Forensics - сканирование гостевой ОС (WinXP) и файлов с хост-ОС (Win7 64) с помощью VMWare Player или VirtualBox

1124
dr3x

У меня ноутбук с Windows XP, зараженный вирусом; вирус был удален, но подключение к сети было нарушено. Я загружаюсь в Ubuntu с USB-ключа для перемещения файлов между системой и сетью. Я также использовал конвертер VMWare для преобразования системы в виртуальную машину, которую я сейчас запустил на 64-битном хосте Windows 7. VM довольно заблокирован ; Я не хочу предоставлять ему доступ к сети или ресурсам на хосте в случае обнаружения в системе неизвестного вредоносного ПО. Я хотел бы иметь возможность получить доступ к гостевому виртуальному жесткому диску с хоста и сканировать его; и как только это будет сделано, вы сможете перемещать файлы из виртуальной среды с хоста.

Есть ли способ безопасного доступа к гостевому виртуальному жесткому диску с хоста с помощью VMWare Player или VirtualBox? У меня есть инструменты, установленные из гостевой ОС под Player.

Кроме того, есть ли лучший способ архивирования и анализа существующей системы, чем этот метод? Цель состоит в том, чтобы иметь возможность иметь контролируемую среду для диагностики различных типов вредоносных программ, а не иметь немного идентичный архив источника. Я хочу иметь возможность включать сеть на гостевой ОС и маршрутизировать ее через сниффер, чтобы понять, как работают эксплойты.

Напомним, что я ищу:
1) Немедленное решение, позволяющее получить доступ к жесткому диску виртуальной машины так же, как я могу получить доступ к физической системе из Ubuntu, работающей с USB-диска, для перемещения файлов.
2) Уметь сканировать виртуальный диск с помощью инструментов антивирусного сканирования на хосте.
3) В долгосрочной перспективе придумать методику безопасного анализа скомпрометированных систем.

Спасибо!

1

2 ответа на вопрос

2
William Hilsum

Безопасно это сложная вещь.

Помните, что все вирусы не наносят вреда до тех пор, пока не будут выполнены, поэтому до тех пор, пока вы ничего не запускаете (и в целях безопасности даже не используйте Проводник Windows, так как нажатие на файл может создать предварительный просмотр и технически возможно выполнить вирус - если программа просмотра имеет уязвимость).

Для Linux следуйте этому руководству. Вы можете извлечь и получить инструменты, необходимые для монтирования жесткого диска VMWare (файл .VMDK) в локальную файловую систему. Затем вы можете использовать любой антивирусный сканер и сканировать его как локальный файл.

Для будущего использования я бы лично использовал выделенный компьютер для этой задачи или настроил новую виртуальную машину и установил все как обычно, включая антивирус, а затем вы можете просто добавить дополнительные виртуальные жесткие диски (или физические, используя USB-порт). через) и сканирование с ВМ.

Надеюсь это поможет.

Спасибо Уилу, приятно знать, что я также могу получить доступ к VMDK, но если бы я просто хотел получить доступ к дискам из Linux, я мог бы сделать это из Ubuntu, когда я загружаюсь с USB.
Я не знаком со сканерами на базе Linux, предназначенными для вирусов Windows; У вас есть какие-нибудь рекомендации? ClamAV подходит к поиску. dr3x 13 лет назад 0
ClamAV - единственный, кого я знаю! William Hilsum 13 лет назад 0
0
Robert Ivanc

В Windows вы также можете смонтировать VMDK, а затем запустить сканирование любым антивирусом, который у вас уже есть в хост-системе.

вы должны найти vmware-mount в папке vmware в папке программных файлов.

vmware-mount [буква_диска:] [путь к vmdk] [параметры]

Похожие вопросы