IT之家“神教程”:VM虚拟机内的恶意程序测试指南

  • 时间:
  • 浏览:2
  • 来源:1分快3平台-5分11选5投注平台_5分3D娱乐平台

感谢IT之家外国女网友洛克人EXE后援团光卡的投稿

这次比特币勒索事件事先,样本调快就在网络中放出了。

有或多或少人想在当时人电脑或是在虚拟机测试这俩 勒索线程运行,然而将会哪几种用户疏忽了或多或少问题报告 ,最终还让当时人宿主机的文件被加密了,随便说说是得不偿失。

虽说绝大多数病毒全是会穿透虚拟机感染宿主机,假使 或多或少病毒毕竟会通过局域网传染出去,或多或少这方面也前要要控制。

还上能了,这篇文章或多或少写给哪几种想测试病毒的吃瓜群众的,专业人员还前要绕行。

前提那个她 的宿主机是Windows系统,将会宿主机是macOS或Linux说说,还上能了仅仅前要保证无须和其它Windows电脑在有有一个局域网内。

本教程使用VMware虚拟机来介绍怎么建立有有一个足够安全的恶意软件测试环境。将会你使用的是其它的虚拟机,我无法给出对应的操作土依据,欢迎各位在评论区补充。

将会哪个步骤操作位于疏忽,轻则无法测试,重则会原应着宿主机的重要文件完全加密,由此产生的风险和损失作者无须承担责任。请各位在测试的事先一定要小心谨慎,补救位于意外。

打开网络连接,禁用VMware Network Adapter VMnet8这俩 网络连接。

VMnet8的用途是,将会虚拟机采用的是NAT土依据网络连接,通过VMnet8这俩 网络连接还前要将宿主机和虚拟机划入有有一个局域网里。将会禁用了VMnet8,虚拟机仍然能连接外网,但无法再和宿主机直接通过局域网联系了。

相关内容还前要参考这篇VMware官网对此的介绍:https://www.vmware.com/support/ws3/doc/ws32_network8.html(随便说说是很古老的VMware 3.2但对现在的VMware Workstation 12一样适用)

假使 或多或少在虚拟机内安装系统。

为了补救在后续测试经常出先无前要的问题报告 ,请勿安装来路不明的Ghost装机版Windows系统。

请只使用来自可靠来源(比如MSDN)的Windows安装镜像文件。

虚拟机内的网络连接请设置成NAT。

至于怎么在虚拟机内安装系统,相信玩过虚拟机的人应该全是,这里不做完全介绍。假使 ,请无须使用VMware的简易安装功能,或多或少要在装完系统事先安装虚拟机增强插件(如VMware Tools)。至于原应着,上方会做完全说明。

装完系统事先,你无须前要去激活系统,毕竟你或多或少用来测试,测试完成事先你就还前要销毁整个虚拟机了。

使用其它高级的文本编辑器(无须用记事本,还前要用写字板)打开你的虚拟机的vmx文件,在任意处上加这两行:

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

假使 保存。

假使 虚拟机设置里勾上“虚拟化Intel VT-x/EPT或AMD-V/RVI”。这前要求你的主板BIOS设置里开启了相关的虚拟化技术,还前要开启随厂商决定,近年的电脑一般都能开启。

将会或多或少软件或恶意线程运行将会发现是在虚拟机内运行或是检测到虚拟机增强插件相关线程运行运行会拒绝启动,还上能了补救事先就还前要在虚拟机内运行本不允许在虚拟机内运行的线程运行。(随便说说WannaCry无须会检测这俩 )

假使 是把你我不要 插进虚拟机的东西克隆进虚拟机。在还上能了虚拟机增强插件的前提下,你有五种生活土依据:

使用UltraISO类式的软件将你想克隆进去的文件做成ISO镜像,假使 加载进虚拟机;

将你想克隆进去的东西克隆进有有一个U盘,假使 用虚拟机加载U盘(全是所有虚拟机软件都支持U盘);

关闭虚拟机,使用能编辑虚拟硬盘镜像的工具将文件克隆进硬盘镜像。

总而言之,克隆进来事先,大伙儿就还前要准备测试了。将会你使用的是VMware Workstation Pro说说,我能 在测试事先做有有一个快照,以便为了测试下有有一个病毒事先还原回事先的情況。我这里用的是Player,这里就只好关机备份虚拟硬盘镜像了。

这里我测试的正是WannaCrypt勒索线程运行样本。为了确保各位不去轻易作死,这里恕不提供样本的下载,也请各位无须在评论区分享这俩 样本。

桌面上的Malware Defender是一款HIPS防御软件,在高速率单位保护下会拦截一切操作,并会向用户告知软件执行了哪几种样的操作且询问与否允许。很遗憾的是,该软件仅支持32位Windows系统,且那我的软件无须适合日常的安全防护。大伙儿还前要根据大伙儿的前要确定与否要在虚拟机安装那我的软件来分析恶意软件的工作流程。

完全准备好事先,打开Malware Defender,调成正常模式。

假使 打开恶意线程运行样本(将会这俩 事先你插上了U盘,请立即将U盘拔出虚拟机),就会告诉我与否要确定运行,假使 会逐步分析每个步骤位于了哪几种。

回答了与否放行事先,我能 观察到文件是全是被跟着加密了。

但无论怎么,我不要 穿透出虚拟机。

这或多或少在虚拟机内测试有有一个恶意线程运行的基本土依据,但一起完全我不要 影响到宿主机五种生活的正常运作。

在虚拟机内操作恶意软件,就像是尝试拆定时炸弹一样,稍有不慎就会爆炸,波及到无前要的帕累托图。或多或少请各位在测试事先,做好充分的防护工作。

对于或多或少想试图研究出补救方案的人来讲,还还前要配合或多或少更强大的调试工具来进行破解。将会能力和精力有限,作者无法给出任何指导。