Forense - varra o sistema operacional convidado (WinXP) e arquivos do sistema operacional host (Win7 64) usando o VMWare Player ou o VirtualBox

1

Eu tenho um laptop com Windows XP que foi infectado por um vírus; o vírus foi removido, mas a conectividade de rede foi aumentada. Eu inicializo o Ubuntu de uma chave USB para mover arquivos entre o sistema e a rede. Eu também usei o conversor VMWare para converter o sistema em uma máquina virtual que agora tenho executado em um host Windows 7 de 64 bits. A vm está bem trancada ; Eu não quero dar acesso à rede ou recursos no host no caso de haver malwares não descobertos no sistema. Gostaria de poder acessar o disco rígido virtual convidado do host e analisá-lo; e, uma vez feito isso, será capaz de mover os arquivos para fora do ambiente virtual do host.

Existe uma maneira de acessar com segurança o disco rígido virtual convidado do host usando o VMWare Player ou o VirtualBox? Eu tenho as ferramentas instaladas do sistema operacional convidado no Player.

Além disso, existe uma maneira melhor de arquivar e analisar um sistema existente do que este método? A finalidade é mais ser capaz de ter um ambiente controlado para diagnosticar vários tipos de malware, em vez de ter um pouco de para arquivo idêntico bit da fonte. Eu quero ser capaz de ativar a rede no sistema operacional convidado e encaminhá-la por meio de um sniffer para entender como as explorações funcionam.

Para recapitular o que estou procurando:
1) Solução imediata para poder acessar o disco rígido da VM, assim como eu posso acessar o sistema físico do Ubuntu rodando a partir de drive USB para mover arquivos ao redor.
2) Ser capaz de digitalizar o disco virtual com ferramentas de varredura de vírus no host.
3) A longo prazo, crie uma técnica para analisar com segurança os sistemas comprometidos.

Obrigado!

    
por dr3x 18.12.2010 / 20:36

2 respostas

2

Com segurança é uma coisa difícil.

Lembre-se, todos os vírus não são prejudiciais até serem executados, desde que você não execute nada (e por segurança, nem use o Windows Explorer, pois clicar em um arquivo pode gerar uma prévia e é tecnicamente possível para executar um vírus - se o programa de visualização tiver uma vulnerabilidade).

Para Linux, Siga este guia - Você pode extrair e obtenha as ferramentas necessárias para montar um disco rígido VMWare (arquivo .VMDK) no sistema de arquivos local. Você pode então usar qualquer scanner de vírus e digitalizá-lo como se fosse um arquivo local.

Para uso futuro, eu pessoalmente usaria uma máquina dedicada que é para essa tarefa, ou configuraria uma nova VM e instalaria tudo normalmente, incluindo o anti-vírus, e você poderia adicionar discos rígidos virtuais adicionais (ou físico usando passagem USB) e digitalizar de uma VM.

Espero que isso ajude.

    
por 19.12.2010 / 00:19
0

No Windows, você também pode montar VMDKs e executar uma varredura com qualquer antivírus que você já tenha no sistema host.

você deve encontrar o vmware-mount na pasta vmware em arquivos de programas.

vmware-mount [driveletter:] [caminho-para-vmdk] [opções]

    
por 27.03.2011 / 16:37