Как правильно восстанавливать виртуальные машины? - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
Bazzill

Как правильно восстанавливать виртуальные машины?

Автор Bazzill, в Современные угрозы и защита от них

Recommended Posts

Bazzill    5

Bazzill
Опубликовано

VMWare давно пользуюсь. Но вот понадобилось мне софт разный опасный поизучать. Отсюда и сабжевый вопрос. Весь файл-диск бекапить, а после экспериментов восстаналивать? Кто как делает?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

snapshot

revert to snapshot

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Bazzill    5

Bazzill
Опубликовано

Круто что malware researcher ответил.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Основные неприятные моменты при частом долблении малвари в виртуалке следующие:

1. IP может попасть (и попадет обязательно) во всевозможные блэк-листы (т.к хоть на каком-нибудь хонипоте засвет будет)

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

3. Возможность что-то неверно настроить с доступом, шарами, внутренней сетью (внимательно!)

4. Кошка + клавиатура = когда-нибудь обязательно приведет к случайному запуску малвари, поэтому страховка на этот случай должна быть

5. Если работаете вручную - следите за руками, даже делая все на автоматизме можно в сонном состоянии чего-нибудь не то и понажимать

6. Хранить все малварные файлы без исполныемых расширений - хорошая привычка

7. Вмваре тулзы, имхо, под снос, если сильно переживаете за такое дело

8. Все это дело можно вообще обернуть в грамотно настроенный линух

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Bazzill    5

Bazzill
Опубликовано

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

 

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь. А больше методов особо и не используют для чекВМ.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов.

В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Bazzill    5

Bazzill
Опубликовано

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов. В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

 

Themida определяет по строкам в реестре. Конечно это один из ее методов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

microsoftexam    0

microsoftexam
Опубликовано

Eсли у вас ESXI там можно выставить independent диск, смысл его в том, что после перезагрузки он вернется на тот момент что вы задали, используется в публичных компах, чтобы если что то натворили админ мог легко откатить простой перезагрузкой.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

arefius    0

arefius
Опубликовано

А я попросил восстановить https://digitalsharks.ru/ и мне все отлично сделали.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Да, с этим файлом проблема, починю.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
×