有没有办法在我的Linux系统上运行这个程序而不会可能感染病毒?
一个我想在Linux上运行的Windows可执行文件在VirusTotal上被识别为特洛伊木马,我该如何运行它而不影响我的系统?
- Alex Poulos
7
你需要告诉我们是哪种病毒。如果可能在Wine中运行,它可能会“感染”用户具有读写权限的任何文件(通常位于/home/your_user目录下)。如果你不以root身份运行它(或者Wine),它不太可能影响系统文件。 - Panther
你能告诉我们你试图运行的程序是什么,以及它来自哪里吗?正如bodhi.zaen所说,这可能只是一个误报,但除非我们知道你具体拥有什么,否则很难确定。 - Knowledge Cube
这是我试图运行的内容:https://www.virustotal.com/file/f9c972b2d60e1ac28563a45f647afee7337f5ff897a51df305b3de2af06da80f/analysis/1327287542/这是一个用于Wii自定义IOS的修改器 - 这个人坚称它不是病毒,但有3个杀毒软件说它是特洛伊木马。 - Alex Poulos
3很棒的问题! :) - Bruno Pereira
@AlexPoulos 你链接的页面看起来像是在多个不同的杀毒软件上运行扫描并显示结果。我以前用过类似的服务(尽管现在找不到它的页面了)。但一般来说,如果你通过这样的页面运行文件,只有几个扫描器说它被感染了,那很可能是一个误报。如果其中很大一部分说它被感染了(比如三分之一或更多),那你就应该开始担心了。另外,如果你能把你的评论编辑回答中,这样可以保持整洁。谢谢! - Knowledge Cube
@WarriorIng64 感谢你提供的信息,但如果我想确保并且绝对受到保护,我该如何确保在Wine环境下不会被木马感染? - Alex Poulos
1@AlexPoulos 对此,我只能说,如果你不亲自尝试,就无法确定。这一点是无论从互联网上获取的任何随机文件或软件,还是直接来自可靠机构的文件都是如此。如果提供了源代码,你可以阅读并编译它,或者在安装了Wine的测试机上进行测试,看看效果如何。但正如我之前所说,我认为这次应该不会有问题,尽管这个判断是基于概率的。 - Knowledge Cube
2个回答
你需要在一个隔离的测试系统中运行它,比如虚拟机,并调查它的功能。
它到底是什么?
很难相信你“需要”运行一个被感染的.exe文件。
也有可能你遇到了误报(取决于你是如何检测到病毒以及是否进行了任何调查)。
它到底是什么?
很难相信你“需要”运行一个被感染的.exe文件。
也有可能你遇到了误报(取决于你是如何检测到病毒以及是否进行了任何调查)。
- Panther
1
这是一个由某人制作的程序,用于帮助修改Wii的自定义IOS。https://www.virustotal.com/file/f9c972b2d60e1ac28563a45f647afee7337f5ff897a51df305b3de2af06da80f/analysis/1327287542/ - Alex Poulos
请注意,尽管这个可能会很好地运行,但在任何活动系统中运行病毒绝不是一个好主意,即使你确信可以恢复/消除病毒的影响。为了更安全的方法,建议参考bodhi.zazen的回答。这是运行一些并不真正安全的东西的最安全步骤。
此时,请查找为瓶子创建的挂载点,它们应该在驱动器选项卡上。删除任何不是的字母,这样可以防止木马对您的家庭目录或根文件系统中的任何文件进行篡改。
另一个选择是,正如bodhi.zazen所说的那样,从Ubuntu软件中心安装VirtualBox,在VirtualBox中创建一个新的虚拟系统,并在该虚拟系统中运行.exe文件。
有关VirtualBox的更多信息,请访问Wikipedia页面、官方VirtualBox页面,并查看AskUbuntu.com上的如何安装VirtualBox。
从您添加到评论中的AV扫描报告来看,我可以看出列表中只有一个引擎检测到了它,我会说这是误报。
运行在Wine前缀内的任何程序只能访问您家目录下 .wine 前缀文件夹中的虚拟瓶子,不能访问其他内容。它们被限制在那个瓶子里。
也就是说,一个默认创建的瓶子同时会在您的家目录和根文件系统中创建标准链接,您需要在运行可执行文件之前确保删除这些链接。一些棘手的特洛伊木马会扫描驱动器以查找可执行文件或其他特定文件类型并试图感染它们。
更好的选择是创建一个新的瓶子,这样可以将其与您的正常瓶子隔离开来。为此,您需要在单独的前缀上运行 .exe 文件,按照以下示例操作:
export WINEPREFIX=~/wine_possible_trojan
wine winecfg
此时,请查找为瓶子创建的挂载点,它们应该在驱动器选项卡上。删除任何不是的字母,这样可以防止木马对您的家庭目录或根文件系统中的任何文件进行篡改。
WINEPREFIX=~/wine_possible_trojan wine path_to_exefile.exe
删除~/wine_possible_trojan之后,将从您的系统中删除该瓶子,并消除特洛伊木马在该瓶子内所做的修改。
如果您不确定,您还可以在Linux系统中安装一个病毒扫描器,并在删除.wine前(可能也是之前)运行它以查看是否有任何问题。请参考以下链接以获取可用选项:
另一个选择是,正如bodhi.zazen所说的那样,从Ubuntu软件中心安装VirtualBox,在VirtualBox中创建一个新的虚拟系统,并在该虚拟系统中运行.exe文件。
有关VirtualBox的更多信息,请访问Wikipedia页面、官方VirtualBox页面,并查看AskUbuntu.com上的如何安装VirtualBox。
从您添加到评论中的AV扫描报告来看,我可以看出列表中只有一个引擎检测到了它,我会说这是误报。
- Bruno Pereira
9
如何在隔离环境中运行这个? - Alex Poulos
酒瓶就像是一个孤立的环境,删除
~/.wine目录,这个环境就消失了。除此之外,按照@bodhi.zazen的指示,在虚拟机系统上运行它。 - Bruno Pereira一些我可以在Ubuntu上下载和运行的VirtualBox应用程序是什么? - Alex Poulos
有没有什么百分之百的方法,可以确保我在运行这个程序时不会被感染? - Alex Poulos
那么它几乎类似于一个沙盒,对吗? - Alex Poulos
嗯...阻止我完成这件事情的唯一原因就是需要与Wine团队进行一些双重确认。我之前有过类似的问题,他们给了我一些不太令人放心的回答。我装有clamav并用它进行了扫描,没有发现任何问题。 - Alex Poulos
让我们在聊天中继续这个讨论:http://chat.stackexchange.com/rooms/2279/discussion-between-alex-poulos-and-bruno-pereira - Alex Poulos
据我所知,Wine通常默认设置了驱动器字母,指向您的主目录和根文件系统。这意味着您所说的"瓶子"实际上包含了您整个主目录以及您有权限访问的文件系统中的任何内容。不过,也许最近已经有所改变了...? - detly
@detly 不,我不这么认为。我不能完全确定在运行可执行文件之前创建一个新的前缀是否也是正确的。谢谢你提醒我,我会编辑答案以反映这一点。 - Bruno Pereira