Создайте виртуальную машину зараженной машины для антивирусного поставщика.
В wineнет «инструмента», который мог бы эмулировать это поведение панели управления, как вы спрашиваете, где вы можете перечислить все установленное программное обеспечение, а winecfgбудет настраивать только те вещи, которые были использованы последним WINEPREFIX., но не будет перечислять установленное на нем программное обеспечение. Кроме того, вы используете пользовательский WINEPREFIX, поэтому Wine никак не может угадать, какие префиксы вы установили на своей машине.
Почему существуют префиксы? Чтобы лучше изолировать конкретную конфигурацию программного обеспечения Windows и потребности + зависимости, которые у него могут быть.
Некоторые инструменты управления библиотеками, такие как Lutris , могут работать с префиксами приложений и версиями Wine -, но вам придется установить с их помощью свое программное обеспечение или создать новую запись в Lutris вручную, что в значительной степени то же самое делается с PlayOnLinux.
Самый безопасный способ сделать это — загрузить машину с работающего дистрибутива с достаточно большой постоянной памятью для установки VirtualBox.
Things needed: Target system, Live Distro USB with persistent storage, USB to store clone on
Boot with all networking cards un-plugged/removed, if not able to un-plug/remove wired/wireless card/s then change all wifi passwords for the routers it has/had access to before turning the target machine on in case you fail to boot directly to the live distro. Make sure all media needed is installed, ie. target, storage, and live distro...
Включение системы
При необходимости измените порядок загрузки BIOS для загрузки живого дистрибутива. Обратитесь к руководству производителя для входа в BIOS.
В живом дистрибутиве узнайте путь к диску для клонируемой системы и диск, на котором вы хотите сохранить образ. Вы можете использовать lsblkдля этого.
Установите VirtualBox на работающий дистрибутив.sudo su -apt-get install virtualbox
Затем выполните следующую команду:
VBoxManage convertfromraw /path/to/drive/to/clone /path/to/store/on/MyImage.vdi --format VDI
The drive to store the image on should be separate from the live distro and the drive being cloned.
1. Конечно, можно создать USB с загрузочным Linux специально для этой конкретной цели. На самом деле существует несколько дистрибутивов Linux, созданных специально для задач, связанных с криминалистическим анализом и восстановлением данных. Если вы работаете в технологической компании, у вас всегда должно быть под рукой несколько «спасательных наборов», т. е. безопасные коробки со спасательными USB-накопителями, образы ОС, любые шаблоны для скриптов/баз данных, которые помогут вам как можно быстрее начать работу, будь то из-за кибератаки или физического пожара.
Пожалуйста, предоставьте некоторую информацию о типе атаки/повреждения системы, с которым вы имеете дело, и я обновлю этот ответ соответствующим дистрибутивом для анализа/восстановления.
2. Создание виртуальной машины зараженной системы должно быть окончательным подходом. Я имею в виду, что вы можете использовать виртуальную машину для изучения инфекции (аналогично изучению смертельного вируса в очень защищенной лаборатории ), преднамеренно заражая чистую виртуальную машину заданным вредоносным ПО.
- Во-первых, это, скорее всего, не позволит вам должным образом изучить текущую неизвестную киберугрозу или определить векторы атак, присутствующие в вашей компании, когда вы совершенно не представляете, с чем имеете дело.
- Во-вторых, подключение к зараженной/скомпрометированной ВМ теоретически всегда может подвергать хост «некоторому» типу вектора «атаки». Атака может быть безобидной, но она может быть неизвестного/необнаруженного/непропатченного типа. В прошлом было обнаружено множество уязвимостей виртуальных машин, и в будущем будет обнаружено множество уязвимостей VM Advisories . Следовательно, рекомендуется, чтобы спасательная/хост-ОС, выполняющая анализ, всегда представляла собой отбрасываемую систему (, автономное -аппаратное обеспечение, работающий USB-накопитель и т. д. ).
- Если вы еще не знаете и не понимаете реальную угрозу, с которой имеете дело, а еще лучше у вас есть способ заткнуть дыру, всегда ожидайте наихудшего сценария развития событий.Всегда сводите к минимуму любую возможность перезапуска/продолжения атаки каким-либо образом.
Каждый день активно ищутся и обнаруживаются новые уязвимости нулевого -дня, и ваша машина, возможно, только что подверглась воздействию чего-то настолько нового, что эксперты по безопасности все еще анализируют ее.
3.
While our security provider is very interested in looking at the computer, we can't risk turning it on in our network.
Я не знаю, как еще это выразить, но если ваш поставщик услуг безопасности ожидает, что ваша компания/вы настроите его для тестирования, я настоятельно рекомендую вам найти нового поставщика услуг безопасности. Для этого есть бесчисленное множество причин, но самые важные из них, которые вам, ребята, должны быть интересны, - это юридические, а именно текущая и будущая ответственность, а также вопросы цепочки поставок (, если это было сделано нынешним / бывшим сотрудником, поскольку это наиболее часто ).
Поставщик антивирусного -вредоносного ПО обратил мое внимание на этот продукт VMWare , который может помочь. Попробую и опубликую результаты здесь для всеобщего блага.
Править :Это не то, что я ищу! Будет следовать предложению комментатора использовать dcfldd.