ฉันจะทำให้ระบบปฏิบัติการของฉันปรากฏเป็นเสมือนว่ากำลังใช้งานเสมือนจริงได้อย่างไร


10

จำนวนมากของมัลแวร์ในวันนี้มีความสามารถในการตรวจสอบเมื่อมีการทำงานเสมือนจริงภายใต้ VMWare, VirtualPC, ไวน์, หรือแม้กระทั่งใน Sandbox เช่นสุสานหรือCWSandBox

นี่หมายถึงว่ามัลแวร์มักจะ "ระงับ" หรือไม่ทำงานอย่างเป็นอันตรายเมื่อทำงานในสภาพแวดล้อมเสมือนเพื่อป้องกันการวิเคราะห์เจตนาที่แท้จริง

ความคิดของฉันเป็นเช่นนั้นทำไมไม่ทำให้พีซีของคุณปรากฏราวกับว่าเป็นเวอร์ชวลไลเซชัน? ไม่มีใครรู้ว่าฉันจะไปเกี่ยวกับเรื่องนี้ได้อย่างไร


3
เป็นเพียง "เรียกใช้ระบบปฏิบัติการของคุณใน VM หรือ hypervisor" คำตอบที่ชัดเจนเกินไปหรือไม่
Marc Gravell

เพราะฉันต้องการทำให้พีซีในสภาพแวดล้อมของฉันดูเหมือนว่ามัลแวร์ราวกับว่าพวกเขาเป็น VM ด้วยการทำเช่นนี้ฉันหวังว่ามัลแวร์ที่เลือกที่จะไม่ทำงานภายใน VM (เพื่อป้องกันการวิเคราะห์) จะถือว่านี่คือระบบเสมือนจริงและดังนั้นเพียงนักวิเคราะห์ทดสอบ ... และไม่เรียกใช้ตัวเอง มันเป็นส่วนหนึ่งของกลยุทธ์การป้องกันเชิงลึก ... แค่เลเยอร์เพิ่มเติม

คำตอบ:


9

นี่ไม่ใช่เทคนิคที่ดี การใช้มัลแวร์ในการทำงานเป็นอย่างดีเพราะมันอาจอยู่ภายใต้กล้องจุลทรรศน์ก็เหมือนกับการพึ่งพาแมวที่จะอยู่ต่อไปเพราะคุณบอกให้พวกเขาทำ มันเป็นแนวคิดที่น่าสนใจ แต่สิ่งหนึ่งที่ไม่คุ้มค่าในการนำไปใช้เป็นโซลูชั่นป้องกันมัลแวร์

ที่กล่าวไว้ตามที่ Marc แนะนำ - เพียงแค่เรียกใช้ระบบปฏิบัติการของคุณใน VM หรือ hypervisor หากคุณต้องการให้มัลแวร์ประพฤติตนราวกับอยู่ในสภาพแวดล้อมเสมือนจริง ผลการดำเนินงานเป็นราคาที่คุณจ่ายไปเพื่อความสบายใจ

สิ่งที่ควรทราบอีกประการหนึ่งคือมีจำนวนแอพเดสก์ท็อปที่ถูกต้องซึ่งไม่ทำงานภายใต้ VM เพราะ DRM ของพวกเขาคิดว่าพวกเขากำลังอยู่ในขั้นตอนของการออกแบบวิศวกรรมย้อนกลับ ความยุ่งยากในการใช้งานจากนั้นจะแย่มาก


1
"สิ่งที่ควรทราบอีกประการหนึ่งคือมีจำนวนแอพเดสก์ท็อปที่ถูกต้องซึ่งไม่ทำงานภายใต้ VM เพราะ DRM ของพวกเขาคิดว่าพวกเขากำลังอยู่ในขั้นตอนของการออกแบบวิศวกรรมย้อนกลับ" คุณสามารถเพิ่มตัวอย่างได้หรือไม่ ฉันชอบที่จะเห็นหนึ่งในแอพเหล่านั้น
Manuel Ferreria

Securom สำหรับเกมใหม่ ๆ ส่วนใหญ่สำหรับ starters
Paul McMillan

ขอบคุณสำหรับความคิดเห็น ความคิดนี้โผล่เข้ามาในหัวของฉันเป็นวิธีที่เป็นไปได้ที่จะทำให้มันยากขึ้นสำหรับระบบของฉัน (หมื่น) ติดเชื้อมัลแวร์ แม้ว่าจะมีผลิตภัณฑ์ป้องกันไวรัสไฟร์วอลล์ (ซอฟต์แวร์และฮาร์ดแวร์) ที่ทันสมัยและ NIDS / HIDS ยังคงมีผู้ดาวน์โหลดโทรจันที่อาจทำให้เกิดอาการปวดหัว ขอบคุณสำหรับความคิดเห็นของคุณ ... ดูเหมือนว่ามันอาจไม่ใช่ความคิดที่สดใสจริง ๆ !

ตอนนี้ฉันรู้สึกแปลกใจที่ถูกบังคับให้โพสต์วิดีโอที่ฉันทำจากแมวของฉันอยู่เพราะฉันบอกให้ จริงอยู่พฤติกรรมของมันทำให้ฉันตกใจ
dlamblin

0

นั่นเป็นเรื่องที่น่าสนใจ CodeProject มีบทความเกี่ยวกับวิธีการตรวจสอบว่าโปรแกรมของคุณทำงานได้ภายใน VM สระที่นี่ ดูเหมือนว่าวิธีการของ VMWare อาจเป็นวิธีที่ง่ายที่สุดในการปลอมแปลงเนื่องจากเกี่ยวข้องกับการเข้าถึงพอร์ตเพื่อสื่อสารกับโฮสต์


0

ลักษณะของมัลแวร์บอกว่าไม่ช้าก็เร็วผู้เขียนมัลแวร์จะสามารถตรวจพบได้หากคุณแกล้งทำระบบปฏิบัติการเสมือนจริง เป็นเพียงเรื่องของเวลา ฉันจะมุ่งเน้นความพยายามของฉันที่อื่น


สิ่งนี้จะเกิดขึ้นถ้าทุกคนเริ่มปลอมระบบปฏิบัติการเสมือนจริง แฮ็กเกอร์สองสามคนจะไม่คุ้มกับปัญหา
Christian


-1

ทำไมคุณติดตั้งซอฟต์แวร์ที่สงสัยในระบบของคุณ? ฉันคิดว่าแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดคือการใช้หรือซื้อซอฟต์แวร์จากแหล่งที่เชื่อถือได้ (ผู้จำหน่ายเองหรือชุมชนโอเพนซอร์สที่เชื่อถือได้) นอกจากนี้ซื้อโซลูชันความปลอดภัยที่ดี ฉันมี NOD32 และไม่เคยมีปัญหาเลยแม้แต่ครั้งเดียว


เพราะฉันทำการวิเคราะห์มัลแวร์สำหรับนายจ้างของฉัน ฉันต้องการทราบว่ามัลแวร์พยายามเข้าถึงอะไรและหากมีการดาวน์โหลดข้อมูลเพิ่มเติม ฉันไม่สามารถรู้สิ่งนี้ถ้าฉันไม่สามารถวิเคราะห์ได้อย่างง่ายดาย หากตรวจพบ VM (ซึ่งเป็นเรื่องง่าย) การใช้ VM ก็เป็นการใช้งานเพียงเล็กน้อย
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.