Перейти к содержанию
Bazzill

Как правильно восстанавливать виртуальные машины?

Recommended Posts

Bazzill

VMWare давно пользуюсь. Но вот понадобилось мне софт разный опасный поизучать. Отсюда и сабжевый вопрос. Весь файл-диск бекапить, а после экспериментов восстаналивать? Кто как делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

snapshot

revert to snapshot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bazzill

Круто что malware researcher ответил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Основные неприятные моменты при частом долблении малвари в виртуалке следующие:

1. IP может попасть (и попадет обязательно) во всевозможные блэк-листы (т.к хоть на каком-нибудь хонипоте засвет будет)

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

3. Возможность что-то неверно настроить с доступом, шарами, внутренней сетью (внимательно!)

4. Кошка + клавиатура = когда-нибудь обязательно приведет к случайному запуску малвари, поэтому страховка на этот случай должна быть

5. Если работаете вручную - следите за руками, даже делая все на автоматизме можно в сонном состоянии чего-нибудь не то и понажимать

6. Хранить все малварные файлы без исполныемых расширений - хорошая привычка

7. Вмваре тулзы, имхо, под снос, если сильно переживаете за такое дело

8. Все это дело можно вообще обернуть в грамотно настроенный линух

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bazzill

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

 

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь. А больше методов особо и не используют для чекВМ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов.

В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bazzill

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов. В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

 

Themida определяет по строкам в реестре. Конечно это один из ее методов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
microsoftexam

Eсли у вас ESXI там можно выставить independent диск, смысл его в том, что после перезагрузки он вернется на тот момент что вы задали, используется в публичных компах, чтобы если что то натворили админ мог легко откатить простой перезагрузкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arefius

А я попросил восстановить https://digitalsharks.ru/ и мне все отлично сделали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×