我们最近遭受了网络攻击,破坏了我们的一些计算机。我们留下一个未修复的待调查。虽然我们的反恶意软件提供商对查看计算机以检查感染后果非常感兴趣,但我们不能冒险在我们的网络中打开它。
相反,如果可能的话,我想创建一个安装了紧凑型 Linux 的可引导 USB,在安全的环境中引导机器,然后从 Linux 创建它所连接的受感染机器的 VM。反恶意软件提供商表示,现有受感染机器的 VM 完全令人满意。
这可能吗?如果重要的话,受感染的机器是 Windows 10(它还会是什么?)。
总结下面的答案,是的,这是可能的,但不是微不足道的,而且更容易直接发送硬盘(如果他们接受,我的不会)。
最安全的方法是将机器引导到具有足够大的持久存储区域以安装 VirtualBox 的实时发行版。
开机系统
根据需要更改 BIOS 引导顺序以引导至实时发行版。检查制造商手册以进入 BIOS。
进入 live 发行版后,找出被克隆系统的驱动器路径以及您希望在其上存储映像的驱动器。你可以用
lsblk这个。在 live 发行版上安装 VirtualBox。
sudo su -apt-get install virtualbox然后执行以下命令:
VBoxManage convertfromraw /path/to/drive/to/clone /path/to/store/on/MyImage.vdi --format VDI1.当然可以创建一个带有可引导 Linux 的 USB,特别是为了这个特定目的。事实上,有几个 Linux 发行版专门用于涉及取证分析和数据恢复的任务。如果您在一家以技术为导向的公司,手头应该总是有几个“救援工具包”可用,即带有救援 USB 的安全盒、操作系统映像、脚本/数据库的任何模板,以使您尽快启动和运行,无论是由于网络攻击或物理火灾。
请提供有关您正在处理的攻击/系统损坏类型的一些信息,我将使用适当的分发更新此答案以进行分析/恢复。
2.创建受感染系统的虚拟机应该是最后的方法。我的意思是你可以使用虚拟机来研究感染(以类似于在非常安全的实验室中研究致命病毒的方式),通过故意用给定的恶意软件感染干净的虚拟机。
每天,都有新的零日漏洞被积极搜索和发现,您的机器可能刚刚接触到一些全新的东西,以至于安全专家仍在对其进行分析。
3.
我不知道该怎么做,但是如果您的安全提供商希望您的公司/您设置它以进行测试,我强烈建议你们找到一个新的安全提供商。这有无数的原因,但你们应该关注的最重要的是法律,即当前和未来的责任,以及监管链问题(如果这是由现任/前任员工完成的,因为它通常是)。
反恶意软件提供商让我注意到了这个可能会起作用的VMWare 产品。将尝试并在此处发布结果,以使每个人都受益。
编辑:这不是我要找的!将按照评论者的建议使用
dcfldd.