Hvordan undersøger jeg en mistænkelig fil sikkert ?
|
05-08-2019, 10:59
|
|||
|
|||
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Hvis jeg henter en fil som jeg måske mistænker for at indeholde virus eller måske en RAT eller lign, hvordan finder jeg ud af det på en sikker måde ?
Jeg har en ide om at jeg kan installere en Virtual maskine og så downloade den mistænksomme fil til min VM. Men kan min VM forhindre at virusen eller RAT'en slipper ud af min VM og inficere mine andre enheder på mit netværk ? |
|||
05-08-2019, 14:32
|
|||
|
|||
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Du skal bruge en sandbox
|
|||
05-08-2019, 14:47
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Som du selv og M_ten er inde på, så er dit bedste bud en VM - og lad vær med at koble den på dit netværk.
|
|||
05-08-2019, 16:25
(Denne besked var sidst ændret: 05-08-2019, 16:27 af PowerString.)
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(05-08-2019, 14:32)M_ten Skrev: Du skal bruge en sandbox Sandbox og virtuelmaskine er det, det samme ? (05-08-2019, 14:47)therma Skrev: Som du selv og M_ten er inde på, så er dit bedste bud en VM - og lad vær med at koble den på dit netværk. Kan det passe at det er noget med at vælge mellem "NatNetwork" eller "Bridge Adaptor" i netværksindstillingerne for den virtuellemaskine ? |
|||
05-08-2019, 18:28
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Kør den igennem https://virustotal.com/ eller en anden side; der tjekker de ikke kun AV længere, men også hvad filen gør, når den bliver kørt.
pensioneret hacker dreng
|
|||
05-08-2019, 19:41
|
|||
|
|||
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Men hvis det er custom virus kan det godt komme forbi virustotal
|
|||
06-08-2019, 15:02
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(05-08-2019, 16:25)Sp2005 Skrev: Sandbox og virtuelmaskine er det, det samme ? I dette sammenhæng, ja - der er sandbox og virtuel maskine det samme. Hvis du vælger NATNetwork, laver den et nyt IP segment, og kobler det på dit netværk. Så hvis din nuværende interne IP f.eks. er 192.168.1.0/24, så vil NATNetwork være et andet. F.eks. 192.168.10.0/24. Så det 2 computere kan ikke se hinanden(i hvert fald ikke bare lige - men så kommer vi noget dybere ind i netværk ;)) Bridge Adapter så bruger den samme netkort som din computer og din virtuelle maskine, vil få en IP på samme netværk. Så du vi enten brugeg NATNetwork eller slet ingen ting(det kræver nogen gange men opretter et VNET uden forbindelse). Men det kommer an på hvilken udbyder du har valgt til at hoste din VM på. Hyper-V, VMware, VirtualBox etc. |
|||
06-08-2019, 15:29
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(06-08-2019, 15:02)therma Skrev: I dette sammenhæng, ja - der er sandbox og virtuel maskine det samme. Tak for svaret :) Jeg bruger VirtualBox og tænker jeg nok må bruge NATnetwork :) |
|||
07-08-2019, 15:00
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Den sikreste metode er at decompile/disassemble. Så kan du se hvad filen gør, uden at skulle køre den. Det er så bare væsentligt mere besværligt end sandboxing.
|
|||
07-08-2019, 16:37
|
|||
|
|||
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ? | |||
|
User(s) browsing this thread: 1 Gæst(er)