你想看看一些病毒,所以你使用类似 VirtualBox 的东西来创建一个沙盒环境。但是如果我们改变那个环境呢?如果我们这样做:
第一步:创建一个带有Linux发行版的可启动闪存驱动器/硬盘驱动器,拒绝可启动闪存驱动器/硬盘驱动器访问主硬盘驱动器的权限,并拒绝主硬盘驱动器访问可启动闪存驱动器/硬盘驱动器。换句话说,不要让主安装的硬盘和可启动的硬盘相互通信和写入。
第二步:在可启动闪存驱动器/硬盘驱动器上的 Linux 发行版中安装 VirtualBox 并使用它创建一个沙箱,并且根本不将其连接到网络。
这是运行病毒来分析它的安全方法吗?它就像您计算机中可启动闪存驱动器/硬盘驱动器中的操作系统中的虚拟机中的操作系统?它会起作用吗,因为可引导设备在重新启动时会被清除?
这些都是好主意,但确保第一步中的系统不可写可能是一个挑战。
您可能需要考虑的其他事项是,如果您正在处理高级问题,则可能存在 BIOS 感染虚拟机管理程序主机的风险。
同样,所有连接的设备都可能是感染媒介,想想 BAD USB 会感染所有共享的 USB 设备。在您的设置中,我最关心的是这一点。
另一种方法可能是将一台计算机专门用于此任务,并为您的基本操作系统利用可引导的 CD/DVD,并且根本没有硬盘驱动器。然后使用第二个专用 CD/DVD 驱动器通过 CD/DVD-rw 磁盘导入要分析的数据。或者,您可能需要将它们视为脏污,除非您可以法医擦拭它们。
同样,我认为您有一个好主意,但我会认真考虑 BIOS 感染的长期风险以及对 USB 设备、Firewire、Thunderbolt 等设备的潜在数据总线感染......
显然,您也不想在这里进行网络连接,并且如果可能的话,也不需要无线连接,包括蓝牙之类的东西。如果可能的话,你想把它更多地想象成一个合法的工作站。
最后,您可能还想拥有一个虚假的虚拟网络连接,这样机器看起来就不像恶意软件的取证工作站。
注意:我认为您可以非常便宜地完成所有这些操作,因此您可以尝试几种不同的方法,直到找到最适合您的方法,但这表示我确实认为您对基本的东西有一个好主意,我会考虑我上面提到的问题。