Quali sono i pro e i contro dell'utilizzo di CD live vs VM per l'analisi del malware?

Naviga le tue risposte
0

Ho intenzione di fare qualche ricerca sul malware per un progetto di ricerca, e mi chiedevo quale sarebbe stata una soluzione migliore per tenere il mio sistema al sicuro da virus che lo infettano accidentalmente. Sto solo pianificando di analizzare i binari, non di eseguirli, ma potrebbe verificarsi un clic errato. Dovrei provare a fare questa analisi in una VM? Dovrei usare un avvio Live CD / Live USB (con qualche tipo di sistema operativo forense come Kali )? So che alcuni virus possono uscire dai VM, quindi renderebbe l'approccio del Live CD migliore? O ci sono altre cose che non sto considerando che rende la VM un approccio migliore?

    
posta John Montgomery 18.02.2014 - 03:12
fonte

3 risposte

1

Le due principali cose che vengono in mente sono le minacce che possono comprometterti quando li usi. In entrambi i casi, le minacce sono piuttosto rare.

Per una VM, la principale minaccia per il tuo sistema è un virus che è in grado di sfruttare l'hypervisor. Un tale virus sarebbe in grado di sfuggire alla VM e infettare il sistema. Le macchine virtuali hanno anche il vantaggio di essere in grado di fare un confronto più stretto con il cambiamento di stato causato dal virus per determinare esattamente cosa fa.

Per un CD live, un tale virus sarebbe un virus residente nell'hardware che è in grado di corrompere l'hardware in modo tale da sopravvivere a un riavvio nel tuo ambiente normale e quindi in grado di diffondersi.

È improbabile che entrambi siano problemi da tutti tranne i migliori attaccanti, tuttavia, un virus residente nell'hardware è una minaccia molto più grande (se molto più rara) di qualsiasi virus software poiché sarebbe praticamente impossibile da rimuovere. Per questo motivo, preferirei personalmente le VM, tuttavia l'individuo più veramente paranoico potrebbe utilizzare una VM che esegue un CD live.

    
risposta data 18.02.2014 - 05:24
fonte
1

Puoi analizzarli in un sistema operativo incompatibile. Nulla dice che devi studiare un virus Windows su un computer Windows. Ciò mantiene più basso il rischio di infezioni accidentali dell'ambiente di test.

Ho testato alcuni malware in una macchina virtuale senza effetti negativi, ma la mia esperienza è limitata a un codice non molto aggressivo. Suppongo che sia possibile che tu possa commettere un errore e infettare il tuo ospite. Il codice destinato ad attaccare un dispositivo USB specifico potrebbe anche superare i limiti.

Un LiveCD è anche una buona scelta. Configuralo per essere bloccato in scrittura in modo che non monti supporti scrivibili a meno che tu non lo dica esplicitamente.

    
risposta data 18.02.2014 - 04:26
fonte
1

I was wondering what would be a better option for keeping my system safe from viruses accidentally infecting it. I'm only planning on analyzing the binaries, not running them

Per riassumere la risposta semplice: Ottieni un editor esadecimale o qualsiasi altro strumento che prevedi di utilizzare su uno smartphone o tablet NON-Windows basato su ARM per analizzare il malware binario di Windows x86.

Le opzioni più complesse:

  • Guarda l'applicazione (malware) che non vuoi eseguire su un processore che non utilizza lo stesso codice macchina in primo luogo; Guardate un eseguibile ARM o Power su un PC, guardate un virus x86 o x64 su un chip Power o ARM, guardate qualsiasi cosa stampata su carta.

    • Fai attenzione alle applicazioni multipiattaforma (malware) come Javascript, Java, Flash e simili.

  • Come ha detto John Deters, (anche) utilizzare un sistema operativo su cui non sono in esecuzione.

    • Ancora una volta, fai attenzione alle applicazioni multipiattaforma (malware) come Javascript, Java, Flash e simili.

  • Non ci sono dispositivi che possono infettare, ovvero avere il virus su un CD-ROM di sola lettura e avviare da un LiveCD su una macchina con due unità x-ROM, una per il sistema operativo e una per il malware , o usa un LiveCD su una x-ROM che può essere rimossa facilmente in seguito (forse Puppy Linux o Parted Magic, probabilmente anche Kali funziona)

    • DOPO aver rimosso dalla macchina tutti i dischetti, i dischi rigidi, le chiavette USB, le unità esterne, le X-RW ecc.
    • DOPO aver verificato che sia il LiveCD che l'x-ROM siano pieni al 100%, in particolare nel caso di Puppy Linux
    • DOPO fare del tuo meglio per assicurarti che il malware che stai utilizzando non possa infettare il BIOS (o almeno non sul sistema su cui lo stai utilizzando.

  • In alternativa, se sei veramente paranoico e hai anche un budget limitato (o amici che aggiornano), usa una macchina usata del 100% usa e getta (preferibilmente da parti staccabili, antiche e inutili), rimuovi o distruggi tutto capacità di collegamento in rete e utilizzare le x-ROM per eseguire trasferimenti unidirezionali (tranne che per la stampa su una stampante usa e getta). Scrivi malware e strumenti di indagine su x-ROM, caricali nella macchina usa e getta,

    • Elimina la x-ROM dopo aver caricato
    • Sei autorizzato a stampare l'output. Nient'altro che carta, luce e frammenti provengono sempre da quella macchina di installazione.
    • Utilizza un martello sul disco rigido (s) dopo aver terminato.
    • Triple-bag in buste a chiusura lampo con uno strato di asciugamano economico in là; vuoi stare attento ai frammenti di vetro.
    • Usa il martello sul BIOS della scheda madre dopo aver terminato.
    • Se sei veramente paranoico, manda giù la stampante anche dopo aver finito!
    • Smaltisci tutto dopo aver terminato.
    • Goditi i frutti della tua ricerca e la felicità di martellare una macchina infetta in rottami!

Essenzialmente, l'obiettivo paranoico è prevenire l'infezione e prevenire la diffusione dell'infezione che si presume di aver avuto nonostante l'impedimento.

    
risposta data 18.02.2014 - 05:36
fonte

Leggi altre domande sui tag

Vantaggio Autenticazione reciproca su PSK [duplicato] Qual è il significato dell'operazione "Cancellazione chiave"?