¿Cuál es la mejor manera de escanear unidades externas posiblemente infectadas en Debian?

-1

Primero que nada, lo siento mucho por mi inglés. No es tan perfecto en absoluto. Por favor, siéntase libre de referirse a eso en sus futuros comentarios si lo desea o, si puede ser tan amable, simplemente ignórelo. (-:

Segundo, no estoy muy seguro de si este es el mejor lugar para abordar mis preguntas. En el caso de no serlo, por favor ayúdame a encontrar el mejor.

Tercero, soy totalmente nuevo aquí y voy a leer todo acerca de las reglas, etc. pero ahora tengo una situación complicada y las apuestas podrían ser altas para mí, así que no tengo tiempo para hacer esto antes de preguntar a todos. usted.

Por favor, tenga en cuenta también, tengo antecedentes puramente teóricos / analíticos y he estado reproduciendo todas esas cosas de tecnología de la información desde muy corto (para ser honesto, solo unos pocos meses). Así que mi único weap3n por ahora es la lógica, la mente abierta (como soy capaz de hacer) y la paciencia.

La situación.

Tengo un disco externo para mis archivos cotidianos no importantes (música, fotos, archivos de texto favoritos, etc.), particionados en el sistema operativo Windows. Ayer envié a alguien algunos documentos: solíamos tener una conversación en un sitio http donde las personas solían tener este tipo de conversaciones. Me respondió que todos están infectados (escaneaba archivos con software) y no los abrirá. "Buena elección", pensé. Le pedí los registros de su antivirus, pero ella no puede enviarlos.

A continuación describo los escenarios que puedo imaginar:

1) Me había infectado antes de que empezara la conversación (espero que no sea así);

2) Algunos OVNI, NSA, GRU u otras personas malas con todos sus fetiches y colores de sus sombreros han infectado mis archivos en algún lugar en medio de la carretera de mi anfitrión a ella (encontró algo aquí: enlace );

3) Ella me mintió;

Independientemente de la tercera opción, probablemente debería tomarme en serio esta situación.

Tal vez haya otras posibilidades y quizás puedas ayudarme a investigarlas pero, en realidad, este no es el caso, creo (al menos de mi interés ahora), porque no estoy haciendo análisis forense y otras cosas por el estilo. . Estoy realmente preocupado por mis computadoras.

Entonces, mi pregunta principal sigue siendo ¿cuál es la mejor manera de escanear unidades externas posiblemente infectadas (ntfs) en Debian Stretch?

Desafortunadamente, usé esa unidad sh! t en mi Debian principal justo antes de la conversación: leí mis archivos.

Y desafortunadamente también ejecuté mi Debian en vivo con esa unidad conectada (y probablemente revisé mi correo seguro), así que en el caso de keylogger, etc., también estoy perdido, supongo.

Entonces, lo que quiero hacer es verificar mi unidad externa. A continuación, probablemente debería revisar mis dos hosts de Debian (uno sin gui) y finalmente mi debian en vivo (tal vez incluso cambiar todas las contraseñas, incluidas las particiones cifradas de lvm, etc.). Así que mi pregunta es cuál es la mejor manera (no necesariamente la más rápida y sencilla) de limpiar todo esto. Por supuesto, me gustaría deshacer todo y construir desde cero, y estoy listo para hacerlo, pero esta no es la forma más elegante de hacer las cosas por mí. Y quizás este es un buen momento para ir más allá y aprender algunas cosas más importantes.

Leí sobre clamav pero recuperé mis dedos del mouse después de ver algunas cadenas de Amazon (?) vinculadas al sitio principal.

Y me pregunto acerca de (para uso futuro) si existe alguna forma segura de abrir archivos sospechosos en, digamos, algún tipo de laboratorio como completamente (físicamente) aislado (tal vez encriptado como mis particiones debian lvm, por ejemplo) ) colocar en el disco duro o algo así. Probablemente, la mejor manera sería tener un solo host sin firmware wifi para hacer ese tipo de cosas. Soy consciente de VM, pero esto no parece ser lo suficientemente seguro para mí y mis CPU no son compatibles con la virtualización, por lo que realizar dos virtualizaciones (una para aumentar la CPU y otra para el host) parece ser un poco extraño para mí.

¡Muchas gracias de antemano!

Saludos cordiales!

    
pregunta merlenoir 16.01.2018 - 21:26
fuente

1 respuesta

1
  1. Si los archivos no son confidenciales, considere subirlos a VirusTotal . Esto ejecutará un par de docenas de productos AV en ellos simultáneamente. Es bastante improbable que cualquier cosa que hubiera disparado el AV de su corresponsal no se detecte en este análisis.
  2. ClamAV es un escáner AV decente (diseñado principalmente para el caso de uso del servidor de correo) pero tiene un poco menos de firmas (en mi experiencia) que los AV comerciales. Además, AFAIK, no tiene capacidades de detección heurística.
  3. Si está ejecutando Debian, es bastante poco probable que el malware tenga algún efecto en usted. La gran mayoría de los programas maliciosos se dirige a las aplicaciones de Windows y Windows, por razones obvias.
  4. Te perdiste algunas otras opciones, como el error (no mentir) de su parte o los archivos que se infectaron en su computadora antes de escanearlos.
respondido por el David 16.01.2018 - 22:02
fuente

Lea otras preguntas en las etiquetas