¿Cuáles son las ventajas y desventajas de usar CD en vivo frente a máquinas virtuales para el análisis de malware?

Las dos cosas principales que vienen a la mente son las amenazas que pueden comprometerlo al usarlas. En ambos casos, las amenazas son bastante raras.

Para una máquina virtual, la principal amenaza para su sistema es un virus que puede explotar el hipervisor. Tal virus podría escapar de la máquina virtual e infectar su sistema. Las máquinas virtuales también tienen la ventaja de poder hacer una comparación más cercana con el cambio de estado causado por el virus para determinar exactamente lo que hace.

Para un CD en vivo, un virus de este tipo sería un virus residente en el hardware que puede corromper el hardware de tal manera que sobrevive al reinicio en su entorno normal y luego se pueda propagar.

Es poco probable que ambos sean problemas de todos, excepto de los mejores atacantes, sin embargo, un virus residente en el hardware es una amenaza mucho mayor (aunque mucho más rara) que cualquier virus de software, ya que sería básicamente imposible de eliminar. Debido a esto, personalmente me inclino por las máquinas virtuales, sin embargo, la persona más verdaderamente paranoica podría usar una máquina virtual que se ejecute desde un CD en vivo.

Puedes analizarlos en un sistema operativo incompatible. Nada dice que tienes que estudiar un virus de Windows en una máquina con Windows. Esto reduce el riesgo de infección accidental de su entorno de prueba.

He probado algunos programas maliciosos en una máquina virtual sin efectos adversos, pero mi experiencia se limita a un código no muy agresivo. Supongo que es posible que pueda cometer un error e infectar a su anfitrión. El código destinado a atacar un dispositivo USB específico también podría romper los límites.

Un LiveCD también es una buena opción. Configúrelo para que esté bloqueado contra escritura para que no se monte en medios grabables a menos que usted lo indique explícitamente.

  

Me preguntaba cuál sería la mejor opción para mantener mi sistema a salvo de virus que lo infectan accidentalmente. Solo planeo analizar los binarios, no ejecutarlos

Para resumir la respuesta simple: Obtenga un editor hexadecimal o cualquier otra herramienta que piense utilizar en un teléfono inteligente o tableta que no sea Windows, basado en ARM para analizar el malware binario de Windows x86.

Las opciones más complejas:

• Observe la aplicación (malware) que no desea ejecutar en un procesador que no usa el mismo código de máquina en primer lugar; es decir, mirar un ejecutable ARM o Power en una PC, mirar un virus x86 o x64 en un chip Power o ARM, mirar cualquier cosa impresa en papel.

  • Tenga cuidado con las aplicaciones multiplataforma (malware) como Javascript, Java, Flash y similares.

• Como dijo John Deters, (también) usa un sistema operativo en el que no se ejecutan.

  • Nuevamente, tenga cuidado con las aplicaciones multiplataforma (malware) como Javascript, Java, Flash y similares.

• No tiene ningún dispositivo que puedan infectar, es decir, que tenga el virus en un CD-ROM de solo lectura, y arranque desde un LiveCD en una máquina con dos unidades de x-ROM, una para el sistema operativo y otra para el malware o use un LiveCD en un x-ROM que pueda eliminarse fácilmente después (quizás Puppy Linux o Parted Magic; Kali probablemente también funcione)

  • DESPUÉS de retirar todos los disquetes, discos duros, memorias USB, discos externos, X-RW, etc., etc. de la máquina.
  • DESPUÉS de asegurarse de que tanto el LiveCD como el x-ROM estén llenos al 100%, especialmente en el caso de Puppy Linux
  • DESPUÉS de hacer todo lo posible para asegurarse de que el malware que está utilizando no pueda infectar la BIOS en absoluto (o al menos no en el sistema en el que lo está utilizando).

• Alternativamente, si usted es realmente paranoico y tiene incluso un presupuesto pequeño (o amigos que actualizan), use una máquina desechable al 100% (preferiblemente de piezas antiguas e inútiles), elimine o destruya todos los capacidades de red, y utilizar x-ROM para realizar transferencias de una sola vía (excepto para imprimir en una impresora desechable). Escriba programas maliciosos y herramientas de investigación en x-ROM, cárguelos en la máquina desechable,

  • Triture los x-ROM's después de cargarlos
  • Se le permite imprimir la salida. Nada más que papel, luz y desechos proviene de esa máquina de configuración nunca más.
  • Use un martillo en el disco duro después de que haya terminado.
  • Envuélvelo en bolsas Ziplock con una capa de toalla barata dentro; quieres tener cuidado con los fragmentos de vidrio.
  • Usa el martillo en el BIOS de la placa base después de que hayas terminado.
  • Si eres verdaderamente paranoico, ¡azota la impresora una vez que hayas terminado!
  • Deshazte de todo después de que hayas terminado.
  • ¡Disfrute de los frutos de su investigación y la dicha de convertir una máquina infectada en chatarra!

Esencialmente, el objetivo paranoico es prevenir la infección y prevenir la propagación de la infección que se supone que tienes a pesar de prevenirla.