¿Es seguro abrir Malware con Live OS?

Navega tus respuestas
-1

Tengo películas otros archivos. Me gustaría poder abrir el uso de forma segura sin riesgo de infectar el sistema operativo host. Por lo tanto, se abrirían desde un disco duro externo sin el disco duro interno. He investigado esto y el sistema operativo en vivo tiene acceso al disco duro interno y externo.

Quiero saber si la gente piensa que esto parece ser razonablemente seguro.

Esta información encontré en eso.

  

Use un CD en vivo con una distribución de Linux para acceder al USB Most en el que no se confía   Las distribuciones populares de Linux se pueden arrancar directamente desde dispositivos USB.   Descargue uno, arranque desde su USB y ahora lea con seguridad   contenido de la otra unidad USB no confiable que acaba de encontrar. Como un USB   El sistema operativo en vivo arrancaría solo su RAM, nada malicioso nunca   metete en tu disco duro Pero para estar en un lado más seguro, desconecte todos   tus discos duros antes de intentar esto.

Técnicamente, una máquina virtual es la forma menos segura disponible para acceder a un dispositivo USB sospechoso al azar. Como cualquier software, las máquinas virtuales también son vulnerables.

Había estado pensando en comprar un DVD-r o CD-R de solo lectura que podría proporcionar más protección o una memoria USB protegida contra escritura. Luego encontré esta explicación del sistema operativo en vivo

  

Un LiveUSB instala una imagen de solo lectura (como la que obtendrías en un   DVD), pero crea y aparta una partición adicional para el   almacenamiento de datos. Como la imagen de solo lectura está comprimida, puede tomar   ocupa poco espacio y el resto de la memoria USB se puede utilizar para   Datos persistentes. Esto es necesario porque un LiveUSB no persistente   funciona creando primero un RAMdisk, luego cargando todo el sistema operativo en este   disco virtual volátil. Al cerrarse, sus datos se perderían. UNA   LiveUSB persistente funciona de la misma manera, excepto que / home está asignado a   la partición USB reservada para los datos. Todo el sistema operativo todavía se carga en   RAM, pero sus datos están en la partición separada en su memoria USB.

Entonces, porque dice que se instala como una imagen de solo lectura, no estoy seguro de que un CD-R o DVD-r o un USB protegido contra escritura haga una diferencia.

Obviamente, cualquier malware potencial también tendría acceso a la unidad USB externa desde la que se ejecuta.

    
pregunta Alister 15.07.2018 - 15:19
fuente

1 respuesta

0

"Técnicamente", los CD en vivo son mucho más peligrosos como plataforma para el análisis de malware que una máquina virtual, porque el sistema operativo en vivo aún está interactuando con el hardware directamente.

Dejando de lado la infección del disco duro, ejecutar en un entorno en vivo generalmente significa un acceso completo de la red al sistema operativo, por lo que espero que el malware no se propague lateralmente. Las máquinas virtuales de análisis de malware están configuradas para limitar el acceso a la red, e incluso a veces utilizan el tráfico emulado / simulado para permitir que el malware "interactúe" con los servidores remotos sin tener realmente acceso a la red (por ejemplo, FakeNet).

No sé por qué alguien que realiza un análisis de malware le está diciendo que use un sistema operativo en vivo, pero yo sería muy escéptico de su experiencia. Las únicas razones para usar el bare-metal tienen que ver con eludir las técnicas desconocidas de evasión de máquinas virtuales, y solo deben ser empleadas por organizaciones con el know-how y la necesidad de realizar ingeniería inversa en esas técnicas de evasión ... para que luego puedan incorporarse a Los entornos de detonación virtual.

Si estás realmente preocupado por el malware que se escapa de vm ... duplica tus máquinas virtuales, por ejemplo

Windows host = > HyperV = > Ubuntu guest / host = > VirtualBox = > Invitado de Windows7

Esto obviamente es un exceso paranoico, pero aún así es preferible a un sistema operativo en vivo donde no tienes un control perfecto sobre hardware / redes / etc. He visto malware en Windows que realmente desactiva y vuelve a habilitar los adaptadores de red una vez que tiene acceso de administrador, si no puede comunicarse con sus servidores C2, configura la configuración del proxy, etc.

    
respondido por el Angelo Schilling 20.07.2018 - 23:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo saber si alguien ha iniciado sesión y cuándo puedo ganar 10? ¿Cómo conectar reverse_tcp con mi servidor remoto (no en la misma máquina donde tengo metasploit)?