• ?
    聯系我們

    廣東聯迪信息科技有限公司

    服務熱線

    網絡集成:400-899-0899

    軟件支持:400-8877-991

    咨詢熱線

    公司前臺:0756-2119588

    售前咨詢:0756-2133055

    公司地址

    珠海市香洲區興華路212號能源大廈二樓

    社會新聞
    當前位置 > 首頁 > 社會新聞

    “神教程”:VM虛擬機內的惡意程序測試指南

    類別:社會新聞發布人:聯迪發布時間:2017-05-18

    這次比特幣勒索事件之后,樣本很快就在網絡上放出了。

    有很多人想在自己電腦或是在虛擬機測試這個勒索程序,然而由于這些用戶疏忽了一些問題,最終還讓自己宿主機的文件被加密了,實在是得不償失。

    雖說絕大多數病毒都不會穿透虛擬機感染宿主機,但是有些病毒畢竟會通過局域網傳染出去,所以這方面也必須要控制。

     


    那么,這篇文章就是寫給那些想測試病毒的吃瓜群眾的,專業人員可以繞行。

    前提是你的宿主機是Windows系統,如果宿主機是macOS或Linux的話,那么僅僅需要保證不要和其它Windows電腦在一個局域網內。

    本教程使用VMware虛擬機來介紹如何建立一個足夠安全的惡意軟件測試環境。如果你使用的是其它的虛擬機,我無法給出對應的操作方法,歡迎各位在評論區補充。

    如果哪個步驟操作存在疏忽,輕則無法測試,重則會導致宿主機的重要文件全部加密,由此產生的風險和損失作者并不承擔責任。請各位在測試的時候一定要小心謹慎,避免發生意外。

    打開網絡連接,禁用VMware Network Adapter VMnet8這個網絡連接。

     


    VMnet8的用途是,如果虛擬機采用的是NAT方式網絡連接,通過VMnet8這個網絡連接可以將宿主機和虛擬機劃入一個局域網里。如果禁用了VMnet8,虛擬機仍然能連接外網,但無法再和宿主機直接通過局域網聯系了。

    相關內容可以參考這篇VMware官網對此的介紹:https://www.vmware.com/support/ws3/doc/ws32_network8.html(雖然是很古老的VMware 3.2但對現在的VMware Workstation 12一樣適用)

    然后就是在虛擬機內安裝系統。

    為了避免在后續測試出現不必要的問題,請勿安裝來路不明的Ghost裝機版Windows系統。

    請只使用來自可靠來源(比如MSDN)的Windows安裝鏡像文件。

    虛擬機內的網絡連接請設置成NAT。

     


    至于如何在虛擬機內安裝系統,相信玩過虛擬機的人應該都會,這里不做詳細介紹。但是,請不要使用VMware的簡易安裝功能,也不要在裝完系統之后安裝虛擬機增強插件(如VMware Tools)。至于原因,后面會做詳細說明。

     


    裝完系統之后,你并不需要去激活系統,畢竟你只是用來測試,測試完成之后你就可以銷毀整個虛擬機了。

    使用其它高級的文本編輯器(不要用記事本,可以用寫字板)打開你的虛擬機的vmx文件,在任意處加上這兩行:

    monitor_control.restrict_backdoor = "TRUE"

    disable_acceleration = "TRUE"

    然后保存。

     


    然后虛擬機設置里勾上“虛擬化Intel VT-x/EPT或AMD-V/RVI”。這還要求你的主板BIOS設置里開啟了相關的虛擬化技術,能否開啟隨廠商決定,近年的電腦一般都能開啟。

     


    因為有些軟件或惡意程序如果發現是在虛擬機內運行或是檢測到虛擬機增強插件相關進程會拒絕啟動,這么處理之后就可以在虛擬機內運行本不允許在虛擬機內運行的程序。(雖然WannaCry并不會檢測這個)

    然后是把你想要放進虛擬機的東西復制進虛擬機。在沒有虛擬機增強插件的前提下,你有三種方法:

    使用UltraISO之類的軟件將你想復制進去的文件做成ISO鏡像,然后加載進虛擬機;

    將你想復制進去的東西復制進一個U盤,然后用虛擬機加載U盤(不是所有虛擬機軟件都支持U盤);

    關閉虛擬機,使用能編輯虛擬硬盤鏡像的工具將文件復制進硬盤鏡像。

    總而言之,復制進來之后,我們就可以準備測試了。如果你使用的是VMware Workstation Pro的話,你可以在測試之前做一個快照,以便為了測試下一個病毒之前還原回之前的狀態。我這里用的是Player,這里就只好關機備份虛擬硬盤鏡像了。

     


    這里我測試的正是WannaCrypt勒索程序樣本。為了確保各位不去輕易作死,這里恕不提供樣本的下載,也請各位不要在評論區分享這個樣本。

    桌面上的Malware Defender是一款HIPS防御軟件,在高強度?;は祿嶗菇匾磺脅僮?,并會向用戶告知軟件執行了什么樣的操作且詢問是否允許。很遺憾的是,該軟件僅支持32位Windows系統,且這樣的軟件并不適合日常的安全防護。你們可以根據你們的需要選擇是否要在虛擬機安裝這樣的軟件來分析惡意軟件的工作流程。

    全部準備好之后,打開Malware Defender,調成正常模式。

     


    然后打開惡意程序樣本(如果這個時候你插上了U盤,請立即將U盤拔出虛擬機),就會問你是否要確定運行,并且會逐步分析每個步驟發生了什么。

     


     


     


    回答了是否放行之后,你可以觀察到文件是不是被跟著加密了。

     


    但無論如何,不會穿透出虛擬機。

    這就是在虛擬機內測試一個惡意程序的基本方法,但同時完全不會影響到宿主機本身的正常運作。

    在虛擬機內操作惡意軟件,就像是嘗試拆定時炸彈一樣,稍有不慎就會爆炸,波及到不必要的部分。所以請各位在測試之前,做好充分的防護工作。

    對于一些想試圖研究出解決方案的人來講,還可以配合很多更強大的調試工具來進行破解。由于能力和精力有限,作者無法給出任何指導。

    ?
    客服1 客服2 188金宝博比分直播
    {ganrao} 好友麻将作弊器怎么用 足球即时倍率,即时指数 极速11选5平台 每月3000元如何理财 360竞彩足球比分 浙江十一选五开奖结 商赢配资 成都麻将规则下叫 重庆幸运农场快乐十 河北快3 百搭麻将app 深圳风采开奖结果 最黄的黄色片叫什么 今天足球彩票比分 大赢家篮球比分即时比分 北京十一选五前三组