虚拟机中分析恶意代码
惠普打印机偷偷上传用户打印文件的数据(类型、时间戳、文件体积、使用报告)
Xcode Ghost感染的是程序员的开发工具,入侵编译的APP,进而致使用户数据被上传到指定网站
安全的研究恶意代码:
- 研究前建立一个安全环境
- 使用专用的物理主机或虚拟机,连接到一个隔离网络
虚拟机概述
虚拟机:软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的完整计算机系统
虚拟化:将事物从一种形式转变成另一种形式
网络配置
以VMware为例学习网络配置
桥接模式
虚拟机虚拟网卡通过虚拟网桥连接到主机网卡,虚拟机和物理机同时使用主机网卡;虚拟机、物理机、局域网可以相互访问,此时虚拟机IP必须与主机在同一网段且子网掩码、网关、DNS与主机网卡一致
NAT模式
模式类似于现实中的NAT,你可以访问私有网络外的公网,但是无法从公网去访问你的私有网络内的主机
虚拟机的NAT模式:网络地址转换,物理机为网关,虚拟机为子网
在NAT模式中,主机网卡直接与虚拟NAT设备相连,然后虚拟NAT设备与虚拟DHCP服务器一起连接在虚拟交换机VMnet8上,这样就实现了虚拟机联网。
仅主机(Host-only)模式
Host-Only模式其实就是NAT模式去除了虚拟NAT设备,然后使用VMware Network Adapter VMnet1虚拟网卡连接VMnet1虚拟交换机来与虚拟机通信的,Host-Only模式将虚拟机与外网隔开,使得虚拟机成为一个独立的系统,只能与主机相互通讯.
使用恶意代码分析机
拍摄快照:保存一个计算机的当前状态,并可以回滚之前的一个状态,与Windows还原点功能类似
从虚拟机传输文件:VMware Tools
虚拟机分析恶意代码的步骤
- 干净快照开始
- 恶意代码传输到虚拟机,在虚拟机中并分析
- 虚拟机中进行数据获取,并传输到真实主机中进行汇总
- 虚拟机快照保存
使用VMware进行恶意代码分析的风险
- 虚拟机探测:恶意代码使用反虚拟机技术
- 虚拟机逃逸:虚拟机软件自身漏洞
- 信息破坏:未知风险
记录/重放:重复计算机运行轨迹
看了下貌似现在版本的VMware已经不支持了,略过
总结
- 掌握虚拟机分析恶意代码的步骤
- 掌握虚拟机的网络模式
- 需要注意在虚拟环境中分析恶意代码,切记不可在物理机上