Как правильно восстанавливать виртуальные машины?

[Bazzill 5]

VMWare давно пользуюсь. Но вот понадобилось мне софт разный опасный поизучать. Отсюда и сабжевый вопрос. Весь файл-диск бекапить, а после экспериментов восстаналивать? Кто как делает?

[priv8v 960]

snapshot

revert to snapshot

[Bazzill 5]

Круто что malware researcher ответил.

[priv8v 960]

Основные неприятные моменты при частом долблении малвари в виртуалке следующие:

1. IP может попасть (и попадет обязательно) во всевозможные блэк-листы (т.к хоть на каком-нибудь хонипоте засвет будет)

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

3. Возможность что-то неверно настроить с доступом, шарами, внутренней сетью (внимательно!)

4. Кошка + клавиатура = когда-нибудь обязательно приведет к случайному запуску малвари, поэтому страховка на этот случай должна быть

5. Если работаете вручную - следите за руками, даже делая все на автоматизме можно в сонном состоянии чего-нибудь не то и понажимать

6. Хранить все малварные файлы без исполныемых расширений - хорошая привычка

7. Вмваре тулзы, имхо, под снос, если сильно переживаете за такое дело

8. Все это дело можно вообще обернуть в грамотно настроенный линух

[Bazzill 5]

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

 

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь. А больше методов особо и не используют для чекВМ.

[priv8v 960]

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов.

В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

[Bazzill 5]

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов. В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

 

Themida определяет по строкам в реестре. Конечно это один из ее методов.

[microsoftexam 0]

Eсли у вас ESXI там можно выставить independent диск, смысл его в том, что после перезагрузки он вернется на тот момент что вы задали, используется в публичных компах, чтобы если что то натворили админ мог легко откатить простой перезагрузкой.

[arefius 0]

А я попросил восстановить https://digitalsharks.ru/ и мне все отлично сделали.