作者liumang (Liumang)
看板EZsoft
標題[請問] virtualbox來測試病毒和木馬之共用資料夾
時間Sun Jan 3 11:55:42 2016
標題打得有點爛
我先來描述一下我的電腦
Host端是WIN10
有搭配諾頓360
然後我在先前已經安裝了VM Virtualbox
虛擬端的是Ubuntu
並使用了共用資料夾的這個功能(假設是X碟)
所以我可以在虛擬端使用X碟
且X碟在我的HOST端也是可以使用的
那現在我已經有個已知的壓縮檔
且確定裡面有病毒
那我想問的是
如果我從虛擬端去來解壓縮此檔
是否會影響到HOST端呢?
因為就我的理解
在虛擬端做任何事情理論上是不會影響到HOST端的
但是現在卡在我有用個共用資料夾
這使得HOST端和虛擬端有了個連結
且我又在這個連結上操作東西
所以有大大可以幫我解惑嗎???
謝謝
--
作者 zzyyxx77 () 看板 Baseball
標題 [新聞] 鄧志偉狀況差不下二軍 鑼總:他有守備
時間 Sun Jul 13 17:59:43 2014
1F:→ femc15:這話給小文聽到 不給你白眼才怪 07/13 18:17
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.229.31.142
※ 文章網址: https://webptt.com/m.aspx?n=bbs/EZsoft/M.1451793351.A.FEA.html
2F:推 LIAR: HOST會有個檔案有病毒,但是沒有執行 01/03 12:24
3F:→ LIAR: 另外對於"病毒"的定義...如果有網路攻擊的能力,或是誇張點 01/03 12:25
4F:→ LIAR: 逆向操縱virtual程式,當然會有影響 01/03 12:26
5F:→ LIAR: 抱歉,第一項是說你把病毒檔壓縮到共用碟的情況 01/03 12:27
6F:→ LIAR: 還有要考慮病毒能不能在這幾個OS下執行 01/03 12:27
據我所知
這隻病毒似乎只會在WINDOWS環境下執行
但究竟他有多大的本事
這點我就沒有去探討了
※ 編輯: liumang (36.229.31.142), 01/03/2016 12:38:44
7F:→ bestpika: 你先想想看這病毒執行的時候會載入到哪裡的記憶體裡面 01/03 12:47
8F:→ bestpika: 等你想通就知道會影響哪一台了 01/03 12:47
我認為應該是不會的
因為此時的UBUNTU就是個"獨立的電腦"
所以執行上應該也是會在這部虛擬獨立電腦中的記憶體裡
9F:推 LIAR: WINDOWS執行的話,除非天賦異稟,不然ubuntu根本不會鳥她吧? 01/03 14:36
不太懂大大您的意思??
※ 編輯: liumang (36.229.31.142), 01/03/2016 15:25:13
10F:→ bestpika: 既然你搞懂了那這問題就解決了啊XD 01/03 15:40
11F:→ bestpika: 除非這病毒可以在 linux 底下跑又會繞過 vm 01/03 15:41
12F:推 mstar: 你這樣等於有雙重防護了,應該不會有問題 01/03 18:31
13F:推 newclicker: 理論上多數狀況下也許沒問題,但若以下狀況可能會破功 01/03 19:55
14F:→ newclicker: 1.壓縮檔為Win系統的自解檔(.exe) 01/03 19:56
15F:→ newclicker: 2.雖非自解檔,但虛擬端的解壓縮路徑仍在共用資料夾下 01/03 19:56
16F:→ newclicker: 3.雖非自解檔,但虛擬端的暫存檔路徑仍在共用資料夾下 01/03 19:56
17F:→ newclicker: 4.病毒俱備感染BIOS等韌體能力(如CIH病毒) 01/03 19:57
18F:→ newclicker: 5.病毒俱備利用虛擬機器、VT-D等漏洞能力 01/03 19:57
19F:→ newclicker: 6.病毒俱備利用Bridge或NAT下網路服務的感染能力 01/03 19:57
20F:→ newclicker: (ex.SAMBA等服務) 01/03 19:57
21F:→ newclicker: 7.病毒俱備同時感染Win、Linux等系統能力 01/03 19:58
22F:→ newclicker: 8.病毒俱備未知的緩衝區溢位Buffer Overflow能力 01/03 19:58
23F:→ newclicker: 若有遺漏還請大家補充 :) 01/03 19:59
24F:推 wkwtb: 你的win10不要手殘點到執行就萬事OK 01/06 11:43
25F:→ wkwtb: 沒這麼多廢話 01/06 11:43
