Come faccio a eseguire un file .exe sconosciuto senza essere a rischio [duplicato]

4

Vorrei sapere se esiste un modo per eseguire un file eseguibile assolutamente sconosciuto senza essere compromesso, anche se il file contiene molto codice dannoso. Esiste un programma in cui posso eseguirlo senza correre alcun rischio?

    
posta Tomas 08.09.2016 - 16:15
fonte

5 risposte

6

Se vuoi davvero che la cosa più vicina sia un modo sicuro al 100% di eseguire malware:

Crea un account con Amazon Web Services, accendi un server ma non collegarlo a nulla (leggi: mettilo nel suo VPC own ) e fai la tua analisi lì. Brucia dopo l'analisi.

Nota a margine: ci sono alcune AMI pre-create in "Ec2 Market Place" che hanno già caricato strumenti di analisi del malware su di loro se hai voglia di divertirti.

    
risposta data 08.09.2016 - 16:29
fonte
5

does this guarantee 100 percent protection?

No. Mai. Mai e poi mai e poi mai. Periodo.

Il 100% di garanzie semplicemente non esistono nel mondo reale. Se vuoi un esempio di cosa potrebbe avvicinarsi al 100%:

  • Acquista una macchina nuova di zecca. Mettilo su un potere isolato. Metti l'eseguibile su di esso
  • Disconnettilo dalla rete.
  • Esegui il programma
  • Non guardare i risultati (potresti essere tentato di agire su di loro, superando la garanzia del 100%. Per tutti quelli che conosci i risultati potrebbero ipnotizzarti nell'assassinio del tuo cane)
  • Spegni il computer.
  • Metti il computer in un cippatore di legno
  • Raccogli poi i resti e versali in una fonderia di acciaio a. la. Terminator 2

Ora ci sono cose che puoi fare per mitigare il rischio. Cose come l'esecuzione in una VM (come Amazon Web Service Hollowproc consiglia) sono potenti strumenti per ridurre strongmente il rischio. Anche pulire l'hard disk dopo l'uso è utile. Tuttavia, non esiste una garanzia del 100%.

Per un esempio di questo, considera Stuxnet. Stuxnet è tristemente noto per aver attaccato una struttura di arricchimento nucleare attraverso un airgap ! Non è stato facile, ma è successo.

Una soluzione migliore sarebbe quella di non aprire un file se non puoi dire qualcosa su quanto è sicuro.

    
risposta data 08.09.2016 - 22:26
fonte
1

Un'altra cosa da considerare, è se questo programma tenterà di replicare, perdere dati o fare altri danni sulla rete. Per evitare che ciò si verifichi, ti consiglio di utilizzare una macchina virtuale. Prestare attenzione a rimuovere l'accesso host (oa volte chiamato condivisione file ospite / ospite) e rimuovere qualsiasi interfaccia di rete virtuale prima di eseguire il programma nella VM. I buoni hypervisor VM dovrebbero fornire una protezione ragionevole per i dati e l'hardware sull'host VM, ma se si è veramente preoccupati di ciò, considerare l'esecuzione in una VM su host VM dedicato e non in rete.

Controlla anche sandboxie , è fondamentalmente inteso per l'esecuzione di programmi non attendibili in isolamento. Ciò non impedisce tuttavia al programma di realizzare connessioni di rete.

    
risposta data 08.09.2016 - 19:52
fonte
1

Escludendo gli attacchi a livello NSA che alterano il firmware del disco rigido e simili, esiste una soluzione relativamente semplice ed economica.

  • Acquista un disco rigido extra che includa una sorta di software gratuito "clone" o "migrazione" o una pen drive avviabile "riparabile" di Linux.
  • Clona il disco rigido del sistema nella nuova unità, quindi scollega la nuova unità.
  • Scollega la sorgente Internet (router, modem, ecc.) per interrompere la filtrazione
  • Installa / esegui il tuo EXE non affidabile quanto necessario.
  • Riavvia e pulisci il disco rigido principale da una pen drive avviabile.
  • Clona la copia nuovamente nella casella principale e riavvia.

Ciò consente di eseguire il codice nella configurazione normale, localmente (senza rete) e di essere certi che nessun danno arriverà alla macchina o ai dati. Potresti comunque essere colpito da un attacco mirato che utilizza qualcosa come l'exfiltrazione basata su fan, ma se sei solo preoccupato per il ransomware, lo spyware o un virus, il metodo di copia e ripristino è molto efficace.

Usa questa routine su un computer $ 100 extra (refurb su newegg o ebay) se l'EXE ha bisogno di internet.

    
risposta data 08.09.2016 - 21:45
fonte
0

Non puoi.

Se si utilizza una soluzione di virtualizzazione a livello di sistema operativo (sandbox, container, selinux), il malware può utilizzare l'exploit di escalation dei privilegi locali. Se si utilizza la virtualizzazione dell'hardware, il malware può sfruttare le vulnerabilità dell'hypervisor (e di altri software sottostanti tra cui sistema operativo, bios e firmware (molti dispositivi hanno firmware pronti a essere resi disponibili, questo consente la creazione di rootkit estremamente persistenti) e di errore come RowHammer. Se si utilizza un emulatore, il malware può provare a sfruttare una vulnerabilità nell'emulatore.

Quindi è necessaria una macchina fisica separata e se è necessario analizzare automaticamente i binari è necessario che il software sulla macchina di analisi non sia vulnerabile.

Ora dimentica tutto quanto scritto sopra perché non è uno scenario di vita reale (a meno che tu non sia un obiettivo di alto valore per le agenzie di intelligenza). Una soluzione di virtualizzazione dell'hardware (ad esempio QubesOS) dovrebbe essere sufficiente, se la si taglia dai dispositivi (nessun passthrough OpenGL, nessun passthrough PCI, nessun passthrough USB, nessun accesso allo storage, ecc ...)

    
risposta data 08.09.2016 - 22:13
fonte

Leggi altre domande sui tag