Forensics - Scannen Sie das Gastbetriebssystem (WinXP) und die Dateien vom Hostbetriebssystem (Win7 64) mit VMWare Player oder VirtualBox

1190
dr3x

Ich habe einen Windows XP-Laptop, der mit einem Virus infiziert wurde. Der Virus wurde entfernt, aber die Netzwerkverbindung wurde aufgebockt. Ich boote von einem USB-Schlüssel zu Ubuntu, um Dateien zwischen dem System und dem Netzwerk zu verschieben. Ich habe auch den VMWare-Konverter verwendet, um das System in eine virtuelle Maschine umzuwandeln, die ich jetzt auf einem Windows 7-64-Bit-Host ausgeführt habe. Die VM ist ziemlich gesperrt ; Ich möchte ihm keinen Zugriff auf das Netzwerk oder die Ressourcen auf dem Host gewähren, falls auf dem System unentdeckte Malware vorhanden ist. Ich möchte in der Lage sein, vom Host aus auf die virtuelle Gastfestplatte zuzugreifen und sie zu scannen. Sobald dies erledigt ist, können Sie Dateien vom Host aus der virtuellen Umgebung verschieben.

Gibt es eine Möglichkeit, mit VMWare Player oder VirtualBox vom virtuellen Host aus sicher auf die virtuelle Gastfestplatte zuzugreifen? Ich habe die Tools vom Gastbetriebssystem unter Player installiert.

Gibt es auch eine bessere Methode, ein vorhandenes System zu archivieren und zu analysieren als diese Methode? Ziel ist es, eine kontrollierte Umgebung für die Diagnose verschiedener Arten von Malware zu haben, anstatt ein für ein bisschen identisches Archiv der Quelle zu haben. Ich möchte in der Lage sein, das Netzwerk auf dem Gastbetriebssystem zu aktivieren und durch einen Sniffer zu leiten, um zu verstehen, wie die Exploits funktionieren.

Ich fasse zusammen, wonach ich suche:
1) Sofortige Lösung, um auf die VM-Festplatte zugreifen zu können, genauso wie ich auf das physische System von Ubuntu aus zugreifen kann, das von einem USB-Laufwerk aus läuft, um Dateien zu verschieben.
2) Sie können das virtuelle Laufwerk mit Virenprüfprogrammen auf dem Host scannen.
3) Langfristig sollte eine Technik entwickelt werden, um gefährdete Systeme sicher zu analysieren.

Vielen Dank!

1

2 Antworten auf die Frage

2
William Hilsum

Sicher ist eine schwierige Sache.

Denken Sie daran, dass alle Viren bis zur Ausführung nicht schädlich sind. Solange Sie nichts ausführen (und verwenden Sie zur Sicherheit auch nicht den Windows Explorer, da durch Klicken auf eine Datei eine Vorschau generiert werden kann und es technisch möglich ist, eine Virus - wenn das Anzeigeprogramm eine Sicherheitsanfälligkeit aufweist).

Befolgen Sie für Linux die folgenden Anweisungen : Sie können die erforderlichen Werkzeuge zum Anhängen einer VMWare-Festplatte (.VMDK-Datei) an das lokale Dateisystem extrahieren und erhalten. Sie können dann einen beliebigen Virenscanner verwenden und so scannen, als wäre es eine lokale Datei.

Für die zukünftige Verwendung würde ich persönlich entweder einen dedizierten Computer verwenden, der für diese Aufgabe bestimmt ist, oder eine neue VM einrichten und alles wie üblich installieren, einschließlich des Antivirus, und dann können Sie einfach weitere virtuelle Festplatten (oder physisch über USB-Pass) hinzufügen durch) und von einer VM scannen.

Hoffe das hilft.

Danke Wil, gut zu wissen, dass ich auch auf VMDK zugreifen kann, aber wenn ich nur von Linux aus auf die Laufwerke zugreifen wollte, könnte ich dies von Ubuntu aus tun, wenn ich von USB darauf boote.
Ich bin nicht mit Linux-basierten Scannern für Windows-Viren vertraut. Hast du irgendwelche Empfehlungen? ClamAV erscheint bei einer Suche. dr3x vor 13 Jahren 0
ClamAV ist der einzige, den ich auch kenne! William Hilsum vor 13 Jahren 0
0
Robert Ivanc

Unter Windows können Sie auch VMDKs mounten und dann einen Scan mit allen Antivirenprogrammen durchführen, die Sie möglicherweise bereits auf dem Hostsystem installiert haben.

Sie sollten vmware-mount im vmware-Ordner unter Programmdateien finden.

vmware-mount [Laufwerksbuchstabe]: [Pfad zu vmdk] [Optionen]

Verwandte Probleme