Qual è il modo migliore per eseguire la scansione di un'unità esterna potenzialmente infetta in Debian?

-1

Prima di tutto mi dispiace davvero per il mio inglese. Non è affatto perfetto. Sentiti libero di fare riferimento a questo nei tuoi commenti futuri se ti piace troppo o, se potresti essere così gentile da farlo, ignoralo. (-:

In secondo luogo, non sono abbastanza sicuro se questo è il posto migliore per rispondere alle mie domande. Nel caso in cui non sia, per favore aiutami a trovare quello migliore.

In terzo luogo, sono totalmente nuovo qui e leggerò tutto sulle regole ecc. ma ora ho una situazione difficile qui e le puntate potrebbero essere alte per me, quindi non ho tempo per farlo prima di chiedere tutto te.

Per favore, anche io ho un background puramente teorico / analitico e ho giocato a tutto ciò che la tecnologia dell'informazione ha fatto da molto breve (per essere onesti, solo pochi mesi). Quindi la mia unica arma per ora è la logica, la mente aperta (come sono capace a) e la pazienza.

La situazione.

Ho un'unità esterna per i miei soliti file non importanti di tutti i giorni (musica, foto, file di testo preferiti ecc.), partizionati in Windows OS. Ieri ho inviato a qualcuno alcuni documenti: eravamo soliti conversare su un sito http in cui le persone erano solite avere un tale tipo di conversazioni. Mi ha risposto che tutti sono infetti (ha scansionato i file con il software) e non li aprirà. "Buona scelta", pensai. Ho chiesto i log dal suo antivirus, ma lei non può inviarmi.

Quindi di seguito descrivo scenari che posso immaginare:

1) Mi ero infettato prima che la conversazione fosse iniziata (spero di no);

2) Alcuni UFO, NSA, GRU o altre persone cattive con tutti i loro feticci e colori dei loro cappelli hanno infettato i miei file da qualche parte nel mezzo della strada dal mio ospite a lei (trovato qualcosa qui: link );

3) Mi ha mentito;

Indipendentemente dalla terza opzione, probabilmente dovrei prendere sul serio questa situazione.

Forse ci sono altre possibilità e forse potresti aiutarmi a investigarle ma, in realtà, non è questo il caso, penso (almeno del mio interesse ora), perché non sto facendo analisi forensi e qualsiasi altra cosa come quella . Sono solo molto preoccupato per i miei computer.

Quindi la mia domanda principale rimane qual è il modo migliore per eseguire la scansione di un'unità esterna potenzialmente infetta (ntfs) in Debian Stretch?

Purtroppo avevo usato quel drive sh! t sul mio Debian principale poco prima della conversazione - Ho letto i miei file.

E sfortunatamente ho eseguito il mio live debian anche con quella unità collegata (e ho controllato la mia posta sicura probabilmente su), quindi nel caso di keylogger ecc. Sono anche perso, suppongo.

Quindi quello che voglio fare è controllare la mia unità esterna. Successivamente probabilmente dovrei controllare i miei due host debian (uno senza gui) e infine il mio live debian (magari anche cambiare tutte le password, incluse le partizioni crittografate lvm ecc.). Quindi la mia domanda è qual è il modo migliore (non necessario il più veloce e il più semplice) per pulire tutto questo. Ovviamente vorrei distruggere tutto e costruire da zero - e sono pronto a farlo - ma questo non è il modo più elegante di fare le cose per me. E forse questo è un buon momento per andare oltre e imparare alcune cose più importanti.

Ho letto di clamav ma ho riavuto le mie dita dal mouse dopo aver visto alcune stringhe amazon (?) collegate al sito principale.

E mi chiedo (per un uso futuro) se c'è un modo sicuro per aprire file sospetti nel, per esempio, un qualche tipo di laboratorio come completamente (fisicamente) isolato (forse crittografato come le mie partizioni lvm debian, per esempio ) posto sul hd o qualcosa del genere. Probabilmente il modo migliore sarebbe avere un host senza firmware wifi per fare quel tipo di cose. Sono consapevole di VM, ma questo non sembra abbastanza sicuro per me e la mia CPU non supporta la virtualizzazione, quindi fare due virtualizzazioni (una per potenziare la CPU e un'altra per l'host) sembra essere un po 'strana per me.

Grazie mille in anticipo!

Cordiali saluti!

    
posta merlenoir 16.01.2018 - 21:26
fonte

1 risposta

1
  1. Se i file non sono sensibili, puoi caricarli su VirusTotal . Questo eseguirà un paio di dozzine di prodotti AV su di loro contemporaneamente. È abbastanza improbabile che tutto ciò che avrebbe fatto scattare l'AV del tuo corrispondente non venga catturato in questa scansione.
  2. ClamAV è uno scanner AV decente (progettato principalmente per l'uso del server di posta) ma ha un numero leggermente inferiore di firme (nella mia esperienza) rispetto agli AV commerciali. Inoltre, AFAIK, non ha capacità di rilevamento euristico.
  3. Se stai usando Debian, è abbastanza improbabile che il malware possa avere alcun effetto su di te. La vasta maggioranza di malware prende di mira le applicazioni Windows e Windows, per ovvi motivi.
  4. Ti sei perso alcune altre opzioni, come l'errore (non mentire) da parte sua, oi file che si infettano sul suo computer prima di esaminarli.
risposta data 16.01.2018 - 22:02
fonte

Leggi altre domande sui tag