Una sessione live QEMU è meno sicura di una VM appropriata?

Naviga le tue risposte
4

Controllo spesso malware in VM QEMU e dopo aver testato alcuni malware in una VM, elimino la VM per motivi di sicurezza e anche il fatto che se voglio testare più malware, un ambiente pulito per iniziare sarebbe essere preferito.

Tuttavia l'installazione di un nuovo sistema operativo in una VM richiede parecchio tempo, in particolare Ubuntu e Fedora, quindi un'opzione più semplice sarebbe semplicemente quella di avviare direttamente da ISO e utilizzare una sessione live per uno di questi sistemi operativi.

Ma mi piacerebbe sapere, è in esecuzione una sessione live da un ISO in cui i dati possono essere riscritti ad esso e tenuti lì meno sicuro di installarlo correttamente su un disco rigido virtuale? C'è qualche differenza? La sessione live è meno sicura di quella corretta? O sono uguali e ugualmente sicuri per i test dei malware?

Il mio host è Arch Linux.

    
posta 22.03.2017 - 21:06
fonte

1 risposta

2

Il test da una sessione "live" VM potrebbe essere leggermente più sicuro, ma considerevolmente meno accurato.

Le sessioni live utilizzano un file system basato sulla RAM come SquashFS, aufs o UnionFS per simulare l'accesso in scrittura alla partizione primaria. Il malware può propagarsi scrivendo worm nel record di avvio principale del volume, che può essere simulato (e esaminato) da un volume qcow o un'immagine disco raw, ma è completamente assente in un filesystem ottico ISO-9660.

Se fossi in te, prenderei in considerazione la possibilità di creare immagini di "avvio" di vanilla Ubuntu / Fedora, quindi fare copie di quelle per testare il tuo malware.

Se sei paranoico in più che il malware potrebbe "scoppiare" nella sua VM, puoi assicurarti di eseguire QEMU come utente non privilegiato.

    
risposta data 22.03.2017 - 23:03
fonte

Leggi altre domande sui tag

Overflow del buffer sul server iniettando codice malevolo su file exe esistente: cosa succede veramente?