Noexec vs chmod -R -x สำหรับการซักถามมัลแวร์?

Lexicon

2/3/23 23:58

ฉันกำลังตั้งค่ากล่อง Linux เพื่อตรวจสอบตัวอย่างมัลแวร์ ฉันต้องการสร้างไดเร็กทอรีที่ฉันสามารถคลายซิปแต่ละตัวอย่างได้อย่างปลอดภัย และเรียกใช้คำสั่ง triage พื้นฐานกับไฟล์เพื่อรวบรวมข้อมูลเกี่ยวกับตัวอย่าง (เช่น การแฮชตัวอย่าง) เพื่อให้แน่ใจว่าฉันไม่ได้เรียกใช้ตัวอย่างโดยไม่ตั้งใจ ฉันต้องการให้แน่ใจว่าเนื้อหาไดเร็กทอรีนั้นไม่สามารถเรียกใช้งานได้

ปลอดภัยไหมที่จะเพียงแค่ chmod -R -x ไดเร็กทอรีและเนื้อหาก่อนตรวจสอบหรือฉันควรติดตั้งพาร์ติชันแยกต่างหากโดยใช้ โนเอ็ก? ตามหน้าที่แล้ว พวกเขาทำสิ่งเดียวกันได้สำเร็จ แต่เป็นสิ่งที่ดีกว่าอีกสิ่งหนึ่ง (หรือทั้งสองอย่าง!) ในกรณีของการสอบสวนมัลแวร์ และเพราะเหตุใด

0 + 0

มัลแวร์

chmod

สิทธิ์ของไฟล์

โนเอ็ก

Nikita Kipriyanov

3/3/23 08:37

ไดเร็กทอรีชั่วคราวของคุณควรติดตั้ง 'noexec,nosuid,nodev' เสมอ เช่นเดียวกับกฎความปลอดภัยทั่วไป และไม่ พวกเขาไม่ได้ทำสิ่งเดียวกันให้สำเร็จ ไฟล์ที่มีแอตทริบิวต์ `+x` ในไฟล์เก็บถาวรซึ่งเก็บแอตทริบิวต์นี้ (`tar`) ควรมีความหมายบางอย่าง โดยการลบแอตทริบิวต์ก่อนการวิเคราะห์ตัวอย่าง คุณจะสูญเสียข้อมูลเกี่ยวกับวัตถุไปเล็กน้อย

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Noexec vs chmod -R -x for malware interogation?

TH: Noexec vs chmod -R -x สำหรับการซักถามมัลแวร์?

RO: Noexec vs chmod -R -x pentru interogare malware?

RU: Noexec vs chmod -R -x для допроса вредоносных программ?

VI: Noexec vs chmod -R -x để thẩm vấn phần mềm độc hại?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา