¿Es una sesión en vivo de QEMU menos segura que una máquina virtual adecuada?

4

A menudo pruebo el malware en las máquinas virtuales de QEMU, y después de haber probado un poco de malware en una máquina virtual, elimino la VM por razones de seguridad, así como el hecho de que si quiero probar más malware, un entorno limpio para empezar ser preferido.

Sin embargo, la instalación de un nuevo sistema operativo en una VM lleva bastante tiempo, especialmente Ubuntu y Fedora, por lo que una opción más sencilla sería iniciar directamente desde la ISO y usar una sesión en vivo para uno de esos sistemas operativos.

Pero me gustaría saber, ¿se está ejecutando una sesión en vivo desde un ISO en el que los datos pueden escribirse y mantenerse allí menos seguros que instalarlos correctamente en un disco duro virtual? ¿Hay realmente alguna diferencia? ¿Es la sesión en vivo menos segura que la correcta? ¿O son los mismos e igualmente seguros para las pruebas de malware?

Mi host es Arch Linux.

    
pregunta 22.03.2017 - 21:06
fuente

1 respuesta

2

La prueba desde una sesión virtual "en vivo" puede ser un poco más segura, pero considerablemente menos exhaustiva.

Las sesiones en vivo utilizan un sistema de archivos basado en RAM como SquashFS, aufs o UnionFS para simular el acceso de escritura a la partición primaria. El malware puede propagarse escribiendo gusanos en el registro de arranque maestro del volumen, que puede simularse (y analizarse) desde un volumen qcow o una imagen de disco sin procesar, pero está completamente ausente en un sistema de archivos óptico ISO-9660.

Si fuera usted, consideraría crear imágenes "iniciales" de Ubuntu / Fedora de vainilla y luego hacer copias de ellas para probar su malware.

Si es paranoico adicional de que el malware pueda "salir" de su máquina virtual, puede asegurarse de que está ejecutando QEMU como un usuario sin privilegios.

    
respondido por el brirus 22.03.2017 - 23:03
fuente

Lea otras preguntas en las etiquetas