejemplo de esto, considere Stuxnet. ¡Stuxnet es famoso por atacar una instalación de enriquecimiento nuclear a través de un aeródromo ! No fue fácil, pero sucedió.
Una mejor solución sería no abrir un archivo si no puede decir nada acerca de qué tan seguro es.
Otra cosa a considerar, es si este programa intentará replicar, filtrar datos o hacer otros daños a través de la red. Para evitar que eso ocurra, recomendaría el uso de una máquina virtual. Tenga cuidado de eliminar el acceso al host (o, en ocasiones, el uso compartido de archivos host / guest) y elimine las interfaces de red virtual antes de ejecutar el programa en la máquina virtual. Los buenos hipervisores de VM deben brindar una protección razonable a los datos y el hardware en el host de VM, pero si está realmente preocupado por eso, considere ejecutarlo en una VM en un host de VM dedicado sin red.
También puedes ver sandboxie , que está básicamente destinado a ejecutar programas no confiables de forma aislada. Sin embargo, esto no impide que el programa realice conexiones de red.
Salvo los ataques de nivel NSA que alteran el firmware del disco duro y similares, existe una solución relativamente simple y barata.
Esto le permite ejecutar el código en su configuración normal, localmente (sin red), y tener la seguridad de que no se producirán daños en su máquina o datos. Aún podría ser atacado por un ataque dirigido que use algo como exfiltración basada en fanáticos, pero si solo le preocupa el ransomware, el spyware o un virus, el método de copia y restauración es muy efectivo.
Use esta rutina en una computadora adicional de $ 100 (refuerce en newegg o ebay) si el EXE necesita internet.
No puedes.
Si usa una solución de virtualización a nivel de sistema operativo (entornos limitados, contenedores, selinux), el malware puede usar el exploit de escalado de privilegios locales. Si utiliza la virtualización de hardware, el malware puede explotar vulnerabilidades en el hipervisor (y otro software subyacente, incluido el sistema operativo, bios y firmwares (muchos dispositivos tienen flashweb firmwares, esto permite la creación de rootkits extremadamente persistentes)) e inyección de fallas como RowHammer. Si usa un emulador, el malware puede intentar explotar una vulnerabilidad en el emulador.
Entonces, necesita una máquina física separada y si necesita analizar los binarios automáticamente, necesita que el software en la máquina de análisis no sea vulnerable.
Ahora olvida todo lo escrito anteriormente porque no es un escenario de la vida real (a menos que seas un objetivo de alto valor para las agencias de inteligencia). Una solución de virtualización de hardware (por ejemplo, QubesOS) debería ser suficiente, si la corta desde dispositivos (sin pasaje de OpenGL, sin pasaje de PCI, sin pasaje de USB, sin acceso a almacenamiento, etc.)
Lea otras preguntas en las etiquetas malware virus file-system