Làm thế nào tôi có thể làm cho hệ điều hành của mình xuất hiện như thể nó đang chạy ảo hóa?


10

Rất nhiều phần mềm độc hại ngày nay có thể phát hiện khi nó đang được ảo hóa trong VMWare, VirtualPC, WINE hoặc thậm chí trong một hộp cát như Anubis hoặc CWSandBox .

Điều này về cơ bản có nghĩa là phần mềm độc hại thường sẽ "giữ lại" hoặc không hoạt động độc hại khi chạy trong môi trường ảo để ngăn chặn phân tích ý định thực sự của nó.

Tôi nghĩ vậy, tại sao không làm cho PC của bạn xuất hiện như thể nó được ảo hóa? Có ai biết làm thế nào tôi có thể đi về điều này?


3
Có phải chỉ đơn giản là "chạy hệ điều hành của bạn trong máy ảo hoặc máy ảo hóa" là một câu trả lời quá rõ ràng?
Marc Gravell

Bởi vì tôi muốn làm cho máy tính trong môi trường của tôi xuất hiện phần mềm độc hại như thể chúng là máy ảo. Bằng cách này, hy vọng của tôi là phần mềm độc hại chọn không chạy bên trong VM (để ngăn phân tích) sẽ cho rằng đây là hệ thống được ảo hóa, và do đó đơn giản là một nhà phân tích đã thử nghiệm ... và không tự chạy. Đó là một phần của chiến lược phòng thủ chuyên sâu ... chỉ là một lớp bổ sung.

Câu trả lời:


9

Đây không phải là một kỹ thuật tốt. Dựa vào phần mềm độc hại để hành xử độc đáo bởi vì nó có thể ở dưới kính hiển vi giống như dựa vào mèo để ở lại vì bạn bảo chúng làm thế. Đó là một ý tưởng thú vị, nhưng một ý tưởng không đáng để thực hiện như một giải pháp chống phần mềm độc hại.

Điều đó nói rằng, như Marc đã đề xuất - thực sự chỉ chạy HĐH của bạn trong máy ảo hoặc máy ảo hóa, nếu bạn muốn phần mềm độc hại tự hoạt động như thể nó đang ở trong một môi trường ảo hóa. Điểm nhấn hiệu suất là cái giá nhỏ bạn phải trả cho sự an tâm được nâng cao như vậy.

Một mục lưu ý khác là có một số lượng lớn các ứng dụng máy tính để bàn hợp pháp không hoạt động trong máy ảo vì DRM của chúng nghĩ rằng chúng có thể đang trong quá trình thiết kế ngược. Những rắc rối về khả năng sử dụng từ đó sẽ là khủng khiếp.


1
"Một điều lưu ý khác là có một số lượng lớn các ứng dụng máy tính để bàn hợp pháp không hoạt động theo máy ảo vì DRM của chúng nghĩ rằng chúng có thể đang trong quá trình thiết kế ngược." Bạn có thể thêm một ví dụ? Tôi muốn thấy một trong những ứng dụng đó.
Manuel Ferreria

Securom trên hầu hết mọi trò chơi mới hơn, dành cho người mới bắt đầu.
Paul McMillan

Cảm ơn các ý kiến. Ý tưởng này xuất hiện trong đầu tôi như một cách có thể để làm cho các hệ thống của tôi (hàng chục ngàn người) bị nhiễm phần mềm độc hại khó hơn. Ngay cả với các sản phẩm chống vi-rút, tường lửa (phần mềm và phần cứng) và NIDS / HIDS cập nhật, vẫn có những trình tải xuống trojan có thể gây đau đầu. Cảm ơn ý kiến ​​của bạn ... điều này nghe có vẻ không phải là một ý tưởng sáng giá thực sự!

Điều kỳ lạ là bây giờ tôi cảm thấy bắt buộc phải đăng một video tôi làm cho con mèo của tôi ở lại vì tôi đã nói với nó. Cấp, đó là hành vi gây sốc cho tôi.
dlamblin

0

Đó là một chủ đề thú vị. CodeProject đã có một bài viết về cách phát hiện xem chương trình của bạn có chạy bên trong vm hay không, tại đây . Có vẻ như cách tiếp cận VMWare có thể dễ giả mạo nhất, vì nó liên quan đến việc truy cập một cổng để liên lạc với máy chủ.


0

Bản chất của phần mềm độc hại chỉ ra rằng sớm hay muộn, có thể sớm hơn, những người viết phần mềm độc hại sẽ có thể phát hiện nếu bạn giả mạo một hệ điều hành ảo hóa. Đó chỉ là vấn đề thời gian. Tôi sẽ tập trung nỗ lực của tôi ở nơi khác.


Điều đó sẽ chỉ xảy ra nếu mọi người sẽ bắt đầu giả mạo một hệ điều hành ảo hóa. Một vài tin tặc sẽ không có giá trị rắc rối.
Christian


-1

Tại sao bạn đang cài đặt phần mềm nghi vấn trên hệ thống của bạn? Tôi nghĩ rằng cách thực hành bảo mật tốt nhất là sử dụng hoặc mua phần mềm từ các nguồn đáng tin cậy (bản thân nhà cung cấp hoặc cộng đồng nguồn mở đáng tin cậy). Ngoài ra, mua một giải pháp bảo mật tốt; Tôi có NOD32 và chưa bao giờ, thậm chí không chỉ một lần, có vấn đề.


Bởi vì tôi đang làm phân tích phần mềm độc hại cho chủ nhân của tôi. Tôi muốn biết phần mềm độc hại nào đang cố truy cập và nếu nó đang tải xuống các tải trọng bổ sung. Tôi không thể biết điều này nếu tôi không thể dễ dàng phân tích nó. Nếu nó phát hiện một VM (rất dễ), thì việc sử dụng VM sẽ ít được sử dụng.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.