26F:→ kukuzo: 看病毒能力 01/06 12:59
27F:推 newclicker: Win系統會對你開啟的共用資料夾下檔案做index,所以說 01/06 13:53
28F:→ newclicker: 以為"不要手殘點到執行就萬事OK"這種想法是有風險的:) 01/06 13:55
29F:推 chang0206: 已經進步到index就會觸發? 01/06 15:04
30F:推 wkwtb: 跟天塌下來的機率差不多 01/06 15:19
31F:→ wkwtb: 真的寫出來的話,也不用在那邊GGYY什麼VM了 01/06 15:20
32F:→ wkwtb: 講這麼多,就像是人家問你這碗飯可不可以吃,你跟人家分析 01/06 15:23
33F:→ wkwtb: 產地、種植水源、種子、雞改、日照、E...保存期限 01/06 15:24
34F:→ wkwtb: 我知道你很厲害,不過不用每天拿出來曬太陽吧 01/06 15:25
35F:推 newclicker: 原po的提問是包含病毒以及木馬,所以防範溢位風險的 01/06 16:44
36F:→ newclicker: 絕對是必要的,而這漏洞的原理就是:原本只是讀取進 01/06 16:44
37F:→ newclicker: 記憶體的內容 (例如僅僅只是index進來而不執行) 01/06 16:45
38F:→ newclicker: 結果卻因漏洞而導致該程式碼溢位到CPU會執行的記憶體 01/06 16:45
39F:→ newclicker: 區段,最後導致CPU執行了該段程式碼。根據原po提問是 01/06 16:45
40F:→ newclicker: 出於要測試病毒和木馬這個目的,回答的人要是天真的 01/06 16:45
41F:→ newclicker: 不提醒這個早被廣泛使用於蠕蟲和木馬的手法,在我看 01/06 16:45
42F:→ newclicker: 來如果不是外行人半瓶水響叮噹,不然就是刻意在誤導 01/06 16:46
43F:→ newclicker: 原po。緩衝區溢位攻擊是基本中的基本,根本算不上什 01/06 16:46
44F:→ newclicker: 麼很厲害拿出來曬太陽。真的沒聽過也沒關係,歡迎大家 01/06 16:46
45F:→ newclicker: 提出來討論切磋,但真的沒必要跑出來推些酸言酸語, 01/06 16:46
46F:→ newclicker: 這樣只是自曝其短。 01/06 16:46
47F:推 wkwtb: 好厲害,難怪喜歡曬太陽 01/07 07:38
48F:→ wkwtb: 最響叮噹的就是你了 01/07 07:39
49F:→ wkwtb: 我第一(唯一)次用「溢位」應該是十七年前了吧... 01/07 07:41
50F:→ wkwtb: 啊~ 太陽公公不要走~ 我也要曬! 01/07 07:42
51F:→ wkwtb: 我話還沒講完啊~~~~ 01/07 07:42
52F:→ wkwtb: 進了某校某系統的資料庫,不小心還拿了密碼(自己開聚光燈) 01/07 07:44
53F:→ wkwtb: 不過這漏洞是朋友跟我講的,我只是出來半瓶水響叮噹 01/07 07:45
54F:推 newclicker: 17年前啊,真令人懷念,當時我如果不是在忙大體實驗室 01/08 01:02
55F:→ newclicker: 的工作,不然就是泡在某校網管或電腦社團吧。(茶~ 01/08 01:02
56F:→ newclicker: 詳細時間點不確定,不過以前的確有經手防堵資料庫SQL 01/08 01:03
57F:→ newclicker: Injection的工作呢,原則上這未必是溢位漏洞,除非你是 01/08 01:03
58F:→ newclicker: 利用長字串搭配隱碼攻擊,不過根本篇主題比較沒關係 01/08 01:03
59F:→ newclicker: 就不在這裡贅述了。 01/08 01:03
60F:→ newclicker: 倒是要提醒這位w兄,利用不是自己發現的漏洞,或拿別人 01/08 01:04
61F:→ newclicker: 寫的現成程式來作亂這種不入流的Craker行為,你好意思 01/08 01:04
62F:→ newclicker: 拿出來嘴我都不好意思吐槽你,看來你也老大不小,怎麼 01/08 01:04
63F:→ newclicker: 17年後還是這種典型的Craker個性,吹噓自己17年前的 01/08 01:05
64F:→ newclicker: Craker事蹟呢?這種糗事,高手怕人家翻出來都來不及呢 01/08 01:05
65F:推 newclicker: 怎麼還在ptt這種熱門站洩自己的底並留下永久紀錄呢 01/08 01:13
