玩毒注意事项

B100D1E55

不说什么不小心双击运行毒之类的事故。那种情况个人建议专门找一个地方放样本，然后强制那个路径入沙或者强行禁运比较稳妥

有人认为虚拟机运行就万无一失了，这里就算排除掉虚拟机容器本身的漏洞，恶意软件仍旧可以弄到一些信息——例如你的vmware增强套件会同步剪贴板，如果你用lastpass在宿主系统复制密码，那么这个密码也会传到虚拟机的剪贴板里。病毒只需要看看你的剪贴板内容即可

虚拟机测毒第一件事情就是别装增强套件，最低级的反虚拟机就是通过侦测这些特征达到目的的。此外别用VMWare，因为一些指令序列会被侦测


运行的时候请保证断网或者加一些混淆手段，不要听信什么作者叫你联网测试的东西，你的IP和你家地址会被看光光。你在玩病毒的时候可能作者正坐在那里翘着二郎腿看着鱼儿们上钩，改天心情好的时候可能还会找上门

虚拟机系统序列号用个人版的很危险，虚拟机里有个人隐私文件也很危险。不少样本会收集系统指纹cookie上传到服务器，如果你还在虚拟机登录过什么重要网站，那么请不要在里面联网运行样本

最后请小心局域网攻击，wannacry是个血淋林的例子。

玩毒请一万个小心。常在河边走，千万别湿鞋。样本区发帖的并不都带善意，请擦亮眼睛

灭灭之痕

刚看了楼主之前发的几篇文章，略有收获，结果楼主忽然发了一个这个……
隐约感觉楼主是不是中招了？
不过的确，X年前我也认为虚拟机很安全，后来稍微接触了一些虚拟机的工作原理就觉得应该会被穿。所以我决定……在Linux下头装虚拟机……虽然完全似乎没啥卵用，但是我内心有了一丝莫名的安慰。

B100D1E55

灭灭之痕 发表于 2017-10-24 09:05
刚看了楼主之前发的几篇文章，略有收获，结果楼主忽然发了一个这个……
隐约感觉楼主是不是中招了？ ...

并不是，我看到样本区有人怂恿大家联网测自制样本，善意提醒一下。我自己老早就知道这么一回事（以前测在线沙盘的时候用过这些猥琐的手段），但是估计不少人不知道

Jerry.Lin

感觉很少样本能穿吧……

没开共享只开网络的VM安全吗

B100D1E55

191196846 发表于 2017-10-24 09:07
感觉很少样本能穿吧……

没开共享只开网络的VM安全吗

你如果不介意你的IP地址外加附属信息暴露的话是没问题……而且如果没开共享但是处于同一个网域可能有漏洞攻击的风险

毒区从年初开始的一些自制/猥琐样本，特别是那些易语言的，实际行为都很可疑，经常向作者私有服务器发信标，我估计一些人是针对性的在卡饭钓鱼收集信息
大部分ransomware其实都有和黑客服务器通信的行为（例如交换密钥），如果是大面积攻击还好，作者不会注意个体用户。就怕针对性攻击

Jerry.Lin

IP地址没什么关系把……因为电脑上基本没重要的东西

也没什么人会闲着去黑呢……

那些样本真的有点猥琐

欧阳宣

我还是去把双击机器的wifi设为private吧

B100D1E55

191196846 发表于 2017-10-24 09:15
IP地址没什么关系把……因为电脑上基本没重要的东西

也没什么人会闲着去黑呢……

真要较劲，利用IP和少许社工就可以查到你真实身份。如果病毒作者本身有一些社工权限就更是这样

当然这些见仁见智，有人（比如我）就对这种非常敏感，有人无所谓也罢。我只是希望在意隐私的人不要因为这些高危行为给自己招来麻烦。

B100D1E55

欧阳宣 发表于 2017-10-24 09:17
我还是去把双击机器的wifi设为private吧

最保险的是客户机断网，有折腾精神的可以搞搞INetSim，或者一些不可名状的混淆，总之最好别裸奔。

wheyu。。。

下了一跳，还好本身电脑性能一般，没咋试过双击666