Как я могу заставить мою ОС выглядеть так, как будто она работает виртуализировано?

690
Mick

В настоящее время многие вредоносные программы могут обнаруживать, когда они работают виртуально под VMWare, VirtualPC, WINE или даже в изолированной программной среде, такой как Anubis или CWSandBox .

По сути, это означает, что вредоносное ПО будет часто «сдерживаться» или не функционировать злонамеренно при работе в виртуальной среде, чтобы помешать анализу его истинных намерений.

Тогда я подумала, почему бы не сделать так, чтобы ваш компьютер казался виртуализированным? Кто-нибудь знает, как я мог бы пойти по этому поводу?

10
Является ли просто «запустить свою ОС на ВМ или гипервизоре» слишком очевидным ответом? Marc Gravell 14 лет назад 3
Потому что я хочу, чтобы компьютеры в моей среде казались вредоносным программам, как если бы они были виртуальной машиной. Делая это, я надеюсь, что вредоносное ПО, которое решит не запускаться внутри виртуальной машины (для предотвращения анализа), будет предполагать, что это виртуализированная система, и поэтому просто тестируемый стенд аналитиков ... и не запускается сам по себе. Это часть стратегии глубокой защиты ... просто дополнительный слой. 14 лет назад 0

5 ответов на вопрос

9
Paul McMillan

Это не очень хорошая техника. Полагаться на то, что вредоносные программы ведут себя хорошо, потому что они могут находиться под микроскопом, - все равно, что полагаться на то, что кошки остаются на месте, потому что вы им об этом сказали. Это интересная идея, но ее не стоит реализовывать в качестве решения для защиты от вредоносных программ.

Тем не менее, как предположил Марк, просто запустите свою ОС на виртуальной машине или гипервизоре, если хотите, чтобы вредоносная программа работала так, как если бы она находилась в виртуализированной среде. Хит производительности - это крошечная цена, которую вы платите за такое спокойствие.

Еще один момент, который стоит отметить, состоит в том, что существует достаточное количество легальных настольных приложений, которые не работают под виртуальными машинами, потому что их DRM считает, что они могут быть в процессе реинжиниринга. Из-за этого неудобство использования было бы ужасным.

«Еще один момент, который стоит отметить, состоит в том, что существует достаточное количество легальных настольных приложений, которые не работают под виртуальными машинами, потому что их DRM считает, что они могут быть в процессе реинжиниринга». Можете ли вы добавить пример? Я хотел бы увидеть одно из этих приложений. Manuel Ferreria 14 лет назад 1
Securom на большинстве любых новых игр, для начала. Paul McMillan 14 лет назад 0
Спасибо за комментарии. Эта идея пришла мне в голову как возможный способ усложнить заражение моей системы (десятки тысяч) вредоносным ПО. Даже при наличии самых современных антивирусных продуктов, брандмауэров (программных и аппаратных) и NIDS / HIDS существуют троянские загрузчики, которые могут вызывать головные боли. Спасибо за ваше мнение ... Похоже, это не очень хорошая идея! 14 лет назад 0
Странно, но теперь я чувствую себя обязанным опубликовать видео о том, как моя кошка остается на месте, потому что я ей об этом сказал. Конечно, это поведение шокировало меня. dlamblin 14 лет назад 0
0

Это интересная тема. У CodeProject была статья о том, как определить, работает ли ваша программа внутри vm, здесь . Похоже, что подход VMWare может быть проще всего подделать, поскольку он предполагает доступ к порту для связи с хостом.

0
jinsungy

Характер вредоносных программ подсказывает, что рано или поздно, скорее рано, авторы вредоносных программ будут в состоянии обнаружить, если вы притворяетесь виртуализированная ОС. Это только вопрос времени. Я бы сосредоточил свои усилия в другом месте.

Это произойдет только в том случае, если все начнут притворяться виртуализированной ОС. Несколько хакеров не стоили бы хлопот. Christian 14 лет назад 0
0

Для Linux существуют сценарии PERL, такие как virt-what и imvirt. Посмотрите на последний по адресу http://micky.ibh.net/~liske/imvirt.html

-1
Richard Clayton

Почему вы устанавливаете сомнительное программное обеспечение в вашей системе? Я думаю, что наилучшей практикой безопасности является использование или покупка программного обеспечения из надежных источников (самого поставщика или надежного сообщества с открытым исходным кодом). Кроме того, купите хорошее решение для безопасности; У меня есть NOD32, и у меня никогда не было проблем.

Потому что я делаю анализ вредоносных программ для моего работодателя. Я хочу знать, к чему пытается обратиться вредоносная программа и загружает ли она дополнительные полезные данные. Я не могу знать это, если я не могу легко проанализировать это. Если он обнаруживает виртуальную машину (что легко), то использование виртуальной машины малопригодно. 14 лет назад 0

Похожие вопросы