Esecuzione sicura di malware senza VM [chiuso]

0

Voglio eseguire un software non affidabile in un modo che può solo distruggere file appartenenti a quel software.

Credo che questo sia comune su GNU / Linux, ad es. eseguendo Apache come utente "www" che ha solo accesso in lettura per i suoi dati e accesso in lettura / scrittura per i suoi file temporanei.

Come faccio a ottenere lo stesso su Windows?

    
posta Cees Timmerman 07.12.2017 - 22:08
fonte

4 risposte

2

Non lo fai. Un utente Windows standard ha accesso a decine (centinaia se sono consentite app auto-installate) di protocolli automatici e gestori di file, i quali possono accedere a centinaia di chiavi di registro persistenti non documentate, attività pianificate e altre app che persistono e possono essere dirottate dalla DLL .

Poi c'è il UAC layer che ha dozzine di bypass, che portano all'escalation dei privilegi - oltre a centinaia se non migliaia di escalation di privilegi a livello di sistema attraverso cose come driver e motori scalari di font (troppo numerosi per elencare anche quanti metodi ci sono).

Una volta elevato, questo tipo di sconfigge l'intero scopo di questa conversazione, ma diventano disponibili la sottoscrizione WMI e molte altre tecniche di precauzione. È anche peggio quando il computer si trova su un dominio di Windows Server.

Potrei sostenere che non puoi anche ridurre i privilegi su un host Unix o Linux allo stesso modo, ma sembra che tu sia convinto che un singolo binario con permessi limitati sia in qualche modo in una sorta di sandbox. Non è. Anche in chroot, non lo è. Ho fatto una ricerca su Google per le fughe chroot e ci sono quasi 100k di hit.

    
risposta data 08.12.2017 - 14:05
fonte
2

Dipende dal malware che hai "sviluppato", la vera risposta è semplicemente NO. Ho visto il malware iniziare con i diritti degli utenti guest e passare all'amministrazione.

Se hai bisogno di una soluzione alternativa a una VM per eseguire Malware sul tuo PC con controlli PC completi e nessuna conseguenza è DeepFreeze .

Una volta installato, puoi eseguire qualsiasi cosa o eliminare qualsiasi cosa sul tuo PC. Avvia sempre il backup normale, come nel momento in cui hai installato DeepFreeze. Disabilita e tutte le modifiche sono scritte in modo permanente. Se abilitato, si avvierà sempre allo stato normale indipendentemente da ciò che fai, anche se elimini / system32 ..:)

    
risposta data 08.12.2017 - 16:26
fonte
0

Quindi, come hai creato questo "malware" se non conosci le cose di base?

Dipende da molti fattori: 1. Il tuo codice sorgente. Non siamo telepati, quindi non possiamo analizzare il tuo codice e darti una risposta. 2. Tutto su gruppo di utenti di questo utente e diritti. Se è solo un utente, che non può vedere altri file, quindi non può far male a nessuno tranne i suoi file.

A proposito, è tutto incentrato sul codice e penso che tu voglia usare solo degli script. Non sappiamo quale script, il tuo linguaggio di programmazione e molte altre cose che sono necessarie. Non puoi semplicemente digitare due simboli e dire al tuo malware di danneggiare solo un utente, è un'attività più complessa.

    
risposta data 08.12.2017 - 07:46
fonte
0

DropMyRights è stato sviluppato per XP e sembra fermare i virus. Potrei provare questo o il PsExec consigliato invece di vederlo che interrompono un file batch che tenta di sovrascrivi un file di testo nella cartella documenti di un normale account utente ...

Sembra che il modo più semplice per eseguire software senza leggere e scrivere i tuoi file è questo:

  1. Crea un nuovo utente standard
  2. Installa ShellRunas
  3. Esegui shellrunas /reg
  4. Fai clic destro sul file sospetto
  5. Fai clic su "Esegui come utente diverso ..."
  6. Accedi con il nuovo account utente.

Esempio utilizzando l'utente standard:

C:\WINDOWS\system32>whoami
pc\squee

C:\WINDOWS\system32>echo test > testSquee.txt
Toegang geweigerd.

C:\WINDOWS\system32>cd \Users\Squee

C:\Users\Squee>echo test > testSquee.txt

C:\Users\Squee>type testSquee.txt
test

C:\Users\Squee>echo test > C:\Temp\testSquee.txt

Nuovo utente per software non attendibile:

C:\WINDOWS\system32>whoami
pc\nny

C:\WINDOWS\system32>cd \Users\Squee
Toegang geweigerd.

C:\WINDOWS\system32>type \Users\Squee\testSquee.txt
Toegang geweigerd.

C:\WINDOWS\system32>type C:\Temp\testSquee.txt
test

C:\WINDOWS\system32>echo hi > C:\Temp\testSquee.txt

C:\WINDOWS\system32>type C:\Temp\testSquee.txt
hi

Non sembra molto sicuro, ma probabilmente è un ACL che eredita la scrittura per gli altri. Forse Sandboxie è l'opzione più infallibile.

    
risposta data 08.12.2017 - 13:15
fonte

Leggi altre domande sui tag