Caja de arena inversa

1

Según tengo entendido, un sandbox es un entorno aislado en una máquina, que se utiliza para recopilar información sobre una amenaza o para probarlo directamente. Está hecho para que la amenaza no pueda dañar nada, una vez que haya terminado, elimine ese entorno aislado, lo más probable es que sea una máquina virtual y esté seguro.

El objetivo principal es que estés aislado, por lo que no estás en riesgo de tener lo que tienes fuera de la caja de arena.

Me pregunté si hay algo similar a la caja de arena (como un entorno endurecido con herramientas de prueba en su interior) para probar de forma segura lo que sucede en su computadora (que no es seguro y que no puede costear restablecer) propia computadora? Como no sé, ¿hay algún tipo de partición a la que apenas se puede acceder desde el entorno de trabajo principal, que no se puede infectar fácilmente y que se podría usar para solucionar los problemas que ocurren en su sesión de usuario principal cada vez que sucede algo incorrecto? p>

Si existe algo así, ¿cómo se llama?

    
pregunta Kaël 01.09.2017 - 10:16
fuente

2 respuestas

3

Tal vez estés hablando de Jail (freeBSD). O Chroot (OpenBSD)

Hay una versión portada de Jail / Chroot para Windows llamada winjail

Utilicé Chroot para analizar dinámicamente el código de Malware muestra . Necesitaba entradas de evidencia, rastreo y registro para enviar algunas pruebas de concepto o firmas personalizadas.

  • Lo cierto es que estaba 100% seguro de cuál sería el impacto de esas líneas maliciosas en el sistema, a través de un análisis estático anterior.

  • Nunca ejecute un Malware completo (archivo PE o programa compilado / empaquetado) fuera de un entorno aislado completo.

  • No recomendaré utilizar Jail para el análisis de muestra de malware hasta que esté 100% seguro de lo que está haciendo, 95% está no es suficiente .

En el caso de que no logré convencerte y todavía quieras ejecutar cosas maliciosas fuera de un arenero:

  • tome una instantánea (incluye el volcado de RAM), guárdelo en un dispositivo externo.

  • Eliminar el dispositivo externo.

  • Físicamente aísla la computadora (el aislamiento del software no es suficiente) & desenchufe todos los dispositivos USB si puede.

  • Haz tus cosas.

  • Restaure la instantánea una vez que haya terminado.

respondido por el Baptiste 01.09.2017 - 11:27
fuente
1

Está describiendo tanto el sandboxing como el análisis forense.

Lo más cerca que vas a llegar a una solución es usar algo como Cuckoo. Suministra una imagen virtual de su computadora tal como está (utilizando una herramienta como VMWare vCenter Converter), ofreciéndose una réplica virtual de su entorno operativo, luego detona su carga útil de malware / aplicación cuestionable y Cuckoo enlaza todas las API de Windows La red llama y te dice todo lo que el malware intentó hacer.

    
respondido por el Ivan 01.09.2017 - 19:37
fuente

Lea otras preguntas en las etiquetas