Как я могу заставить мою ОС выглядеть так, как будто она работает виртуализировано?

10

В наши дни многие вредоносные программы могут обнаруживать, когда они работают виртуально под VMWare, VirtualPC, WINE или даже в изолированной программной среде, такой как Anubis или CWSandBox .

По сути, это означает, что вредоносное ПО будет часто «сдерживаться» или не функционировать злонамеренно при работе в виртуальной среде, чтобы помешать анализу его истинных намерений.

Тогда я подумала, почему бы не заставить ваш компьютер выглядеть так, как будто он виртуализирован? Кто-нибудь знает, как я мог бы пойти по этому поводу?

Мик
источник
3
Является ли просто «запустить свою ОС на ВМ или гипервизоре» слишком очевидным ответом?
Марк Гравелл
Потому что я хочу, чтобы компьютеры в моей среде казались вредоносным программам, как если бы они были виртуальной машиной. Делая это, я надеюсь, что вредоносное ПО, которое решит не запускаться внутри виртуальной машины (для предотвращения анализа), будет предполагать, что это система виртуализирована, и, следовательно, просто тестовое поле для аналитиков ... и не запускается само по себе. Это часть стратегии глубокоэшелонированной защиты ... просто дополнительный слой.

Ответы:

9

Это не хорошая техника. Полагаться на то, что вредоносные программы ведут себя хорошо, потому что они могут находиться под микроскопом, - все равно, что полагаться на то, что кошки остаются на месте, потому что вы им об этом сказали. Это интересная идея, но ее не стоит реализовывать в качестве решения для защиты от вредоносных программ.

Тем не менее, как предположил Марк, просто запустите свою ОС на виртуальной машине или гипервизоре, если вы хотите, чтобы вредоносная программа работала так, как если бы она находилась в виртуализированной среде. Хит производительности - это крошечная цена, которую вы платите за такое спокойствие.

Еще один момент, который стоит отметить, состоит в том, что существует достаточное количество легальных настольных приложений, которые не работают под виртуальными машинами, потому что их DRM считает, что они могут быть в процессе реинжиниринга. Из-за этого неудобство использования было бы ужасным.

Пол Макмиллан
источник
1
«Еще один момент, который стоит отметить, состоит в том, что существует достаточное количество легальных настольных приложений, которые не работают под виртуальными машинами, потому что их DRM считает, что они могут быть в процессе реинжиниринга». Можете ли вы добавить пример? Я хотел бы увидеть одно из этих приложений.
Мануэль Феррерия
Securom на большинстве любых новых игр, для начала.
Пол Макмиллан
Спасибо за комментарии. Эта идея пришла мне в голову как возможный способ усложнить заражение моей системы (десятки тысяч) вредоносным ПО. Даже при наличии самых современных антивирусных продуктов, брандмауэров (программных и аппаратных) и NIDS / HIDS существуют троянские загрузчики, которые могут вызывать головные боли. Спасибо за ваше мнение ... Похоже, это не очень хорошая идея!
Странно, но теперь я чувствую себя обязанным опубликовать видео, которое я сделал о том, как моя кошка остается на месте, потому что я ей об этом сказал. Конечно, это поведение шокировало меня.
Дламблин
0

Это интересная тема. У CodeProject была статья о том, как определить, работает ли ваша программа внутри vm, здесь . Похоже, что подход VMWare может быть проще всего подделать, поскольку он предполагает доступ к порту для связи с хостом.


источник
0

Характер вредоносных программ подсказывает , что рано или поздно, скорее рано, авторы вредоносных программ будут в состоянии обнаружить , если вы притворяетесь виртуализированная ОС. Это только вопрос времени. Я бы сосредоточил свои усилия в другом месте.

jinsungy
источник
Это произойдет только в том случае, если все начнут притворяться виртуализированной ОС. Несколько хакеров не стоили бы хлопот.
Кристиан,
-1

Почему вы устанавливаете сомнительное программное обеспечение в вашей системе? Я думаю, что наилучшей практикой безопасности является использование или покупка программного обеспечения из надежных источников (самого поставщика или надежного сообщества с открытым исходным кодом). Кроме того, купите хорошее решение для безопасности; У меня есть NOD32, и у меня никогда не было проблем.

Ричард Клейтон
источник
Потому что я делаю анализ вредоносных программ для моего работодателя. Я хочу знать, к чему пытается обратиться вредоносная программа и загружает ли она дополнительные полезные данные. Я не могу знать это, если я не могу легко проанализировать это. Если он обнаруживает виртуальную машину (что легко), то использование виртуальной машины малопригодно.