作者liumang (Liumang)
看板EZsoft
标题[请问] virtualbox来测试病毒和木马之共用资料夹
时间Sun Jan 3 11:55:42 2016
标题打得有点烂
我先来描述一下我的电脑
Host端是WIN10
有搭配诺顿360
然後我在先前已经安装了VM Virtualbox
虚拟端的是Ubuntu
并使用了共用资料夹的这个功能(假设是X碟)
所以我可以在虚拟端使用X碟
且X碟在我的HOST端也是可以使用的
那现在我已经有个已知的压缩档
且确定里面有病毒
那我想问的是
如果我从虚拟端去来解压缩此档
是否会影响到HOST端呢?
因为就我的理解
在虚拟端做任何事情理论上是不会影响到HOST端的
但是现在卡在我有用个共用资料夹
这使得HOST端和虚拟端有了个连结
且我又在这个连结上操作东西
所以有大大可以帮我解惑吗???
谢谢
--
作者 zzyyxx77 () 看板 Baseball
标题 [新闻] 邓志伟状况差不下二军 锣总:他有守备
时间 Sun Jul 13 17:59:43 2014
1F:→ femc15:这话给小文听到 不给你白眼才怪 07/13 18:17
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.229.31.142
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/EZsoft/M.1451793351.A.FEA.html
2F:推 LIAR: HOST会有个档案有病毒,但是没有执行 01/03 12:24
3F:→ LIAR: 另外对於"病毒"的定义...如果有网路攻击的能力,或是夸张点 01/03 12:25
4F:→ LIAR: 逆向操纵virtual程式,当然会有影响 01/03 12:26
5F:→ LIAR: 抱歉,第一项是说你把病毒档压缩到共用碟的情况 01/03 12:27
6F:→ LIAR: 还有要考虑病毒能不能在这几个OS下执行 01/03 12:27
据我所知
这只病毒似乎只会在WINDOWS环境下执行
但究竟他有多大的本事
这点我就没有去探讨了
※ 编辑: liumang (36.229.31.142), 01/03/2016 12:38:44
7F:→ bestpika: 你先想想看这病毒执行的时候会载入到哪里的记忆体里面 01/03 12:47
8F:→ bestpika: 等你想通就知道会影响哪一台了 01/03 12:47
我认为应该是不会的
因为此时的UBUNTU就是个"独立的电脑"
所以执行上应该也是会在这部虚拟独立电脑中的记忆体里
9F:推 LIAR: WINDOWS执行的话,除非天赋异禀,不然ubuntu根本不会鸟她吧? 01/03 14:36
不太懂大大您的意思??
※ 编辑: liumang (36.229.31.142), 01/03/2016 15:25:13
10F:→ bestpika: 既然你搞懂了那这问题就解决了啊XD 01/03 15:40
11F:→ bestpika: 除非这病毒可以在 linux 底下跑又会绕过 vm 01/03 15:41
12F:推 mstar: 你这样等於有双重防护了,应该不会有问题 01/03 18:31
13F:推 newclicker: 理论上多数状况下也许没问题,但若以下状况可能会破功 01/03 19:55
14F:→ newclicker: 1.压缩档为Win系统的自解档(.exe) 01/03 19:56
15F:→ newclicker: 2.虽非自解档,但虚拟端的解压缩路径仍在共用资料夹下 01/03 19:56
16F:→ newclicker: 3.虽非自解档,但虚拟端的暂存档路径仍在共用资料夹下 01/03 19:56
17F:→ newclicker: 4.病毒俱备感染BIOS等韧体能力(如CIH病毒) 01/03 19:57
18F:→ newclicker: 5.病毒俱备利用虚拟机器、VT-D等漏洞能力 01/03 19:57
19F:→ newclicker: 6.病毒俱备利用Bridge或NAT下网路服务的感染能力 01/03 19:57
20F:→ newclicker: (ex.SAMBA等服务) 01/03 19:57
21F:→ newclicker: 7.病毒俱备同时感染Win、Linux等系统能力 01/03 19:58
22F:→ newclicker: 8.病毒俱备未知的缓冲区溢位Buffer Overflow能力 01/03 19:58
23F:→ newclicker: 若有遗漏还请大家补充 :) 01/03 19:59
24F:推 wkwtb: 你的win10不要手残点到执行就万事OK 01/06 11:43
25F:→ wkwtb: 没这麽多废话 01/06 11:43
