Forensics - Scannen Sie das Gastbetriebssystem (WinXP) und Dateien vom Host-Betriebssystem (Win7 64) mit VMWare Player oder VirtualBox

1

Ich besitze einen Windows XP-Laptop, der mit einem Virus infiziert war. Der Virus wurde entfernt, aber die Netzwerkverbindung wurde aufgebaut. Ich boote von einem USB-Stick zu Ubuntu, um Dateien zwischen dem System und dem Netzwerk zu verschieben. Ich habe auch den VMWare-Konverter verwendet, um das System in eine virtuelle Maschine zu konvertieren, die jetzt auf einem Windows 7 64-Bit-Host ausgeführt wird. Das VM ist ziemlich abgesperrt ; Ich möchte ihm keinen Zugriff auf das Netzwerk oder die Ressourcen auf dem Host gewähren, falls sich auf dem System unentdeckte Malware befindet. Ich möchte vom Host aus auf die virtuelle Festplatte des Gasts zugreifen und diese scannen können. und wenn dies erledigt ist, können Sie Dateien vom Host aus der virtuellen Umgebung verschieben.

Gibt es eine Möglichkeit, mit VMWare Player oder VirtualBox vom Host aus sicher auf die virtuelle Gastfestplatte zuzugreifen? Ich habe die Tools vom Gastbetriebssystem unter Player installiert.

Auch - gibt es eine bessere Methode zum Archivieren und Analysieren eines vorhandenen Systems als diese Methode? Zweck ist mehr, eine kontrollierte Umgebung für die Diagnose verschiedener Arten von Malware zu haben, als ein Stück für Stück identisches Archiv der Quelle. Ich möchte in der Lage sein, das Netzwerk auf dem Gastbetriebssystem einzuschalten und es durch einen Sniffer zu leiten, um zu verstehen, wie die Exploits funktionieren.

Um zusammenzufassen, wonach ich suche:
1) Sofortige Lösung, um auf die VM-Festplatte zugreifen zu können, genau wie ich auf das physische System von Ubuntu zugreifen kann, das vom USB-Laufwerk aus ausgeführt wird, um Dateien zu verschieben.
2) Sie können das virtuelle Laufwerk mit Virenscan-Tools auf dem Host scannen.
3) Überlegen Sie sich langfristig eine Technik zur sicheren Analyse kompromittierter Systeme.

Vielen Dank!

dr3x
quelle

Antworten:

2

Sicher ist eine schwierige Sache.

Denken Sie daran, dass alle Viren erst nach ihrer Ausführung schädlich sind, solange Sie nichts ausführen (und aus Sicherheitsgründen nicht einmal den Windows Explorer verwenden, da durch Klicken auf eine Datei eine Vorschau erstellt werden kann und es technisch möglich ist, eine auszuführen Virus - wenn das Anzeigeprogramm eine Schwachstelle hat).

Befolgen Sie für Linux diese Anleitung - Sie können die Tools extrahieren und abrufen, die zum Bereitstellen einer VMWare-Festplatte (VMDK-Datei) im lokalen Dateisystem erforderlich sind. Sie können dann einen beliebigen Virenscanner verwenden und ihn wie eine lokale Datei scannen.

Für die zukünftige Verwendung würde ich persönlich entweder einen dedizierten Computer für diese Aufgabe verwenden oder eine neue VM einrichten und alles wie gewohnt installieren, einschließlich des Antivirus. Dann können Sie einfach zusätzliche virtuelle Festplatten hinzufügen (oder physisch über den USB-Pass durch) und scannen von einer VM.

Hoffe das hilft.

William Hilsum
quelle
Danke Wil, gut zu wissen, dass ich auch auf VMDK zugreifen kann, aber wenn ich nur in der Lage sein wollte, von Linux auf die Laufwerke zuzugreifen, könnte ich das von Ubuntu aus tun, wenn ich von USB darauf boote. <br/> Ich bin nicht mit Linux-basierten Scannern vertraut, die auf Windows-Viren abzielen. Hast du irgendwelche Empfehlungen? ClamAV taucht bei einer Suche auf.
dr3x
ClamAV ist der einzige, den ich kenne!
William Hilsum
0

Unter Windows können Sie auch VMDKs einbinden und anschließend einen Scan mit einem eventuell bereits auf dem Hostsystem vorhandenen Antivirenprogramm ausführen.

Sie sollten vmware-mount im Ordner vmware unter den Programmdateien finden.

vmware-mount [Laufwerksbuchstabe:] [Pfad-zu-vmdk] [Optionen]

Robert Ivanc
quelle