使用VMware虛擬機(jī)實(shí)現(xiàn)惡意軟件分析

VMware虛擬機(jī)是一個(gè)“虛擬PC”軟件.它使你可以在一臺(tái)機(jī)器上同時(shí)運(yùn)行二個(gè)或更多Windows、DOS、LINUX系統(tǒng)。與“多啟動(dòng)”系統(tǒng)相比,VMware虛擬機(jī)采用了完全不同的概念。多啟動(dòng)系統(tǒng)在一個(gè)時(shí)刻只能運(yùn)行一個(gè)系統(tǒng)，在系統(tǒng)切換時(shí)需要重新啟動(dòng)機(jī)器。VMware虛擬機(jī)是真正“同時(shí)”運(yùn)行，多個(gè)操作系統(tǒng)在主系統(tǒng)的平臺(tái)上，就象標(biāo)準(zhǔn)Windows應(yīng)用程序那樣切換。而且每個(gè)操作系統(tǒng)你都可以進(jìn)行虛擬的分區(qū)、配置而不影響真實(shí)硬盤的數(shù)據(jù)，你甚至可以通過(guò)網(wǎng)卡將幾臺(tái)虛擬機(jī)用網(wǎng)卡連接為一個(gè)局域網(wǎng),極其方便。不過(guò)今天我們要討論的是如何運(yùn)用VMware虛擬機(jī)分析惡意軟件的問(wèn)題。 

用VMware虛擬機(jī)進(jìn)行惡意軟件分析的益處 

VMware虛擬機(jī)支持同時(shí)運(yùn)行在一個(gè)物理系統(tǒng)上的多個(gè)計(jì)算機(jī)的仿真。與一個(gè)使用完全不同的物理結(jié)構(gòu)部件的實(shí)驗(yàn)環(huán)境相比，這種方法用于惡意軟件分析有多種好處： 

在分析實(shí)驗(yàn)室中，擁有幾個(gè)系統(tǒng)通常是有益的，因而惡意軟件只會(huì)與模擬的Internet部件交互。通過(guò)VMware虛擬機(jī)，就可以構(gòu)建一個(gè)多部件的試驗(yàn)室，而不用承擔(dān)多個(gè)物理系統(tǒng)的臃腫之苦。 

在感染惡意軟件之前，能夠捕捉系統(tǒng)狀態(tài)的快照；而且通過(guò)定期的快照分析可以節(jié)省時(shí)間。這項(xiàng)功能可以提供一種幾乎瞬間就恢復(fù)到目標(biāo)系統(tǒng)的簡(jiǎn)單方式。VMware虛擬機(jī)通過(guò)其集成的快照特性使這種恢復(fù)相當(dāng)容易。VMware虛擬機(jī) Workstation作為一種商業(yè)產(chǎn)品，允許生成多個(gè)快照。VMware Server是一種免費(fèi)軟件，只支持單一快照。VMware Player也是一個(gè)免費(fèi)的軟件，不能捕捉系統(tǒng)快照。 

VMware虛擬機(jī)的host-only網(wǎng)絡(luò)選項(xiàng)對(duì)于通過(guò)仿真網(wǎng)絡(luò)連接虛擬系統(tǒng)極其方便，而不需增加額外的硬件。這項(xiàng)設(shè)置使得分析人員對(duì)將實(shí)驗(yàn)室環(huán)境連接到生產(chǎn)網(wǎng)絡(luò)不會(huì)太感興趣。在用混雜模式(promiscuous mode) 監(jiān)聽時(shí)，Host-only網(wǎng)絡(luò)允許虛擬系統(tǒng)在模擬的網(wǎng)絡(luò)上查看所有的數(shù)據(jù)通信。這使得對(duì)監(jiān)視網(wǎng)絡(luò)的交互性變得很容易。 

開始運(yùn)用VMware虛擬機(jī)進(jìn)行惡意軟件分析 

準(zhǔn)備一個(gè)基于VMware虛擬機(jī)的分析實(shí)驗(yàn)室是相當(dāng)簡(jiǎn)單的事情。你需要一個(gè)擁有一個(gè)大容量?jī)?nèi)存及磁盤空間的系統(tǒng)，用以充當(dāng)一個(gè)物理主機(jī)。你還需要必需的軟件：VMware Workstation 或 Server，以及要部署在實(shí)驗(yàn)室的操作系統(tǒng)的安裝媒體。 

