web-dev-qa-db-fra.com

Comment les pirates professionnels doivent-ils tester leurs propres malwares / virus sans nuire à leur propre ordinateur?

Hier, j'ai commencé quelques tutoriels de piratage sur http://xeushack.com/tatudials/ par curiosité. J'ai utilisé l'application Android pour lire les différents articles sur différentes façons de "pirater". L'auteur a clairement indiqué que certains d'entre eux ne devraient pas se reproduire, car ils nuiraient essentiellement à l'ordinateur, tel que la célèbre bombe à glissière et Bombe de fourche ou même Dossier Blaster .

Donc, je me demande quel serait le meilleur moyen pour moi de reproduire ces "malwares" sans faire de mal à mon propre ordinateur. Mais je suis également intéressé à trouver une façon de pouvoir utiliser pour de nombreux types de tests/de changements de logiciels malveillants/virus.

La première solution qui me vient à l'esprit consiste à utiliser une machine virtuelle, de sorte que je puisse prendre un instantané du VM une fois installé et faire quoi que ce soit sur elle sans nuire au vrai système d'exploitation. Mais je ne sais pas avec certitude s'il s'agit de la meilleure solution et même si ça va marcher ou non. Je suppose que ça le ferait, mais c'est une supposition.

6
Vadorequest

Comment les pirates professionnels doivent-ils tester leurs propres malwares/virus sans nuire à leur propre ordinateur?

Presque tous les logiciels malveillants, sinon tout, œuvres d'obscurité. Une fois que vous comprenez comment cela fonctionne et que vous avez la compétence appropriée, vous pouvez la vaincre assez facilement. Si c'est votre propre malware et virus, alors c'est vraiment simple: vous savez exactement quoi votre Les logiciels malveillants font et comment la vaincre, correct? Après tout, vous l'avez programmé.

Bien que oui, je suis d'accord en général avec l'utilisation d'une machine virtuelle, ce n'est pas 100%. Rien n'est 100%. Vous pouvez infecter vos propres machines, qu'ils soient en ligne ou hors ligne, et faites des choses intéressantes avec eux.

Vous pouvez observer comment les logiciels malveillants interagissent avec votre environnement grâce à de nombreuses méthodes différentes. Voici quelques exemples notables:

  1. Observation de toutes les modifications apportées au système de fichiers et/ou de disques durs.
  2. Observation de la mémoire
  3. Debuggers tels que OllyDbg, ou IDA Pro.
  4. Outils de capture de paquets de réseau tels que Wireshark.

Désactivez la connexion Internet de la machine virtuelle pour obtenir de meilleurs résultats

Tandis que d'autres parlent de logiciels malveillants "éventuellement échappant" le Virtual Machine, ce n'est pas très probable, bien que cela soit possible. Même si les logiciels malveillants pouvaient détecter qu'il fonctionne dans une machine virtuelle, cela n'aide pas beaucoup à moins que le logiciel malveillant self-destructs Lors de la détection d'un environnement virtuel.

Même si A VM n'est pas détecté, un morceau de logiciel malveillant pourrait simplement essayez pour échapper à cela en supposant que cela puisse Soyez là. Les méthodes pour empêcher les logiciels malveillants de détecter qu'il est à l'intérieur d'un VM peut ne pas fonctionner, à moins que ce soit le type qui s'auto-détruit lors de la détection.

En ce qui concerne les "attaques" que vous avez mentionnées, examinons les résultats d'eux, en supposant que vous puissiez supprimer les infections:

  1. Zip Bomb
    • Une fermeture à glissière, également connue sous le nom de fermeture à glissière de la mort ou de la bombe de décompression, est un fichier d'archive malveillant conçu pour planter ou rendre inutile le programme ou le système le lisant. Il est souvent utilisé pour désactiver le logiciel antivirus afin de créer une ouverture pour des virus plus traditionnels.
    • Après avoir retiré l'infection, la bombe à glissière gauche-derrière peut être annulée en supprimant les fichiers. Si vous avez fabriqué cela vous-même, faites simplement une routine de nettoyage. Si vous ne l'avez pas fait vous-même, faites simplement une routine de nettoyage. Si le programme fonctionne toujours de force, vous pouvez redémarrer.
    • Ne causera pas de problèmes physiques avec votre matériel.
  2. Fork Bomb
    • En informatique, une bombe à fourche (également appelée virus de lapin ou wabbit) est une attaque de déni de service dans laquelle un processus se reproduit continuellement pour appauvrir les ressources du système disponibles, provoquant la famine de ressources et le ralentissement ou le ralentissement du système.
    • Ne causera pas de problèmes physiques avec votre matériel.
  3. dossier blaster.
    • Même concept que la fermeture à glissière, mais avec le spam du dossier. Il suffit d'écrire une routine pour les supprimer.
    • Ne causera pas de problèmes physiques avec votre matériel.

Mieux encore, si vous avez un virtual testing environment, vous pouvez les supprimer automatiquement en enregistrant l'état d'une machine virtuelle avant l'infection et en le restant restauré après avoir terminé l'étude de la sortie. C'est la méthode la plus simple et la plus efficace de loin.

5
Mark Buffalo

Selon la façon dont le malware fonctionne, virtualisation peut être un moyen suffisant de la contenir. En exécutant les logiciels malveillants dans une machine virtuelle, il ne peut causer que des dommages à l'intérieur de la machine virtuelle et n'utilisez que ces ressources qui lui sont attribuées.

Cependant, il existe également des logiciels malveillants qui ne fonctionnent pas à l'intérieur d'un VM ou est dangereux même lorsqu'il est utilisé dans un. Dans ce cas, le seul moyen de tester est en utilisant du matériel de rechange.

2
Philipp

Certains logiciels malveillants ont la capacité de reconnaître quand c'est virtualisé et tenter de "penser en dehors de la boîte" en utilisant le plus intéressant des tactiques que j'ai vues ... parfois même d'essayer de contrôler le clavier. Le seul moyen de les tester véritablement est de configurer un ordinateur portable ou un ordinateur de bureau à air et de l'exécuter à ce sujet, puis réinstallez tout le système d'exploitation lorsque vous avez terminé ... Beaucoup de temps, mais le seul pari "plus sûr".

2
Chad Baxter