我有一个程序,我一直在使用了一年,我最近发现有病毒。 我不想重新格式化整个计算机,因为即使我备份了数据,我也无法分辨是否将病毒感染的文件移植到我的计算机上。
所以,如果我要创build一个新的虚拟机,然后运行感染程序,有什么办法来查明它感染了哪些文件? (IE浏览器在系统上运行差异,看看发生了什么变化?)
第二个问题:
虚拟机完全与外部系统绝缘,对吗?
这种病毒无法在虚拟机上运行,并感染主系统? 在我的情况下,外部系统已经感染了,所以没有什么大不了的,但是我想知道是否在理论上可以编写一个病毒,在虚拟机中运行时感染主机系统?
你有两个问题,所以我会打出答案:
所以,如果我要创build一个新的虚拟机,然后运行感染程序,有什么办法来查明它感染了哪些文件?
如果你做了Windows更新或安装新软件(也可以考虑浏览器或版本更新),那么由于修改的文件数量太多,这个任务可能会变得非常困难。 但是,即使你这样做,复制了所有你不认为被感染的文件,然后build立一个新的系统,所需要的只是一个被感染的文件,你被搞砸了。
虚拟机完全与外部系统绝缘,对吗?
只有当他们不在networking上或以任何方式共享文件。 例如,使用VMware Fusion,您可以在主机和来宾之间自动设置文件共享,从而允许来宾写入您的configuration文件目录。 使文档共享变得更容易,但也增加了传播病毒的可能性。
另外,你有没有通过电子邮件将自己的VM文件发送给主机? Boom,如果病毒在那个文件里,你就搞砸了。
我完全支持这种方法,如果您是为了取证目的而进行的,并且了解更多关于这种病毒的信息,也许作为一种练习来确定如何检查虚拟机中的增量。
如果你是从“我想从这个病毒恢复我的服务器而不重新安装”的angular度来看待这个问题,那么你应该重新检查你的目标。
我不知道一个更好的方法,所以我会这样做,在病毒引入之前,让系统达到您想要的程度。 然后你用Linux的光盘引导,并使用“dd”来制作文件系统的映像。
然后启动机器,引导病毒,再次closures病毒,用CD重新启动,再次将dd复制到另一个映像中,然后使用noexec挂载选项将只读映像挂载 ,然后编写find命令,以在文件系统之间运行diff一次input文件并输出不同的文件。
现在,一些警告。 首先,因为这个方法太糟糕了,太慢了,所以必须有更好的方法,但是我不知道它是什么。 其次,会有一些误报。 Windows将所有该死的时间写入registry,所以registry文件将会有所不同。 那么,任何configuration文件已被更改,任何开始自行下载的更新等等
实际上,您可以使用find -mtime获取相同的数据,然后在已更改的文件上运行diff。 既然你在Linux上,clamav也可以为你节省一些时间。
只是想添加一个警告:从技术上来说,病毒从VM中逃脱是可能的! (特别是如果病毒已被写入感染虚拟机及其主机。)任何应用程序都可能检测到它是否在虚拟机内运行,因此可以添加代码以便在虚拟机之外打破。 尽pipe如此,发现一种能够以这种方式感染VM主机的病毒是很less见的。
另一方面,虚拟机可能与其主机共享networking连接。 这创造了第二种感染方式。 如果有多台虚拟机在同一主机上运行,甚至可能通过networking连接感染其他虚拟机!
当然,这也可能发生,你的主机被感染,只是将病毒转发到您的虚拟机。
因此,请保持安全:在您的虚拟机上安装病毒扫描程序,并确保病毒扫描程序和操作系统本身保持最新状态。
不知道您的VM平台是什么,但是VMware提供了一个名为mountvm.exe的实用程序,允许您将VMDK文件挂载到文件系统并查看虚拟磁盘的内容。 然后,您可以使用windiff(或类似的)来比较安装的VM中的文件。 我确定其他pipe理程序提供类似的工具
关于你的第二个问题,虽然我不知道是否有通过pipe理程序攻击的攻击,但我认为有一些PoC在外面显示它可能是可能的(当然,这是有些争议)。 search“蓝色药丸”,看看你发现。 正如其他人所提到的,在主机和客户之间复制文件,并允许主机和客户之间的直接networking连接,肯定会增加感染另一个的机会。