66F:→ newclicker: 一點小小的善意提醒 :) 01/08 01:13
67F:推 chang0206: ㄟ,我不想介入兩位的對話,我想請問的是,windows做 01/08 10:06
68F:→ chang0206: index 就會中標了? Really ? 01/08 10:07
69F:推 wkwtb: 如果index程式沒寫好有漏洞的話,不過根本上就是杞人憂天 01/08 13:01
70F:→ wkwtb: 存款還不足一百塊的人在擔心買下101大樓以後要怎麼管理 01/08 13:02
71F:→ wkwtb: 對了,我趕講是因為事情早就曝光+解決了~ (搖擺) 01/08 13:02
72F:→ wkwtb: 講的原因很簡單,有人整天覺得了不起,巴不得拿自己淵博的 01/08 13:04
73F:→ wkwtb: 知識來曬太陽~ 好像全世界只有他自己知道溢位兩個字 01/08 13:05
74F:→ wkwtb: 紀錄?早就有紀錄了,而且我根本沾不上cracker或hacker的邊 01/08 13:07
75F:→ wkwtb: 何必這麼抬舉我,我連溢位兩個字怎麼寫都看不懂 01/08 13:08
76F:→ wkwtb: 我看你也老大不小了,難怪這麼喜歡曬太陽 01/08 13:09
77F:→ wkwtb: ====反正就是不要執行,剩下的都是某人自以為是的廢話 01/08 13:10
78F:推 wkwtb: 真的遇到那些高手,也不用掙扎,就讓他進來參觀吧 01/08 13:13
79F:推 wkwtb: 我的原則都是:不要亂動我資料就好 =.=a 01/08 13:16
80F:推 newclicker: 不可能發生的事情去擔心它才叫做杞人憂天,但是明明 01/08 17:08
81F:→ newclicker: 發生過,並且至今微軟未必已經完全修正掉的漏洞, 01/08 17:08
82F:→ newclicker: 這叫做合理的預防,更何況原po發文並非一般使用者 01/08 17:08
83F:→ newclicker: 環境,而是要測試病毒用途,wkwtb的不負責發言會有 01/08 17:09
84F:→ newclicker: 嚴重誤導之嫌。 01/08 17:09
85F:→ newclicker: 回答chang0206:是的,windows的index漏洞的確是存在 01/08 17:09
86F:→ newclicker: 至於現在修好了沒,就要問微軟。由於Windows為了讓 01/08 17:10
87F:→ newclicker: 使用者搜尋檔案更快速,因此會針對檔案搜尋做快取, 01/08 17:10
88F:→ newclicker: 並且有一支SearchIndexer的服務是預設開啟,而只要 01/08 17:10
89F:→ newclicker: 是人寫的程式就不可能完美,一定會有漏洞,光是這個 01/08 17:11
90F:→ newclicker: index項目,記得就看過有資安報告揭露它一連串尚未 01/08 17:11
91F:→ newclicker: 修復的漏洞,這裡我只列幾個確定已經被修復的部分: 01/08 17:11
93F:→ newclicker: 可遠端執行任意程式碼(remote 01/08 17:12
94F:→ newclicker: code execution ) 01/08 17:13
96F:→ newclicker: 的 explorer.exe 01/08 17:14
99F:→ newclicker: 電腦變成自己的比特幣挖礦機 01/08 17:15
100F:→ newclicker: (bitcoins mining) 01/08 17:15
101F:→ newclicker: 老實說看到wkwtb不懂裝懂的還好意思酸言酸語的大放 01/08 17:16
102F:→ newclicker: 厥詞散播錯誤觀念,足見台灣資安教育的確需要你我 01/08 17:16
103F:→ newclicker: 的努力 :) 01/08 17:16
104F:推 REIDO: 解釋多一點是好事,只要原PO理解就是賺到了 01/08 18:01
105F:推 Kreen: newclicker 脾氣真好。XD 01/12 18:49
106F:推 kaoru7568: newclicker 脾氣真好+1 wwww 01/13 07:56
107F:推 coolcliff01: newclicker 脾氣真好+1 01/13 08:55
108F:推 sopoor: newclicker 脾氣真好+1 01/13 11:20
109F:推 TobyH4cker: 資安教育不能等 XD 01/31 09:16