Il mio software antivirus ha rilevato un EXE scaricato da Internet come infetto dal virus Malwr.Heur.MSILPerseus. L'ha messo in quarantena. Tuttavia, volevo decompilare & studia il suo codice Sarà sicuro decompilare l'EXE utilizzando Telerik JustDecompile per visualizzarne il codice sorgente?
Questo dipende da quanto avanzato è il malware. Molto probabilmente sarà sicuro, anche se potrebbe essere molto offuscato e difficile da capire in un decompilatore. C'è una piccola possibilità che sia intenzionalmente progettato per funzionare correttamente su hardware reale, ma sfruttare un bug per uscire da sandbox o ottenere privilegi extra su un decompilatore. Se stai semplicemente chiedendo se un decompilatore deve eseguire un programma per decompilarlo, no non lo fa. È, in teoria, completamente sicuro.
Sì e no. teoricamente sarebbe sicuro, ma non è l'ideale.
Il virus potrebbe avere exploit appositamente predisposti per questo decompilatore (o anche ILDASM) - anche se le probabilità sono ridotte, possono sfuggire alla sandbox (come dichiarato da anon).
C'è una piccola possibilità che non venga offuscato dal momento che alcuni tipi di offuscamento possono innescare l'anti-virus della vittima.
Lo scenario più sicuro sarebbe quello di aprirlo tramite una VM senza connessione a Internet. Ma di nuovo, se sei DAVVERO paranoico e non ti fidi di sandbox / vms, beh, speriamo che ci siano dei computer in giro.
Non sono sicuro che sia possibile eseguire il debug con justdecompile di telerik, ma è possibile farlo con dnSpy. Quindi, fai attenzione: non premere il pulsante di debug lucido a meno che non l'abbia analizzato attentamente.
Leggi altre domande sui tag source-code malware code-execution