26F:→ kukuzo: 看病毒能力 01/06 12:59
27F:推 newclicker: Win系统会对你开启的共用资料夹下档案做index,所以说 01/06 13:53
28F:→ newclicker: 以为"不要手残点到执行就万事OK"这种想法是有风险的:) 01/06 13:55
29F:推 chang0206: 已经进步到index就会触发? 01/06 15:04
30F:推 wkwtb: 跟天塌下来的机率差不多 01/06 15:19
31F:→ wkwtb: 真的写出来的话,也不用在那边GGYY什麽VM了 01/06 15:20
32F:→ wkwtb: 讲这麽多,就像是人家问你这碗饭可不可以吃,你跟人家分析 01/06 15:23
33F:→ wkwtb: 产地、种植水源、种子、鸡改、日照、E...保存期限 01/06 15:24
34F:→ wkwtb: 我知道你很厉害,不过不用每天拿出来晒太阳吧 01/06 15:25
35F:推 newclicker: 原po的提问是包含病毒以及木马,所以防范溢位风险的 01/06 16:44
36F:→ newclicker: 绝对是必要的,而这漏洞的原理就是:原本只是读取进 01/06 16:44
37F:→ newclicker: 记忆体的内容 (例如仅仅只是index进来而不执行) 01/06 16:45
38F:→ newclicker: 结果却因漏洞而导致该程式码溢位到CPU会执行的记忆体 01/06 16:45
39F:→ newclicker: 区段,最後导致CPU执行了该段程式码。根据原po提问是 01/06 16:45
40F:→ newclicker: 出於要测试病毒和木马这个目的,回答的人要是天真的 01/06 16:45
41F:→ newclicker: 不提醒这个早被广泛使用於蠕虫和木马的手法,在我看 01/06 16:45
42F:→ newclicker: 来如果不是外行人半瓶水响叮当,不然就是刻意在误导 01/06 16:46
43F:→ newclicker: 原po。缓冲区溢位攻击是基本中的基本,根本算不上什 01/06 16:46
44F:→ newclicker: 麽很厉害拿出来晒太阳。真的没听过也没关系,欢迎大家 01/06 16:46
45F:→ newclicker: 提出来讨论切磋,但真的没必要跑出来推些酸言酸语, 01/06 16:46
46F:→ newclicker: 这样只是自曝其短。 01/06 16:46
47F:推 wkwtb: 好厉害,难怪喜欢晒太阳 01/07 07:38
48F:→ wkwtb: 最响叮当的就是你了 01/07 07:39
49F:→ wkwtb: 我第一(唯一)次用「溢位」应该是十七年前了吧... 01/07 07:41
50F:→ wkwtb: 啊~ 太阳公公不要走~ 我也要晒! 01/07 07:42
51F:→ wkwtb: 我话还没讲完啊~~~~ 01/07 07:42
52F:→ wkwtb: 进了某校某系统的资料库,不小心还拿了密码(自己开聚光灯) 01/07 07:44
53F:→ wkwtb: 不过这漏洞是朋友跟我讲的,我只是出来半瓶水响叮当 01/07 07:45
54F:推 newclicker: 17年前啊,真令人怀念,当时我如果不是在忙大体实验室 01/08 01:02
55F:→ newclicker: 的工作,不然就是泡在某校网管或电脑社团吧。(茶~ 01/08 01:02
56F:→ newclicker: 详细时间点不确定,不过以前的确有经手防堵资料库SQL 01/08 01:03
57F:→ newclicker: Injection的工作呢,原则上这未必是溢位漏洞,除非你是 01/08 01:03
58F:→ newclicker: 利用长字串搭配隐码攻击,不过根本篇主题比较没关系 01/08 01:03
59F:→ newclicker: 就不在这里赘述了。 01/08 01:03
60F:→ newclicker: 倒是要提醒这位w兄,利用不是自己发现的漏洞,或拿别人 01/08 01:04
61F:→ newclicker: 写的现成程式来作乱这种不入流的Craker行为,你好意思 01/08 01:04
62F:→ newclicker: 拿出来嘴我都不好意思吐槽你,看来你也老大不小,怎麽 01/08 01:04
63F:→ newclicker: 17年後还是这种典型的Craker个性,吹嘘自己17年前的 01/08 01:05
64F:→ newclicker: Craker事蹟呢?这种糗事,高手怕人家翻出来都来不及呢 01/08 01:05
65F:推 newclicker: 怎麽还在ptt这种热门站泄自己的底并留下永久纪录呢 01/08 01:13
