Come fanno gli hacker professionisti a testare il proprio malware / virus senza danneggiare il proprio computer?

Naviga le tue risposte
5

Ieri ho iniziato alcuni tutorial sull'hacking su link dalla curiosità. Ho usato l'app per Android per leggere i diversi articoli sui diversi modi di "hacking". L'autore affermava chiaramente che alcuni di essi non dovevano essere riprodotti perché avrebbero sostanzialmente danneggiato il computer, come la famosa bomba a cerniera e bomba a forcella o persino la cartella blaster .

Quindi, mi chiedo quale sarebbe il modo migliore per me per riprodurre questi "malware" senza fare del male al mio computer. Ma sono anche interessato a trovare un modo che potrei usare per diversi tipi di malware / test / sviluppo di virus.

La prima soluzione che mi viene in mente è usare una macchina virtuale, così potrei fare una fotografia della VM una volta installata e fare qualsiasi cosa su di essa senza danneggiare il vero sistema operativo. Ma non so per certo se questa è la soluzione migliore e anche se funzionerà o meno. Immagino che lo farebbe, ma è una supposizione.

    
posta Vadorequest 20.11.2015 - 14:26
fonte

3 risposte

4

How do professional hackers to test their own malwares/viruses without harming their own computer?

Quasi tutti i malware, se non tutti, funzionano per oscurità. Una volta capito come funziona e hai le abilità appropriate, puoi sconfiggerlo abbastanza facilmente. Se è il tuo proprio malware e virus, allora è davvero molto semplice: sai esattamente cosa fa il tuo malware e come sconfiggerlo, correggere? Dopo tutto, l'hai programmato.

Mentre sì, sono d'accordo in generale con l'uso di una macchina virtuale, non è al 100%. Niente è al 100%. Puoi infettare le tue macchine, sia online che offline, e fare cose interessanti con loro.

Puoi osservare come il malware interagisce con il tuo ambiente attraverso molti metodi diversi. Ecco alcuni esempi notevoli:

  1. Osservando tutte le modifiche al file system e / o ai dischi rigidi.
  2. Osservare memoria
  3. Debugger come OllyDbg o IDA Pro .
  4. Strumenti per l'acquisizione di pacchetti di rete come Wireshark .

Disattiva la connessione Internet della macchina virtuale per i migliori risultati

Mentre altri parlano del malware che probabilmente "sfugge" a Virtual Machine , non è molto probabile, anche se è possibile. Anche se il malware potrebbe rilevare che è in esecuzione all'interno di una macchina virtuale, questo non aiuta molto a meno che il malware non siaself-destructs dopo aver rilevato un ambiente virtuale.

Anche se una VM non viene rilevata, un pezzo di malware potrebbe semplicemente provare per scappare assumendo che potrebbe esserci. Quindi i metodi per impedire al malware di rilevare che si trova all'interno di una macchina virtuale potrebbero non funzionare, a meno che non sia il tipo che si autodistrugge durante il rilevamento.

Riguardo agli "attacchi" che hai menzionato, diamo un'occhiata ai risultati di questi, assumendo che tu possa rimuovere le infezioni:

  1. Bomba a cerniera
    • Una bomba a cerniera, conosciuta anche come una bomba della morte o della decompressione, è un file di archivio dannoso progettato per bloccare o rendere inutile il programma o il sistema che lo legge. Viene spesso impiegato per disabilitare il software antivirus, al fine di creare un'apertura per i virus più tradizionali.
    • Dopo aver rimosso l'infezione, la bomba a cerniera sinistra può essere annullata cancellando i file. Se lo hai fatto da solo, esegui semplicemente una routine di pulizia. Se non l'hai fatto da solo, esegui semplicemente una routine di pulizia. Se il programma è ancora in esecuzione forzata, è possibile riavviare.
    • Non causerà problemi fisici con l'hardware.
  2. bomba a forcella
    • Nel calcolo, un bombardamento a forcella (chiamato anche virus del coniglio o wabbit) è un attacco denial-of-service in cui un processo si replica continuamente per esaurire le risorse di sistema disponibili, causando carenza di risorse e rallentando o arrestando il sistema.
    • Non causerà problemi fisici con l'hardware.
  3. Blaster cartella .
    • Stesso concetto della bomba a zip, ma con lo spam della cartella. Basta scrivere una routine per eliminarli.
    • Non causerà problemi fisici con l'hardware.

Ancora meglio, se hai un virtual testing environment , puoi eliminarli automaticamente salvando lo stato di una macchina virtuale prima dell'infezione e ripristinandolo dopo aver finito di studiare l'output. Questo è il metodo più semplice ed efficiente di gran lunga.

    
risposta data 20.11.2015 - 17:21
fonte
1

A seconda di come funziona il malware, la virtualizzazione potrebbe essere un modo sufficiente per contenerlo. Eseguendo il malware in una macchina virtuale, può solo causare danni all'interno della macchina virtuale e consumare solo quelle risorse ad essa assegnate.

Tuttavia, c'è anche malware che non funziona all'interno di una VM o è pericoloso anche se utilizzato in uno. In tal caso, l'unico modo per verificarlo è utilizzare l'hardware di riserva.

    
risposta data 20.11.2015 - 14:54
fonte
1

Alcuni malware hanno la capacità di riconoscere quando sono virtualizzati e tentano di "pensare fuori dagli schemi" usando le tattiche più interessanti che ho visto ... a volte persino cercando di controllare la tastiera. L'unico modo per testarli davvero è impostare un laptop o desktop con tecnologia airgapp e eseguirlo, quindi reinstallare tutti i sistemi operativi quando hai finito ... richiede tempo ma è l'unica "più sicura".

    
risposta data 20.11.2015 - 16:49
fonte

Leggi altre domande sui tag

Il Web peer-to-peer Dovrei inviare per e-mail i contenuti di un invio di moduli https