Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Hvordan undersøger jeg en mistænkelig fil sikkert ?
05-08-2019, 10:59
#1
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Hvis jeg henter en fil som jeg måske mistænker for at indeholde virus eller måske en RAT eller lign, hvordan finder jeg ud af det på en sikker måde ?
Jeg har en ide om at jeg kan installere en Virtual maskine og så downloade den mistænksomme fil til min VM. Men kan min VM forhindre at virusen eller RAT'en slipper ud af min VM og inficere mine andre enheder på mit netværk ?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-08-2019, 14:32
#2
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Du skal bruge en sandbox
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-08-2019, 14:47
#3
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Som du selv og M_ten er inde på, så er dit bedste bud en VM - og lad vær med at koble den på dit netværk.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-08-2019, 16:25 (Denne besked var sidst ændret: 05-08-2019, 16:27 af PowerString.)
#4
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(05-08-2019, 14:32)M_ten Skrev: Du skal bruge en sandbox

Sandbox og virtuelmaskine er det, det samme ?

(05-08-2019, 14:47)therma Skrev: Som du selv og M_ten er inde på, så er dit bedste bud en VM - og lad vær med at koble den på dit netværk.

Kan det passe at det er noget med at vælge mellem "NatNetwork" eller "Bridge Adaptor" i netværksindstillingerne for den virtuellemaskine ?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-08-2019, 18:28
#5
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Kør den igennem https://virustotal.com/ eller en anden side; der tjekker de ikke kun AV længere, men også hvad filen gør, når den bliver kørt.
pensioneret hacker dreng
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-08-2019, 19:41
#6
Hvordan undersøger jeg en mistænkelig fil sikkert ?
Men hvis det er custom virus kan det godt komme forbi virustotal
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-08-2019, 15:02
#7
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(05-08-2019, 16:25)Sp2005 Skrev: Sandbox og virtuelmaskine er det, det samme ?


Kan det passe at det er noget med at vælge mellem "NatNetwork" eller "Bridge Adaptor" i netværksindstillingerne for den virtuellemaskine ?

I dette sammenhæng, ja - der er sandbox og virtuel maskine det samme.

Hvis du vælger NATNetwork, laver den et nyt IP segment, og kobler det på dit netværk. Så hvis din nuværende interne IP f.eks. er 192.168.1.0/24, så vil NATNetwork være et andet. F.eks. 192.168.10.0/24. Så det 2 computere kan ikke se hinanden(i hvert fald ikke bare lige - men så kommer vi noget dybere ind i netværk ;))

Bridge Adapter så bruger den samme netkort som din computer og din virtuelle maskine, vil få en IP på samme netværk.

Så du vi enten brugeg NATNetwork eller slet ingen ting(det kræver nogen gange men opretter et VNET uden forbindelse). Men det kommer an på hvilken udbyder du har valgt til at hoste din VM på. Hyper-V, VMware, VirtualBox etc.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-08-2019, 15:29
#8
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(06-08-2019, 15:02)therma Skrev: I dette sammenhæng, ja - der er sandbox og virtuel maskine det samme.

Hvis du vælger NATNetwork, laver den et nyt IP segment, og kobler det på dit netværk. Så hvis din nuværende interne IP f.eks. er 192.168.1.0/24, så vil NATNetwork være et andet. F.eks. 192.168.10.0/24. Så det 2 computere kan ikke se hinanden(i hvert fald ikke bare lige - men så kommer vi noget dybere ind i netværk ;))

Bridge Adapter så bruger den samme netkort som din computer og din virtuelle maskine, vil få en IP på samme netværk.

Så du vi enten brugeg NATNetwork eller slet ingen ting(det kræver nogen gange men opretter et VNET uden forbindelse). Men det kommer an på hvilken udbyder du har valgt til at hoste din VM på. Hyper-V, VMware, VirtualBox etc.

Tak for svaret :)

Jeg bruger VirtualBox og tænker jeg nok må bruge NATnetwork :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-08-2019, 15:00
#9
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
Den sikreste metode er at decompile/disassemble. Så kan du se hvad filen gør, uden at skulle køre den. Det er så bare væsentligt mere besværligt end sandboxing.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
07-08-2019, 16:37
#10
RE: Hvordan undersøger jeg en mistænkelig fil sikkert ?
(07-08-2019, 15:00)Doctor Blue Skrev: Den sikreste metode er at decompile/disassemble. Så kan du se hvad filen gør, uden at skulle køre den. Det er så bare væsentligt mere besværligt end sandboxing.

Snakker vi så noget maskinkode her ? Det er jeg ikke ret god til at aflæse desværre.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)