• 
    联系我们

    广东联迪信息科技有限公司

    服务热线

    网络集成:400⑻99-0899

    软件支持:400⑻877⑼91

    咨询热线

    公司前台:0756⑵119588

    公司传真:0756⑵119578

    售前咨询:0756⑵133055

    公司地址

    珠海市香洲区兴华路212号能源大厦2楼

    社会新闻
    当前位置 > 首页 > 社会新闻

    “神教程”:VM虚拟机内的恶意程序测试指南

    种别:社会新闻发布人:联迪发布时间:2017-05⑴8

    这次比特币勒索事件以后,样本很快就在网络上放出了。

    有很多人想在自己电脑或是在虚拟机测试这个勒索程序,但是由于这些用户忽视了1些问题,终究还让自己宿主机的文件被加密了,实在是得不偿失。

    虽然说绝大多数病毒都不会穿透虚拟机感染宿主机,但是有些病毒毕竟会通过局域网沾染出去,所以这方面也必须要控制。

     


    那末,这篇文章就是写给那些想测试病毒的吃瓜大众的,专业人员可以绕行。

    条件是你的宿主机是Windows系统,如果宿主机是macOS或Linux的话,那末仅仅需要保证不要和其它Windows电脑在1个局域网内。

    本教程使用VMware虚拟机来介绍如何建立1个足够安全的恶意软件测试环境。如果你使用的是其它的虚拟机,我没法给出对应的操作方法,欢迎各位在评论区补充。

    如果哪个步骤操作存在忽视,轻则没法测试,重则会导致宿主机的重要文件全部加密,由此产生的风险和损失作者其实不承当责任。请各位在测试的时候1定要谨慎谨慎,避免产生意外。

    打开网络连接,禁用VMware Network Adapter VMnet8这个网络连接。

     


    VMnet8的用处是,如果虚拟机采取的是NAT方式网络连接,通过VMnet8这个网络连接可以将宿主机和虚拟机划入1个局域网里。如果禁用了VMnet8,虚拟机依然能连接外网,但没法再和宿主机直接通过局域网联系了。

    相干内容可以参考这篇VMware官网对此的介绍:https://www。vmware。com/support/ws3/doc/ws32_network8。html(虽然是很古老的VMware 3。2但对现在的VMware Workstation 121样适用)

    然后就是在虚拟机内安装系统。

    为了不在后续测试出现没必要要的问题,请勿安装来路不明的Ghost装机版Windows系统。

    请只使用来自可靠来源(比如MSDN)的Windows安装镜像文件。

    虚拟机内的网络连接请设置成NAT。

     


    至于如何在虚拟机内安装系统,相信玩过虚拟机的人应当都会,这里不做详细介绍。但是,请不要使用VMware的简易安装功能,也不要在装完系统以后安装虚拟机增强插件(如VMware Tools)。至于缘由,后面会做详细说明。

     


    装完系统以后,你其实不需要去激活系统,毕竟你只是用来测试,测试完成以后你便可以够烧毁全部虚拟机了。

    使用其它高级的文本编辑器(不要用记事本,可以用写字板)打开你的虚拟机的vmx文件,在任意处加上这两行:

    monitor_control.restrict_backdoor = "TRUE"

    disable_acceleration = "TRUE"

    然后保存。

     


    然后虚拟机设置里勾上“虚拟化Intel VT-x/EPT或AMD-V/RVI”。这还要求你的主板BIOS设置里开启了相干的虚拟化技术,能否开启随厂商决定,最近几年的电脑1般都能开启。

     


    由于有些软件或恶意程序如果发现是在虚拟机内运行或是检测到虚拟机增强插件相干进程会谢绝启动,这么处理以后便可以够在虚拟机内运行本不允许在虚拟机内运行的程序。(虽然WannaCry其实不会检测这个)

    然后是把你想要放进虚拟机的东西复制进虚拟机。在没有虚拟机增强插件的条件下,你有3种方法:

    使用UltraISO之类的软件将你想复制进去的文件做成ISO镜像,然后加载进虚拟机;

    将你想复制进去的东西复制进1个U盘,然后用虚拟机加载U盘(不是所有虚拟机软件都支持U盘);

    关闭虚拟机,使用能编辑虚拟硬盘镜像的工具将文件复制进硬盘镜像。

    总而言之,复制进来以后,我们便可以够准备测试了。如果你使用的是VMware Workstation Pro的话,你可以在测试之前做1个快照,以便为了测试下1个病毒之前还原回之前的状态。我这里用的是Player,这里就只好关机备份虚拟硬盘镜像了。

     


    这里我测试的正是WannaCrypt勒索程序样本。为了确保各位不去轻易作死,这里恕不提供样本的下载,也请各位不要在评论辨别享这个样本。

    桌面上的Malware Defender是1款HIPS防御软件,在高强度保护下会拦截1切操作,并会向用户告知软件履行了甚么样的操作且询问是否是允许。很遗憾的是,该软件仅支持32位Windows系统,且这样的软件其实不合适平常的安全防护。你们可以根据你们的需要选择是否是要在虚拟机安装这样的软件来分析恶意软件的工作流程。

    全部准备好以后,打开Malware Defender,调成正常模式。

     


    然后打开恶意程序样本(如果这个时候你插上了U盘,请立行将U盘拔出虚拟机),就会问你是否是要肯定运行,并且会逐渐分析每一个步骤产生了甚么。

     


     


     


    回答了是否是放行以后,你可以视察到文件是否是被随着加密了。

     


    但不管如何,不会穿透出虚拟机。

    这就是在虚拟机内测试1个恶意程序的基本方法,但同时完全不会影响到宿主机本身的正常运作。

    在虚拟机内操作恶意软件,就像是尝试拆定时炸弹1样,稍有不慎就会爆炸,波及到没必要要的部份。所以请各位在测试之前,做好充分的防护工作。

    对1些想试图研究出解决方案的人来讲,还可以配合很多更强大的调试工具来进行破解。由于能力和精力有限,作者没法给出任何指导。