L'idea di VM-sandbox è una buona idea per testare i virus? [duplicare]

4

Vuoi vedere alcuni virus, quindi usi qualcosa come VirtualBox per creare un ambiente sandbox. Ma cosa succede se cambiamo molto quell'ambiente? Cosa succede se:

FASE UNO: Creare un'unità flash / disco rigido avviabile con una distribuzione Linux su di esso, negare l'autorizzazione dell'unità flash / disco rigido avviabile per accedere al disco rigido principale e negare l'accesso al disco rigido principale all'unità flash avviabile / disco rigido. In altre parole, non lasciare che il disco rigido principale installato e l'avviabile parlino e scrivano l'un l'altro.

PASSO DUE: installare VirtualBox e creare una sandbox con esso nella distro Linux sull'unità flash / disco rigido avviabile e non collegarlo affatto alla rete.

È un modo sicuro per eseguire un virus per analizzarlo? Ti piace un sistema operativo in una macchina virtuale in un sistema operativo in un'unità flash / disco rigido avviabile nel tuo computer? Funzionerà perché il dispositivo di avvio verrà cancellato al riavvio?

    
posta Henry WH Hack v2.1.2 30.12.2015 - 00:47
fonte

1 risposta

4

Queste sono buone idee ma garantire che il sistema nel primo passaggio non sia scrivibile può essere una sfida.

Altre cose che potresti voler considerare è il potenziale rischio di una infezione del BIOS per l'host dell'hypervisor nella remota possibilità che tu abbia a che fare con qualcosa di avanzato.

Allo stesso modo tutti i dispositivi collegati possono essere vettori per l'infezione, pensate a BAD USB che infetta tutti i dispositivi USB condivisi. Avrei una preoccupazione su questo nella tua configurazione più di ogni altra cosa.

link

Un'alternativa potrebbe essere quella di dedicare un computer a questa attività e sfruttare i CD / DVD avviabili per il tuo sistema operativo di base e non avere alcun disco rigido. Quindi utilizzare una seconda unità CD / DVD dedicata per importare i dati da analizzare tramite dischi CD / DVD-rw. Opzionalmente potrebbe essere necessario trattarli come sporchi, a meno che non sia possibile cancellarli in modo forense.

Ancora una volta, penso che tu abbia una buona idea, ma prenderei seriamente in considerazione i rischi a lungo termine di un'infezione da BIOS e potenziali infezioni del bus dati per cose come dispositivi USB, Firewire, Thunderbolt, ecc ...

Ovviamente non si desidera alcuna connessione di rete e, se possibile, nessuna connessione wireless, incluse cose come il bluetooth. Volete pensarlo più come una stazione di lavoro forense, se possibile.

Infine, potresti anche voler avere una falsa connessione di rete virtuale in modo che la macchina non sembri una stazione di lavoro forense per il malware.

Nota: penso che tu possa fare tutto questo a buon mercato, quindi potresti provare diversi metodi finché non trovi ciò che funziona meglio per te, ma ho detto che penso che tu abbia una buona idea per le cose di base che vorrei prendere in considerazione i problemi che ho citato sopra.

    
risposta data 30.12.2015 - 01:52
fonte

Leggi altre domande sui tag