Jak mogę sprawić, by mój system operacyjny wyglądał tak, jakby był zwirtualizowany?


10

Wiele złośliwych programów jest obecnie w stanie wykryć, kiedy jest zwirtualizowane pod VMWare, VirtualPC, WINE, a nawet w piaskownicy, takiej jak Anubis lub CWSandBox .

Zasadniczo oznacza to, że złośliwe oprogramowanie często „powstrzymuje” lub nie działa złośliwie podczas działania w środowisku wirtualnym w celu udaremnienia analizy jego prawdziwych zamiarów.

Zastanawiam się więc, dlaczego nie sprawić, by komputer wyglądał na zwirtualizowany? Czy ktoś wie, jak mogę to zrobić?


3
Czy proste „uruchomienie systemu operacyjnego na maszynie wirtualnej lub hiperwizorze” jest zbyt oczywistą odpowiedzią?
Marc Gravell

Ponieważ chcę, aby komputery w moim środowisku wyglądały na złośliwe oprogramowanie, jakby były maszyną wirtualną. Robiąc to, mam nadzieję, że złośliwe oprogramowanie, które zdecyduje się nie uruchamiać w maszynie wirtualnej (aby zapobiec analizie) przyjmie, że jest to system zwirtualizowany, a zatem po prostu analityk testował ... i nie uruchamiał się sam. Jest to część strategii dogłębnej obrony ... tylko dodatkowa warstwa.

Odpowiedzi:


9

To nie jest dobra technika. Poleganie na złośliwym oprogramowaniu, które zachowuje się ładnie, ponieważ może znajdować się pod mikroskopem, przypomina trochę poleganie na kotach, które pozostaną na miejscu, ponieważ tak im kazałeś. To ciekawy pomysł, ale nie warty wdrożenia jako rozwiązanie anty-malware.

To powiedziawszy, jak sugerował Marc - po prostu uruchom swój system operacyjny na maszynie wirtualnej lub hiperwizorze, jeśli chcesz, aby złośliwe oprogramowanie zachowywało się tak, jakby działało w środowisku zwirtualizowanym. Hitem wydajności jest niewielka cena, którą płacisz za tak większy spokój ducha.

Inną ważną rzeczą jest to, że istnieje spora liczba legalnych aplikacji komputerowych, które nie działają na maszynach wirtualnych, ponieważ ich DRM sądzi, że mogą być w trakcie inżynierii wstecznej. Problem związany z użytecznością byłby straszny.


1
„Inną ważną rzeczą jest to, że istnieje spora liczba legalnych aplikacji komputerowych, które nie działają na maszynach wirtualnych, ponieważ ich DRM uważa, że ​​mogą być w trakcie inżynierii wstecznej”. Czy możesz dodać przykład? Chciałbym zobaczyć jedną z tych aplikacji.
Manuel Ferreria,

Securom w większości nowszych gier, na początek.
Paul McMillan

Dziękuję za komentarze. Ten pomysł pojawił się w mojej głowie jako możliwy sposób na utrudnienie zainfekowania mojego systemu (dziesiątki tysięcy) złośliwym oprogramowaniem. Nawet przy aktualnych produktach antywirusowych, zaporze ogniowej (oprogramowanie i sprzęt) oraz NIDS / HIDS nadal istnieją trojany pobierające, które mogą powodować bóle głowy. Dziękuję za twoje opinie ... to może brzmieć, jakby nie był to naprawdę świetny pomysł!

Dziwnie teraz czuję się zmuszony do opublikowania filmu, w którym nakręciłem mojego kota, ponieważ kazałem mu to zrobić. To prawda, zszokowało mnie to zachowanie.
dlamblin

0

To interesujący temat. CodeProject miał artykuł o tym, jak wykryć, czy twój program działał w vm, tutaj . Wygląda na to, że podejście VMWare może być najłatwiejsze do sfałszowania, ponieważ wymaga dostępu do portu w celu komunikacji z hostem.


0

Natura złośliwego oprogramowania narzuca, że ​​prędzej czy później, prawdopodobnie wcześniej, twórcy szkodliwego oprogramowania będą mogli wykryć, czy fałszujesz zwirtualizowany system operacyjny. To tylko kwestia czasu. Swoje wysiłki skoncentrowałbym gdzie indziej.


Stanie się tak tylko wtedy, gdy wszyscy zaczną fałszować zwirtualizowany system operacyjny. Kilku hakerów nie byłoby warte kłopotów.
Christian


-1

Dlaczego instalujesz podejrzane oprogramowanie w swoim systemie? Myślę, że najlepszą praktyką bezpieczeństwa jest używanie lub kupowanie oprogramowania z wiarygodnych źródeł (samego dostawcy lub niezawodnej społeczności open source). Ponadto kup dobre rozwiązanie bezpieczeństwa; Mam NOD32 i nigdy, ani razu, nie miałem problemu.


Ponieważ przeprowadzam analizę złośliwego oprogramowania dla mojego pracodawcy. Chcę wiedzieć, do czego złośliwe oprogramowanie próbuje uzyskać dostęp i czy pobiera dodatkowe ładunki. Nie mogę tego wiedzieć, jeśli nie mogę tego łatwo przeanalizować. Jeśli wykryje maszynę wirtualną (co jest łatwe), to użycie maszyny wirtualnej jest mało przydatne.
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.