Entre otros grupos, estoy dentro de uno que se llama... malware analysis. Hay un hilo en el que participé porque me interesaba aprender muy bien a analizar bichos. O, al menos, por analizar los cambios que producían en el sistema objetivo. Ya había jugado con bichos antes. Pero fue eso, jugar. No ver los cambios producidos en el sistema.
Así, algunos de los programas que tengo que probar un año de estos, y que me sugirieron, sería InCtrl5. O RegShot. Que, según me cuentan, ambos hacen una comparación de dos snapshots del sistema. Un antes y un después. Así, te darán un informe sobre los cambios en el registro, o ficheros añadidos al sistema...
La otra cosa que sugerían, y que ya sabemos, es probar los bichos en una máquina virtual. Ya sea VMware, VirtualPC o VirtualBox, entre las famosas. Además, para mejorar el aislamiento, se podría ejecutar el programa de virtualización sobre una sandbox, como por ejemplo, Sandboxie. La sandbox, que no es algo muy común, permite aislar (en teoría) ese programa o bicho del resto del sistema. Si ya en teoría un proceso sólo puede acceder a su parte de memoria, esto lo que hace es... más o menos como si lo engañara para que en el caso de querer salir de su trozo de memoria asignado, no sea capaz de acceder.
Ahora bien, tal y como comentan en dicho hilo, una sandbox no tiene por qué ser 100% eficaz. En este tema no existe la seguridad absoluta. Del mismo modo que una máquina virtual te puede pasar un bicho sin necesidad de que tenga la red activada. Y sí, se puede hacer. A ver si lo escribo bien:
- ¿Ah, no? Entonces ¿Y esto qué es?
Al menos, es tal y como me lo comentaron. La verdad, sólo me he leído un artículo suyo. Y estoy suscrito en los feeds. Pero así lo hizo. Consiguió pasar de una máquina virtual al equipo físico a través de la memoria. Siguiendo con LinkedIn. En dicho comentario han publicado un sitio en el que hablan de los rings del sistema operativo. Está muy bien explicado.
Luego, si nos hacemos la pregunta: ¿puedo usar la sandboxie con las máquinas virtuales? ¿O ambas por separado? Supongo que dependerá de para qué. Si vas a ejecutar un bicho, lo mejor es usar ambas. Al menos, mejor eso que nada. O, tener un equipo que sea exclusivo para esos menesteres y que esté bien aislado. No se. Creo que ahora mismo no me puedo posicionar al respecto. ¿Alguien quiere dar su opinión al respecto?