CH2 虚拟机中分析恶意代码

Xherlock

2022 年 11 月 02 日

394 次浏览

暂无评论

1215字数

恶意代码

# 虚拟机中分析恶意代码

惠普打印机偷偷上传用户打印文件的数据（类型、时间戳、文件体积、使用报告）

Xcode Ghost感染的是程序员的开发工具，入侵编译的APP，进而致使用户数据被上传到指定网站

安全的研究恶意代码：

* 研究前建立一个安全环境
* 使用专用的物理主机或虚拟机，连接到一个隔离网络

## 虚拟机概述

虚拟机：软件模拟的具有完整硬件系统功能的，运行在一个完全隔离环境中的完整计算机系统

虚拟化：将事物从一种形式转变成另一种形式

## 网络配置

[ VMware虚拟机三种网络连接模式详解](https://blog.csdn.net/weixin_44377973/article/details/105560269)

以VMware为例学习网络配置

### 桥接模式

虚拟机虚拟网卡通过虚拟网桥连接到主机网卡，虚拟机和物理机同时使用主机网卡；虚拟机、物理机、局域网可以相互访问，此时虚拟机IP必须与主机在同一网段且子网掩码、网关、DNS与主机网卡一致

### NAT模式

模式类似于现实中的NAT，你可以访问私有网络外的公网，但是无法从公网去访问你的私有网络内的主机

**虚拟机的NAT模式**：网络地址转换，物理机为网关，虚拟机为子网

在NAT模式中，主机网卡直接与虚拟NAT设备相连，然后虚拟NAT设备与虚拟DHCP服务器一起连接在虚拟交换机VMnet8上，这样就实现了虚拟机联网。

### 仅主机（Host-only）模式

Host-Only模式其实就是NAT模式去除了虚拟NAT设备，然后使用VMware Network Adapter VMnet1虚拟网卡连接VMnet1虚拟交换机来与虚拟机通信的，Host-Only模式将虚拟机与外网隔开，使得虚拟机成为一个独立的系统，只能与主机相互通讯.

## 使用恶意代码分析机

**拍摄快照**：保存一个计算机的当前状态，并可以回滚之前的一个状态，与Windows还原点功能类似

**从虚拟机传输文件**：VMware Tools

虚拟机分析恶意代码的步骤

* 干净快照开始
* 恶意代码传输到虚拟机，在虚拟机中并分析
* 虚拟机中进行数据获取，并传输到真实主机中进行汇总
* 虚拟机快照保存

## 使用VMware进行恶意代码分析的风险

* 虚拟机探测：恶意代码使用反虚拟机技术
* 虚拟机逃逸：虚拟机软件自身漏洞
* 信息破坏：未知风险

## 记录/重放：重复计算机运行轨迹

看了下貌似现在版本的VMware已经不支持了，略过

## 总结

* 掌握虚拟机分析恶意代码的步骤
* 掌握虚拟机的网络模式
* 需要注意在虚拟环境中分析恶意代码，切记不可在物理机上

最后修改：2022 年 11 月 02 日

如果觉得我的文章对你有用，请随意赞赏

CH2 虚拟机中分析恶意代码

Xherlock • 2022 年 11 月 02 日

CH2 虚拟机中分析恶意代码

发表评论取消回复

Reverse（十一）

Win11新机鼓捣记录

栈~数制转换

C++学习

Python实现文件管理系统（重命名和删除）

嵌入式系统

python读写csv文件

汇编语言学习（一）~基础知识

CSS3

Sqli-labs学习6

CH2 虚拟机中分析恶意代码

发表评论 取消回复

CH2 虚拟机中分析恶意代码

发表评论取消回复