|
作為網(wǎng)管員�����,惡意軟件分析可能并不是我們的最主要工作�����。不過�����,這并不代表惡意軟件分析不重要��。如果一個惡意軟件影響了你的桌面應用程序的使用��,你也許會考慮一下這種不熟悉的惡意代碼的性質(zhì)���。一般來說�,從行為分析入手開始你的調(diào)查工作����,也就是觀察惡意軟件怎樣影響文件系統(tǒng)、注冊表及網(wǎng)絡��,可以很快地就產(chǎn)生極有價值的結(jié)果���。一些虛擬化軟件�,如VMware虛擬機在這個分析過程中具有很大的幫助作用����。
VMware虛擬機是一個“虛擬PC”軟件.它使你可以在一臺機器上同時運行二個或更多Windows、DOS���、LINUX系統(tǒng)�����。與“多啟動”系統(tǒng)相比,VMware虛擬機采用了完全不同的概念�。多啟動系統(tǒng)在一個時刻只能運行一個系統(tǒng),在系統(tǒng)切換時需要重新啟動機器���。VMware虛擬機是真正“同時”運行��,多個操作系統(tǒng)在主系統(tǒng)的平臺上�,就象標準Windows應用程序那樣切換�。而且每個操作系統(tǒng)你都可以進行虛擬的分區(qū)、配置而不影響真實硬盤的數(shù)據(jù)�����,你甚至可以通過網(wǎng)卡將幾臺虛擬機用網(wǎng)卡連接為一個局域網(wǎng),極其方便��。不過今天我們要討論的是如何運用VMware虛擬機分析惡意軟件的問題���。
用VMware虛擬機進行惡意軟件分析的益處
VMware虛擬機支持同時運行在一個物理系統(tǒng)上的多個計算機的仿真。與一個使用完全不同的物理結(jié)構(gòu)部件的實驗環(huán)境相比�,這種方法用于惡意軟件分析有多種好處:
在分析實驗室中,擁有幾個系統(tǒng)通常是有益的���,因而惡意軟件只會與模擬的Internet部件交互�����。通過VMware虛擬機�,就可以構(gòu)建一個多部件的試驗室,而不用承擔多個物理系統(tǒng)的臃腫之苦����。
在感染惡意軟件之前,能夠捕捉系統(tǒng)狀態(tài)的快照���;而且通過定期的快照分析可以節(jié)省時間�����。這項功能可以提供一種幾乎瞬間就恢復到目標系統(tǒng)的簡單方式���。VMware虛擬機通過其集成的快照特性使這種恢復相當容易。VMware虛擬機 Workstation作為一種商業(yè)產(chǎn)品��,允許生成多個快照����。VMware Server是一種免費軟件,只支持單一快照。VMware Player也是一個免費的軟件���,不能捕捉系統(tǒng)快照��。
VMware虛擬機的host-only網(wǎng)絡選項對于通過仿真網(wǎng)絡連接虛擬系統(tǒng)極其方便����,而不需增加額外的硬件����。這項設置使得分析人員對將實驗室環(huán)境連接到生產(chǎn)網(wǎng)絡不會太感興趣。在用混雜模式(promiscuous mode) 監(jiān)聽時����,Host-only網(wǎng)絡允許虛擬系統(tǒng)在模擬的網(wǎng)絡上查看所有的數(shù)據(jù)通信。這使得對監(jiān)視網(wǎng)絡的交互性變得很容易�。
開始運用VMware虛擬機進行惡意軟件分析
準備一個基于VMware虛擬機的分析實驗室是相當簡單的事情。你需要一個擁有一個大容量內(nèi)存及磁盤空間的系統(tǒng)����,用以充當一個物理主機�����。你還需要必需的軟件:VMware Workstation 或 Server,以及要部署在實驗室的操作系統(tǒng)的安裝媒體���。
VMware虛擬機模仿計算機硬件��,因此你必須將操作系統(tǒng)安裝到每一個虛擬機之中���,這些虛擬機是用VMware虛擬機的新虛擬機向?qū)В╒irtual Machine Wizard)創(chuàng)建。操作系統(tǒng)安裝好后��,再安裝VMware虛擬機工具包(VMware Tools package)��,這樣會優(yōu)化VMware虛擬機的操作��。然后����,安裝適當?shù)膼阂廛浖治鲕浖?nbsp;
筆者推薦實驗環(huán)境擁有幾種不同的操作系統(tǒng)的虛擬主機,每一個操作系統(tǒng)代表惡意軟件可能攻擊的目標��。這就便于我們在本地環(huán)境中觀察惡意程序��。如果使用VMware Workstation��,你應該在安全更新安裝過程中���,在不同的時點上捕獲虛擬系統(tǒng)的快照���,從而可以在不同補丁級別上分析惡意軟件����。
保障生產(chǎn)系統(tǒng)的安全
在進行惡意軟件分析時���,必須采取預防措施不要讓生產(chǎn)系統(tǒng)網(wǎng)絡受到感染����。如果不進行地正確的處理或惡意程序樣本濫用了VMware虛擬機安裝程序中的一個漏洞�����,這種感染和破壞就會發(fā)生��。在VMware虛擬機中已經(jīng)有幾個眾所周知的漏洞���,這些漏洞從理論上講����,可允許惡意代碼從虛擬系統(tǒng)找到通向物理主機的方法����。感興趣的讀者可從此獲得相關(guān)的文檔資料。
為了減輕這些風險��,筆者建議如下的方法:
跟上VMware虛擬機安全補丁的步伐����,經(jīng)常瀏覽其網(wǎng)站,下載其最新的補丁�。
將某物理主機用于基于VMware虛擬機的試驗環(huán)境,就不要將它用于其它目的��。
不要將物理試驗系統(tǒng)連接到生產(chǎn)性網(wǎng)絡����。
用基于主機的入侵檢測軟件監(jiān)視物理主機,如一個文件集成檢查器��。
用克隆軟件定期重鏡象物理主機�,如Norton Ghots。如果這樣做速度太慢��,可以考慮使用硬件模塊�,如Core Restore,用于撤消對系統(tǒng)狀態(tài)的改變���。
使用VMware虛擬機進行惡意軟件分析的一個挑戰(zhàn)就是惡意代碼可能會檢測到它是否運行在一個虛擬系統(tǒng)之內(nèi)���,這會向惡意軟件指明它正在被分析���。如果你不能修改其代碼來刪除這項功能,你可以重新配置VMware虛擬機來使它更加秘密地運行����,可參考如下文檔對VM的.vmx文件進行設置。這些設置的最大問題是它們可能會降低虛擬系統(tǒng)的性能���,此外還要注意這些設置并不被VMware虛擬機支持�。
虛擬化選擇和策略
當然���,VMware虛擬機并非可用于惡意軟件分析的唯一虛擬化軟件�。常用的選擇還包括微軟的Virtual PC和Parallels Workstation�。
虛擬化軟件為構(gòu)建一個惡意軟件分析環(huán)境提供了一個方便省時的機制。不過���,一定要為防止惡意軟件逃離你的測試環(huán)境而建立必需的控制��。借助一個配置良好的VMware虛擬機試驗環(huán)境���,我們就可以充分利用惡意軟件的分析技巧�����。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
