用VMware虛擬環境讓惡意軟體現形

來源:互聯網
上載者:User

  作為網管員,惡意軟體分析可能並不是我們的最主要工作。不過,如果一個惡意軟體影響了你的傳統型應用程式的使用,你也許會考慮一下這種不熟悉的惡意代碼的性質。一般來說,從行為分析入手開始你的調查工作,也就是觀察惡意軟體怎樣影響檔案系統、註冊表及網路,可以很快地就產生極有價值的結果。一些虛擬化軟體,如VMware在這個分析過程中具有很大的協助作用。

  VMWare是一個“虛擬PC”軟體.它使你可以在一台機器上同時運行二個或更多Windows、DOS、LINUX系統。與“多啟動”系統相比,VMWare採用了完全不同的概念。多啟動系統在一個時刻只能運行一個系統,在系統切換時需要重新啟動機器。VMWare是真正“同時”運行,多個作業系統在主系統的平台上,就象標準Windows應用程式那樣切換。而且每個作業系統你都可以進行虛擬分區、配置而不影響真實硬碟的資料,你甚至可以通過網卡將幾台虛擬機器用網卡串連為一個區域網路,極其方便。不過今天我們要討論的是如何運用VMware分析惡意軟體的問題。

  用VMware分析惡意軟體的益處

  VMware支援同時運行在一個物理系統上的多個電腦的模擬。與一個使用完全不同的物理結構組件的實驗環境相比,這種方法用於惡意軟體的行為分析有多種好處:

  在分析實驗室中,擁有幾個系統通常是有益的,因而惡意軟體只會與類比的Internet組件互動。通過VMware,就可以構建一個多組件的實驗室,而不用承擔多個物理系統的臃腫之苦。

  在感染惡意軟體之前,能夠捕捉系統狀態的快照;而且通過週期性快照分析可以節省時間。這項功能可以提供一種幾乎瞬間就恢複到目標系統的簡單方式。VMware通過其整合的快照特性使這種恢複相當容易。VMware Workstation作為一種商業產品,允許產生多個快照。VMware Server是一種免費軟體,只支援單一快照。VMware Player也是一個免費的軟體,不能捕捉系統快照。

  VMware的host-only網路選項對於通過模擬網路連接虛擬系統極其方便,而不需增加額外的硬體。這項設定使得分析人員對將實驗室環境串連到生產網路不會太感興趣。在用混雜模式(promiscuous mode) 監聽時,Host-only網路允許虛擬系統在類比的網路上查看所有的資料通訊。這使得對監視網路的互動性變得很容易。

  開始運用VMware分析惡意軟體

  準備一個基於VMware的分析實驗室是相當簡單的事情。你需要一個擁有一個大容量記憶體及磁碟空間的系統,用以充當一個物理主機。你還需要必需的軟體:VMware Workstation 或 Server,以及要部署在實驗室的作業系統的安裝媒體。

  VMware模仿電腦硬體,因此你必須將作業系統安裝到每一個虛擬機器之中,這些虛擬機器是用VMware的新虛擬機器嚮導(Virtual Machine Wizard)建立。作業系統安裝好後,再安裝VMware 工具包(VMware Tools package),這樣會最佳化VMware的操作。然後,安裝適當的惡意軟體分析軟體。

  筆者推薦實驗環境擁有幾種不同的作業系統的虛擬機器主機,每一個作業系統代表惡意軟體可能攻擊的目標。這就便於我們在本地環境中觀察惡意程式。如果使用VMware Workstation,你應該在安全更新安裝過程中,在不同的時點上捕獲虛擬系統的快照,從而可以在不同補丁層級上分析惡意軟體。

  保障生產系統的安全

  在對付惡意軟體時,必須採取預防措施不要讓生產系統網路受到感染。如果不進行地正確的處理或惡意程式樣本濫用了VMware安裝程式中的一個漏洞,這種感染和破壞就會發生。在VMware中已經有幾個眾所周知的漏洞,這些漏洞從理論上講,可允許惡意代碼從虛擬系統找到通向物理主機的方法。感興趣的讀者可從此獲得相關的文檔資料。

  為了減輕這些風險,筆者建議如下的方法:

  跟上VMware安全補丁的步伐,經常瀏覽其網站,下載其最新的補丁。

  將某物理主機用於基於VMware的實驗環境,就不要將它用於其它目的。

  不要將物理實驗系統串連到生產性網路。

  用基於主機的入侵檢測軟體監視物理主機,如一個檔案整合檢查器。

  用複製軟體定期重鏡象物理主機,如Norton Ghots。如果這樣做速度太慢,可以考慮使用硬體模組,如Core Restore,用於撤消對系統狀態的改變。

  使用VMware進行惡意軟體分析的一個挑戰就是惡意代碼可能會檢測到它是否運行在一個虛擬系統之內,這會向惡意軟體指明它正在被分析。如果你不能修改其代碼來刪除這項功能,你可以重新設定VMware來使它更加秘密地運行,可參考如下文檔對VM的.vmx檔案進行設定。這些設定的最大問題是它們可能會降低虛擬系統的效能,此外還要注意這些設定並不被VMware支援。

  虛擬化選擇和策略

  當然,VMware並非可用於惡意軟體分析的唯一虛擬化軟體。常用的選擇還包括微軟的Virtual PC和Parallels Workstation。

  虛擬化軟體為構建一個惡意軟體分析環境提供了一個方便省時的機制。不過,一定要為防止惡意軟體逃離你的測試環境而建立必需的控制。藉助一個配置良好的實驗環境,我們就可以充分利用惡意軟體的分析技巧。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。