Vorrei sapere se esiste un modo per eseguire un file eseguibile assolutamente sconosciuto senza essere compromesso, anche se il file contiene molto codice dannoso. Esiste un programma in cui posso eseguirlo senza correre alcun rischio?
Se vuoi davvero che la cosa più vicina sia un modo sicuro al 100% di eseguire malware:
Crea un account con Amazon Web Services, accendi un server ma non collegarlo a nulla (leggi: mettilo nel suo VPC own ) e fai la tua analisi lì. Brucia dopo l'analisi.
Nota a margine: ci sono alcune AMI pre-create in "Ec2 Market Place" che hanno già caricato strumenti di analisi del malware su di loro se hai voglia di divertirti.
does this guarantee 100 percent protection?
No. Mai. Mai e poi mai e poi mai. Periodo.
Il 100% di garanzie semplicemente non esistono nel mondo reale. Se vuoi un esempio di cosa potrebbe avvicinarsi al 100%:
Ora ci sono cose che puoi fare per mitigare il rischio. Cose come l'esecuzione in una VM (come Amazon Web Service Hollowproc consiglia) sono potenti strumenti per ridurre strongmente il rischio. Anche pulire l'hard disk dopo l'uso è utile. Tuttavia, non esiste una garanzia del 100%.
Per un esempio di questo, considera Stuxnet. Stuxnet è tristemente noto per aver attaccato una struttura di arricchimento nucleare attraverso un airgap ! Non è stato facile, ma è successo.
Una soluzione migliore sarebbe quella di non aprire un file se non puoi dire qualcosa su quanto è sicuro.
Un'altra cosa da considerare, è se questo programma tenterà di replicare, perdere dati o fare altri danni sulla rete. Per evitare che ciò si verifichi, ti consiglio di utilizzare una macchina virtuale. Prestare attenzione a rimuovere l'accesso host (oa volte chiamato condivisione file ospite / ospite) e rimuovere qualsiasi interfaccia di rete virtuale prima di eseguire il programma nella VM. I buoni hypervisor VM dovrebbero fornire una protezione ragionevole per i dati e l'hardware sull'host VM, ma se si è veramente preoccupati di ciò, considerare l'esecuzione in una VM su host VM dedicato e non in rete.
Controlla anche sandboxie , è fondamentalmente inteso per l'esecuzione di programmi non attendibili in isolamento. Ciò non impedisce tuttavia al programma di realizzare connessioni di rete.
Escludendo gli attacchi a livello NSA che alterano il firmware del disco rigido e simili, esiste una soluzione relativamente semplice ed economica.
Ciò consente di eseguire il codice nella configurazione normale, localmente (senza rete) e di essere certi che nessun danno arriverà alla macchina o ai dati. Potresti comunque essere colpito da un attacco mirato che utilizza qualcosa come l'exfiltrazione basata su fan, ma se sei solo preoccupato per il ransomware, lo spyware o un virus, il metodo di copia e ripristino è molto efficace.
Usa questa routine su un computer $ 100 extra (refurb su newegg o ebay) se l'EXE ha bisogno di internet.
Non puoi.
Se si utilizza una soluzione di virtualizzazione a livello di sistema operativo (sandbox, container, selinux), il malware può utilizzare l'exploit di escalation dei privilegi locali. Se si utilizza la virtualizzazione dell'hardware, il malware può sfruttare le vulnerabilità dell'hypervisor (e di altri software sottostanti tra cui sistema operativo, bios e firmware (molti dispositivi hanno firmware pronti a essere resi disponibili, questo consente la creazione di rootkit estremamente persistenti) e di errore come RowHammer. Se si utilizza un emulatore, il malware può provare a sfruttare una vulnerabilità nell'emulatore.
Quindi è necessaria una macchina fisica separata e se è necessario analizzare automaticamente i binari è necessario che il software sulla macchina di analisi non sia vulnerabile.
Ora dimentica tutto quanto scritto sopra perché non è uno scenario di vita reale (a meno che tu non sia un obiettivo di alto valore per le agenzie di intelligenza). Una soluzione di virtualizzazione dell'hardware (ad esempio QubesOS) dovrebbe essere sufficiente, se la si taglia dai dispositivi (nessun passthrough OpenGL, nessun passthrough PCI, nessun passthrough USB, nessun accesso allo storage, ecc ...)
Leggi altre domande sui tag malware virus file-system