IT之家「神教程」:VM虛擬機內的惡意程序測試指南
這次比特幣勒索事件之後,樣本很快就在網路上放出了。
有很多人想在自己電腦或是在虛擬機測試這個勒索程序,然而由於這些用戶疏忽了一些問題,最終還讓自己宿主機的文件被加密了,實在是得不償失。
雖說絕大多數病毒都不會穿透虛擬機感染宿主機,但是有些病毒畢竟會通過區域網傳染出去,所以這方面也必須要控制。
那麼,這篇文章就是寫給那些想測試病毒的吃瓜群眾的,專業人員可以繞行。
前提是你的宿主機是Windows系統,如果宿主機是macOS或Linux的話,那麼僅僅需要保證不要和其它Windows電腦在一個區域網內。
本教程使用VMware虛擬機來介紹如何建立一個足夠安全的惡意軟體測試環境。如果你使用的是其它的虛擬機,我無法給出對應的操作方法,歡迎各位在評論區補充。
如果哪個步驟操作存在疏忽,輕則無法測試,重則會導致宿主機的重要文件全部加密,由此產生的風險和損失作者並不承擔責任。請各位在測試的時候一定要小心謹慎,避免發生意外。
打開網路連接,禁用VMware Network Adapter VMnet8這個網路連接。
VMnet8的用途是,如果虛擬機採用的是NAT方式網路連接,通過VMnet8這個網路連接可以將宿主機和虛擬機劃入一個區域網里。如果禁用了VMnet8,虛擬機仍然能連接外網,但無法再和宿主機直接通過區域網聯繫了。
相關內容可以參考這篇VMware官網對此的介紹:https://www.vmware.com/support/ws3/doc/ws32_network8.html(雖然是很古老的VMware 3.2但對現在的VMware Workstation 12一樣適用)
然後就是在虛擬機內安裝系統。
為了避免在後續測試出現不必要的問題,請勿安裝來路不明的Ghost裝機版Windows系統。
請只使用來自可靠來源(比如MSDN)的Windows安裝鏡像文件。
虛擬機內的網路連接請設置成NAT。
至於如何在虛擬機內安裝系統,相信玩過虛擬機的人應該都會,這裡不做詳細介紹。但是,請不要使用VMware的簡易安裝功能,也不要在裝完系統之後安裝虛擬機增強插件(如VMware Tools)。至於原因,後面會做詳細說明。
裝完系統之後,你並不需要去激活系統,畢竟你只是用來測試,測試完成之後你就可以銷毀整個虛擬機了。
使用其它高級的文本編輯器(不要用記事本,可以用寫字板)打開你的虛擬機的vmx文件,在任意處加上這兩行:
monitor_control.restrict_backdoor = "TRUE"
disable_acceleration = "TRUE"
然後保存。
然後虛擬機設置里勾上「虛擬化Intel VT-x/EPT或AMD-V/RVI」。這還要求你的主板BIOS設置里開啟了相關的虛擬化技術,能否開啟隨廠商決定,近年的電腦一般都能開啟。
因為有些軟體或惡意程序如果發現是在虛擬機內運行或是檢測到虛擬機增強插件相關進程會拒絕啟動,這麼處理之後就可以在虛擬機內運行本不允許在虛擬機內運行的程序。(雖然WannaCry並不會檢測這個)
然後是把你想要放進虛擬機的東西複製進虛擬機。在沒有虛擬機增強插件的前提下,你有三種方法:
使用UltraISO之類的軟體將你想複製進去的文件做成ISO鏡像,然後載入進虛擬機;
將你想複製進去的東西複製進一個U盤,然後用虛擬機載入U盤(不是所有虛擬機軟體都支持U盤);
關閉虛擬機,使用能編輯虛擬硬碟鏡像的工具將文件複製進硬碟鏡像。
總而言之,複製進來之後,我們就可以準備測試了。如果你使用的是VMware Workstation Pro的話,你可以在測試之前做一個快照,以便為了測試下一個病毒之前還原回之前的狀態。我這裡用的是Player,這裡就只好關機備份虛擬硬碟鏡像了。
這裡我測試的正是WannaCrypt勒索程序樣本。為了確保各位不去輕易作死,這裡恕不提供樣本的下載,也請各位不要在評論區分享這個樣本。
桌面上的Malware Defender是一款HIPS防禦軟體,在高強度保護下會攔截一切操作,並會向用戶告知軟體執行了什麼樣的操作且詢問是否允許。很遺憾的是,該軟體僅支持32位Windows系統,且這樣的軟體並不適合日常的安全防護。你們可以根據你們的需要選擇是否要在虛擬機安裝這樣的軟體來分析惡意軟體的工作流程。
全部準備好之後,打開Malware Defender,調成正常模式。
然後打開惡意程序樣本(如果這個時候你插上了U盤,請立即將U盤拔出虛擬機),就會問你是否要確定運行,並且會逐步分析每個步驟發生了什麼。
回答了是否放行之後,你可以觀察到文件是不是被跟著加密了。
但無論如何,不會穿透出虛擬機。
這就是在虛擬機內測試一個惡意程序的基本方法,但同時完全不會影響到宿主機本身的正常運作。
在虛擬機內操作惡意軟體,就像是嘗試拆定時炸彈一樣,稍有不慎就會爆炸,波及到不必要的部分。所以請各位在測試之前,做好充分的防護工作。
對於一些想試圖研究出解決方案的人來講,還可以配合很多更強大的調試工具來進行破解。由於能力和精力有限,作者無法給出任何指導。
想看到更多這類內容?去APP商店搜IT之家,天天都有小歡喜。
※高通蘋果官司殃及池魚:富士康緯創等四大廠商被起訴
※微信iOS版v6.5.8重磅更新:加入微信實驗室(搜一搜、看一看)
※延續模塊化:聯想Moto Z2 Play真機照首曝
TAG:IT之家 |
※DISCO和VISYON合作開發新的教育AR應用程序
※程序猿神器選購指南之CPU和顯卡
※CNCERT關於軟體下載站傳播計算機惡意程序情況的通報
※《美數科技與HTC VIVE聯手打造虛擬現實(VR)程序化廣告平台》—【數字營銷行業大賞(ZHINIUER AWARDS)】平台
※譚力:建立IPO程序中的綠色通道
※設計屍 VS 程序猿
※PHP程序的JSON
※搞笑GIF:現實程序猿與電影中程序猿
※「互聯網+」商業模式之VR全景小程序
※S7-PLCSIM模擬軟體在線程序調試
※研究人員再揭PHP反串列化安全漏洞,恐使WordPress曝露遠程程序攻擊風險
※啟用PHP程序
※解密混淆的PHP程序
※MySQL 程序管理
※程序化廣告迎來新生:IAB技術實驗室修改OpenRTB規範
※蘋果MAC上出現新的DNS惡意程序
※現實中的程序猿 VS 電影中的程序猿
※AI-商業應用程序的採樣器
※NVIDIA正式放棄32位系統:驅動程序消失
※美數科技與 HTC VIVE 強強聯手,做 VR 程序化廣告領域的「頭號玩家」!