VMware虛擬機(jī)模仿計(jì)算機(jī)硬件，因此你必須將操作系統(tǒng)安裝到每一個(gè)虛擬機(jī)之中，這些虛擬機(jī)是用VMware虛擬機(jī)的新虛擬機(jī)向?qū)В╒irtual Machine Wizard）創(chuàng)建。操作系統(tǒng)安裝好后，再安裝VMware虛擬機(jī)工具包（VMware Tools package），這樣會(huì)優(yōu)化VMware虛擬機(jī)的操作。然后，安裝適當(dāng)?shù)膼阂廛浖�分析軟件�?nbsp;

筆者推薦實(shí)驗(yàn)環(huán)境擁有幾種不同的操作系統(tǒng)的虛擬主機(jī)，每一個(gè)操作系統(tǒng)代表惡意軟件可能攻擊的目標(biāo)。這就便于我們?cè)诒镜丨h(huán)境中觀察惡意程序。如果使用VMware Workstation，你應(yīng)該在安全更新安裝過(guò)程中，在不同的時(shí)點(diǎn)上捕獲虛擬系統(tǒng)的快照，從而可以在不同補(bǔ)丁級(jí)別上分析惡意軟件。 

保障生產(chǎn)系統(tǒng)的安全 

在進(jìn)行惡意軟件分析時(shí)，必須采取預(yù)防措施不要讓生產(chǎn)系統(tǒng)網(wǎng)絡(luò)受到感染。如果不進(jìn)行地正確的處理或惡意程序樣本濫用了VMware虛擬機(jī)安裝程序中的一個(gè)漏洞，這種感染和破壞就會(huì)發(fā)生。在VMware虛擬機(jī)中已經(jīng)有幾個(gè)眾所周知的漏洞，這些漏洞從理論上講，可允許惡意代碼從虛擬系統(tǒng)找到通向物理主機(jī)的方法。感興趣的讀者可從此獲得相關(guān)的文檔資料。 

為了減輕這些風(fēng)險(xiǎn)，筆者建議如下的方法： 

跟上VMware虛擬機(jī)安全補(bǔ)丁的步伐，經(jīng)常瀏覽其網(wǎng)站，下載其最新的補(bǔ)丁。 

將某物理主機(jī)用于基于VMware虛擬機(jī)的試驗(yàn)環(huán)境，就不要將它用于其它目的。 

不要將物理試驗(yàn)系統(tǒng)連接到生產(chǎn)性網(wǎng)絡(luò)。 

用基于主機(jī)的入侵檢測(cè)軟件監(jiān)視物理主機(jī)，如一個(gè)文件集成檢查器。 

用克隆軟件定期重鏡象物理主機(jī)，如Norton Ghots。如果這樣做速度太慢，可以考慮使用硬件模塊，如Core Restore，用于撤消對(duì)系統(tǒng)狀態(tài)的改變。 

使用VMware虛擬機(jī)進(jìn)行惡意軟件分析的一個(gè)挑戰(zhàn)就是惡意代碼可能會(huì)檢測(cè)到它是否運(yùn)行在一個(gè)虛擬系統(tǒng)之內(nèi)，這會(huì)向惡意軟件指明它正在被分析。如果你不能修改其代碼來(lái)刪除這項(xiàng)功能，你可以重新配置VMware虛擬機(jī)來(lái)使它更加秘密地運(yùn)行，可參考如下文檔對(duì)VM的.vmx文件進(jìn)行設(shè)置。這些設(shè)置的最大問(wèn)題是它們可能會(huì)降低虛擬系統(tǒng)的性能，此外還要注意這些設(shè)置并不被VMware虛擬機(jī)支持。 

虛擬化選擇和策略 

當(dāng)然，VMware虛擬機(jī)并非可用于惡意軟件分析的唯一虛擬化軟件。常用的選擇還包括微軟的Virtual PC和Parallels Workstation。 

虛擬化軟件為構(gòu)建一個(gè)惡意軟件分析環(huán)境提供了一個(gè)方便省時(shí)的機(jī)制。不過(guò)，一定要為防止惡意軟件逃離你的測(cè)試環(huán)境而建立必需的控制。借助一個(gè)配置良好的VMware虛擬機(jī)試驗(yàn)環(huán)境，我們就可以充分利用惡意軟件的分析技巧。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]