¿Es esta idea de VM-sandbox una buena idea para probar virus? [duplicar]

Question

¿Es esta idea de VM-sandbox una buena idea para probar virus? [duplicar]

#1 de Trey Blalock (4 votos)

4

Quieres ver algunos virus, así que usas algo como VirtualBox para crear un entorno de espacio aislado. Pero ¿y si cambiamos mucho ese ambiente? ¿Qué pasa si lo hacemos:

PASO UNO: Cree una unidad flash / unidad de disco duro de arranque con una distribución de Linux, le niegue el permiso de unidad flash / unidad de disco duro de arranque para acceder al disco duro principal, y niegue el acceso de la unidad de disco duro principal a la unidad flash de arranque / disco duro. En otras palabras, no deje que el disco duro principal instalado y el dispositivo de arranque se puedan hablar y escribir entre sí.

PASO DOS: instale VirtualBox y cree un sandbox en la distribución de Linux en la unidad flash / unidad de disco duro de arranque y no lo conecte a la red.

¿Es esta una forma segura de ejecutar un virus para analizarlo? ¿Es como un sistema operativo en una máquina virtual en un sistema operativo en una unidad flash / disco duro de arranque en su computadora? ¿Funcionará porque el dispositivo de inicio se borrará cuando se reinicie?

virtualization malware virus

pregunta Henry WH Hack v2.1.2 30.12.2015 - 00:47

fuente

1 respuesta

Lea otras preguntas en las etiquetas virtualization malware virus

Divulgar correctamente las deficiencias de seguridad de la API privada ¿La extensión MPX de Intel hará que C / C ++ sea completamente seguro de usar?

score 4 · Answer 1

Estas son buenas ideas, pero asegurar que el sistema en el Paso Uno no se pueda escribir puede ser un desafío.

Otras cosas que puede considerar es el riesgo potencial de una infección de BIOS en el host del hipervisor en caso de que esté tratando con algo avanzado.

De forma similar, todos los dispositivos conectados pueden ser vectores de infección. Piense en que BAD USB infecta todos los dispositivos USB compartidos. Me preocuparía más por esto en su configuración.

enlace

Una alternativa podría ser dedicar una computadora a esta tarea y aprovechar los CD / DVD de arranque para su sistema operativo base y no tener ningún disco duro. Luego, use una segunda unidad de CD / DVD dedicada para importar los datos que se analizarán a través de los discos CD / DVD-rw. Opcionalmente, es posible que deba tratarlos como sucios, a menos que pueda eliminarlos de forma forense.

Una vez más, creo que tienes una buena idea, pero consideraría seriamente los riesgos a largo plazo de una infección del BIOS, así como posibles infecciones del bus de datos a dispositivos como dispositivos USB, Firewire, Thunderbolt, etc ...

Obviamente, tampoco desea conexión de red aquí y, si es posible, no hay conexiones inalámbricas que incluyan elementos como Bluetooth. Desea pensar en esto más como una estación de trabajo de sonido forense si es posible.

Finalmente, es posible que también desee tener una conexión de red virtual falsa para que la máquina no parezca una estación de trabajo forense para el malware.

Nota: Creo que puedes hacer todo esto de manera muy económica, por lo que puedes probar algunos métodos diferentes hasta que encuentres lo que funciona mejor para ti, pero dicho eso, creo que tienes una buena idea para cosas básicas. tener en cuenta los problemas que mencioné anteriormente.