66F:→ newclicker: 一点小小的善意提醒 :) 01/08 01:13
67F:推 chang0206: ㄟ,我不想介入两位的对话,我想请问的是,windows做 01/08 10:06
68F:→ chang0206: index 就会中标了? Really ? 01/08 10:07
69F:推 wkwtb: 如果index程式没写好有漏洞的话,不过根本上就是杞人忧天 01/08 13:01
70F:→ wkwtb: 存款还不足一百块的人在担心买下101大楼以後要怎麽管理 01/08 13:02
71F:→ wkwtb: 对了,我赶讲是因为事情早就曝光+解决了~ (摇摆) 01/08 13:02
72F:→ wkwtb: 讲的原因很简单,有人整天觉得了不起,巴不得拿自己渊博的 01/08 13:04
73F:→ wkwtb: 知识来晒太阳~ 好像全世界只有他自己知道溢位两个字 01/08 13:05
74F:→ wkwtb: 纪录?早就有纪录了,而且我根本沾不上cracker或hacker的边 01/08 13:07
75F:→ wkwtb: 何必这麽抬举我,我连溢位两个字怎麽写都看不懂 01/08 13:08
76F:→ wkwtb: 我看你也老大不小了,难怪这麽喜欢晒太阳 01/08 13:09
77F:→ wkwtb: ====反正就是不要执行,剩下的都是某人自以为是的废话 01/08 13:10
78F:推 wkwtb: 真的遇到那些高手,也不用挣扎,就让他进来参观吧 01/08 13:13
79F:推 wkwtb: 我的原则都是:不要乱动我资料就好 =.=a 01/08 13:16
80F:推 newclicker: 不可能发生的事情去担心它才叫做杞人忧天,但是明明 01/08 17:08
81F:→ newclicker: 发生过,并且至今微软未必已经完全修正掉的漏洞, 01/08 17:08
82F:→ newclicker: 这叫做合理的预防,更何况原po发文并非一般使用者 01/08 17:08
83F:→ newclicker: 环境,而是要测试病毒用途,wkwtb的不负责发言会有 01/08 17:09
84F:→ newclicker: 严重误导之嫌。 01/08 17:09
85F:→ newclicker: 回答chang0206:是的,windows的index漏洞的确是存在 01/08 17:09
86F:→ newclicker: 至於现在修好了没,就要问微软。由於Windows为了让 01/08 17:10
87F:→ newclicker: 使用者搜寻档案更快速,因此会针对档案搜寻做快取, 01/08 17:10
88F:→ newclicker: 并且有一支SearchIndexer的服务是预设开启,而只要 01/08 17:10
89F:→ newclicker: 是人写的程式就不可能完美,一定会有漏洞,光是这个 01/08 17:11
90F:→ newclicker: index项目,记得就看过有资安报告揭露它一连串尚未 01/08 17:11
91F:→ newclicker: 修复的漏洞,这里我只列几个确定已经被修复的部分: 01/08 17:11
93F:→ newclicker: 可远端执行任意程式码(remote 01/08 17:12
94F:→ newclicker: code execution ) 01/08 17:13
96F:→ newclicker: 的 explorer.exe 01/08 17:14
99F:→ newclicker: 电脑变成自己的比特币挖矿机 01/08 17:15
100F:→ newclicker: (bitcoins mining) 01/08 17:15
101F:→ newclicker: 老实说看到wkwtb不懂装懂的还好意思酸言酸语的大放 01/08 17:16
102F:→ newclicker: 厥词散播错误观念,足见台湾资安教育的确需要你我 01/08 17:16
103F:→ newclicker: 的努力 :) 01/08 17:16
104F:推 REIDO: 解释多一点是好事,只要原PO理解就是赚到了 01/08 18:01
105F:推 Kreen: newclicker 脾气真好。XD 01/12 18:49
106F:推 kaoru7568: newclicker 脾气真好+1 wwww 01/13 07:56
107F:推 coolcliff01: newclicker 脾气真好+1 01/13 08:55
108F:推 sopoor: newclicker 脾气真好+1 01/13 11:20
109F:推 TobyH4cker: 资安教育不能等 XD 01/31 09:16