web-dev-qa-db-ja.com

Linuxで悪意のあるPDF=を直接表示できますか?

OSでの悪意のあるPDFの安全な表示についての質問があります。ほとんどの場合、OSは安全でマルウェアに耐性があると言われているため、Linux OSで直接表示してそれらを表示しても問題ないかどうか知りたいと思います。悪意のあるPDFを検出するプロジェクトに取り組んでいます。 VM=でのみ作業する必要がありますか、それともファイルをまったく開かずに、ソースコードでのみ作業する必要がありますか?

10
BlackSwan

ほとんどの場合、Linuxはマルウェアに耐性があると言うのは正しくありません。マルウェアが他のOSに集中しているだけです(ただし、攻撃者が複数のOSを標的にすることを妨げるものは何もありません)。 PDFは、マルウェアがLinux用に作成されておらず、実行されないことが確実でない限り、ボックスで開かないでください。

分析を実行する場合は、 Cuckoo などのサンドボックスを使用します。そうは言っても、一部のマルウェアはサンドボックスを認識しており、検出/分析を回避しようとします。

19
user169339

PDFを開いても安全かどうかは、環境(つまり、LinuxおよびPDFソフトウェア))がエクスプロイトに対して脆弱かどうかによって異なります。Linuxはマルウェアを防止するのではなく、ほとんどのマルウェアがWindowsをターゲットにしている場合があります。

しかし、未知の悪意のあるPDFがあなたに影響を与えるかどうかを決定的に判断することは困難です。

徹底的な調査を行うには、PDF in a VM or sandboxを表示し、サンドボックスでのエクスプロイトの動作を調べて、ソースコードを読み取ってみてください。 。より多くのメリットがあります!実際のOSで直接開くことはないので、リスクを冒す価値はありません。

6
bendodge

Linux上にあるからといって、安全に開くことができるとは思いません。 Cuckoo Sandbox( https://cuckoosandbox.org/ )のようなサンドボックスソリューションを自動分析に使用することをお勧めします。それはあなたにとって前途がありそうだと思われます。

1
Suedish