Peki bu ortam tam olarak nasıl sağlanabilir? Galiba uğraştırıcı olduğundan ve kimsenin bununla uğraşacağını düşünmediğinizden yazmamışsınız: )
Eğer çok uğraştırıcıysa bunun yerine sandbox tarzı hazır yazılımlar kullansak, atıyorum Comodo'nun sanal makinesini veya sanallaştırıcısını kullansak, onlar da makbul sayılır mı? )
Diğer açıdan, testi illa sistemimizde yapmak zorunda da değiliz aslında, internette bu ortamı sunan emülatörler ve makineler -sınırlı imkanlı da olsa- varlar. Bunun yanında VirusTotal dahi tek başına çok işe yarıyor.
Ben genellikle iki sistem olan bir konfigürasyon kullanıyorum, zaten malware analizlerinde işlerin nasıl yürüdüğünü az çok biliyorsundur. Bir sistem izleme için, diğeri ise zararlının çalıştırılacağı yapı.
Tamamen ana bilgisayarından ayrı ve bağımsız bir sanal bir network kuruyorsun, kullandığın sanal makine yazılımı her neyse en güncel versiyonu kullanmaya dikkat ediyorsun VM-escape açıklardan kaçmak için.
Daha sonra birini gateway gibi kullanacağın Linux sistem veya dinamik analizi yaptığın işletim sistemi hangisiyse onunla aynı olmayacak bir sistem de olabilir, diğeri de bildiğin gibi Windows.
Pano erişimi, paylaşımlı klasörler, sürükle bırak, Bluetooth, USB gibi özellikleri devre dışı bırakıyorsun her iki sistemde de. Ayrıca aynı networkte olmaları ve zararlının çalışacağı sistemin gateway üstünden takip edilebilmesi için birtakım ayrı ayarlar da yapılması gerekiyor.
Daha sonra yine güvenlik için ana sistemde bazı önlemlerin alınması vesaire biraz uğraştırıcı diyebilirim. Özellikle temiz kurulum sonrası bir günümü alıyor bütün konfigürasyonları tamamlamak. Bu yazdıklarım sadece özet. Özel ayarlarım da bana kalsın güvenlik gereği pek söylemiyorum
Sandbox'lar iş görür mü dersen, bir dereceye kadar. Sandboxların, online servislerin ve VirusTotal gibi platformların bypass edilebildiği gerçeği de var. Bu nedenle izole ortamda analiz etmek daha makul fakat biraz daha zaman alıcı.