解压工具的安全性

Question

解压缩不受信任的文件有多安全？打开拉链？我在用debian jessie。在提取文件内容的同时，可以采取哪些步骤来最小化威胁？

Answer 1

解压缩不受信任的文件有多安全？

只要看一下用于解压的CVE，就会发现一些可能的代码执行、修改现有文件的权限、覆盖当前目录之外的任意文件.

unrar的CVE列表更短，但也包括代码执行。

在提取文件内容的同时，可以采取哪些步骤来最小化威胁？

任何类型的特权分离和沙箱，即虚拟机、chroot环境或容器，.当然还有最新的补丁。

解压缩和解压缩实际上没有什么特别之处--您应该对任何类型的潜在恶意文件(其中至少包含有可疑来源的所有内容)采取同样的注意措施。

Answer 2

必须运行文件中包含的恶意有效负载，以便可以使用该负载。仅将文件存放在文件系统上并不会带来风险，前提是：

• 一旦发现给定类型的文件，就不会自动触发任何操作。这通常是通过图形用户界面来完成的，它们想要变得智能，例如，生成缩略图。
• zip文件本身不会以创建递归目录的方式构建，直到您用完inode(或其他资源)为止。

如果您有疑问，请使用没有GUI的丢弃虚拟机，安装后将进行快照，并从该快照中运行敏感操作。

Answer 3

我建议看看文件的大小和内容。2015年6月的某个时候，我的工作地点，我在那里工作，因为我的IT受到了密码的打击。我的任务是找出它的来源和效果。

几个小时后，我在一封电子邮件中找到了一个拉链附件。还不到300个字节。双击电子邮件使其将代码注入内置的windows zip程序，然后下载cryptoware并从用户临时目录中安装。这是一台windows机器。我从临时文件夹中删除了执行权限，并解决了这个问题。几天前，我们在邮件中收到了另一份礼物，但这一次，由于无法执行，它出错了。

我不得不说，大多数(如果不是全部的话)隐形眼镜和其他小坏蛋都是专门针对窗户的。如果您使用的是Linux，您可能会很好。先隔离文件。在这一点上，我同意Steffen Ullrich的观点。

另一方面，我们并没有屈服于恐怖主义。我们把生效的文件从后援处拿回来了。始终保持一组好的备份。