如果我从计算机上移除受感染的驱动器,并使用 SATA-USB 连接器将其连接到另一台计算机以传输图像和文档,这样安全吗?因为 Windows 不会在受感染的驱动器上启动。
换句话说,我想知道在未启动操作系统的情况下,将受感染的 HDD 直接通过 SATA 转 USB 连接器连接到另一台 PC 是否比在启动操作系统时将其连接到 USB 驱动器并从 USB 连接到“干净”的计算机更安全。
答案1
如果我从计算机上移除受感染的驱动器,并使用 SATA-USB 连接器将其连接到另一台计算机以传输图像和文档,这样安全吗?因为 Windows 不会在受感染的驱动器上启动。
不太安全,而且肯定有风险。病毒可以在不启动系统的情况下传播。这就是勒索软件的传播方式。
如果必须这样做,请认识到风险,使用您自己的计算机(而不是别人的计算机),确保计算机具有顶级病毒防护功能(Windows Defender 很好)。
将驱动器连接到您的载体或外部连接,注意出现的任何警告,尽快复制您的文档,然后断开驱动器
然后对您使用的计算机运行完整的病毒扫描。
您可以通过从可启动的 USB Key(Windows 或 Linux)USB Key 启动计算机并将文件复制到外部 USB 驱动器来隔离计算机。这有助于降低风险。
答案2
安全是相对的。话虽如此,请继续阅读我推荐的取证流程。
首先,您应该在取证工作站上全系统禁用自动播放和自动运行。其次,断开取证工作站与所有网络(有线和无线网络)的连接。第三,在 Virtual Box 等软件中创建恢复虚拟机 (VM),确保虚拟机中的自动运行/自动播放也已禁用。考虑安装 Linux 发行版(如 Fedora 或 Ubuntu),而不是 Windows 作为取证工作站和 VM 的操作系统。
最后,在恢复虚拟机内连接并安装外部受感染驱动器,并且仅访问该虚拟环境内的内容。
创建第二个运行 Windows 的测试 VM,并保留正常配置。使用第二个已知干净的 USB 驱动器在恢复 VM 和测试 VM 之间传输数据。通过这种方式,您可以检查恶意软件是否以某种方式感染了您正在复制的内容。如果您发现此测试 VM 中存在感染,请找出原因,然后删除您的 VM 并从头开始,这次避免导致再次感染的操作。
当您完成并确认已备份干净数据后,请擦除受感染的媒体并删除虚拟机。
这是一种相当安全的方法,因为它可以深度防御恶意软件的意外执行,并且您可以逐步尝试恢复步骤。
如果您不完全理解这些,我建议您聘请一位了解安全取证工作的人士为您提供服务。