Як я можу зробити так, щоб моя ОС виглядала так, ніби вона працює віртуально?

10

Багато шкідливих програм в ці дні здатні виявити, коли він працює віртуально під VMWare, VirtualPC, WINE або навіть у пісочниці, такі як Anubis або CWSandBox .

Це по суті означає, що зловмисне програмне забезпечення часто «стримує» або не функціонує зловмисно під час роботи у віртуальному середовищі, щоб зірвати аналіз його справжніх намірів.

Моя думка тоді, чому б не зробити ваш ПК здається так, ніби він віртуалізований? Хтось знає, як я міг би зробити це?

— Мік
джерело

3

Чи просто "запустити вашу ОС у вітринці чи гіпервізорі" занадто очевидною відповіддю?

— Марк Гравелл

Оскільки я хочу, щоб ПК у моєму середовищі виглядав зловмисним програмним забезпеченням, як ніби вони є машиною управління. Роблячи це, я сподіваюся, що зловмисне програмне забезпечення, яке вирішить не працювати всередині VM (для запобігання аналізу), припустить, що це система віртуалізована, а тому просто аналітики перевіряються ... і не запускаються самі. Це частина поглибленої оборонної стратегії ... просто додатковий шар.

9

Це не дуже хороша техніка. Покладатися на зловмисне програмне забезпечення, щоб добре поводитись, тому що це може бути під мікроскопом - це схоже на те, що покладатися на котів, щоб вони залишалися, тому що ви їм це сказали. Це цікава ідея, але таку, яку не варто реалізовувати як рішення проти зловмисного програмного забезпечення.

Це говорило, як запропонував Марк - просто реально запустити вашу ОС у віртуальній машині або гіпервізорі, якщо ви хочете, щоб зловмисне програмне забезпечення поводило себе так, ніби воно знаходиться у віртуалізованому середовищі. Спектакль - це крихітна ціна, яку ви платите за такий спокійний спокій.

Ще один зауваження - це те, що існує достатня кількість законних додатків для настільних ПК, які не працюють під VM, оскільки їх DRM вважає, що вони можуть переробити реверс. Проблеми з юзабіліті від цього були б жахливими.

— Пол Макміллан
джерело

1

"Ще один зауваження - це те, що існує достатня кількість законних додатків для настільних ПК, які не працюють під VM, оскільки їх DRM вважає, що вони можуть переробити реверс". Чи можете ви додати приклад? Я хотів би побачити одну з цих програм.

— Мануель Феррерія

Securom у більшості будь-якої нової гри, для початку.

— Пол Макміллан

Дякуємо за коментарі. Ця ідея вискакувала мені в голову, як можливий спосіб ускладнити зараження моїми системами (десятками тисяч) шкідливими програмами. Навіть із сучасними антивірусними продуктами, брандмауером (програмне та апаратне забезпечення) та NIDS / HIDS, все ще є завантажувачі троянських програм, які можуть викликати головні болі. Дякую за вашу думку ... це здається, що це може бути не справжньою яскравою ідеєю!

Як не дивно, я зараз змушений опублікувати відео, яке я зробив з кота, який залишався, бо я це сказав. Звичайно, така поведінка мене шокувала.

— dlamblin

0

Це цікава тема. CodeProject мала статтю про те, як визначити, чи працює ваша програма всередині vm, тут . Схоже, підхід VMWare може бути найпростішим підробкою, оскільки він передбачає доступ до порту для спілкування з хостом.

0

Характер шкідливого диктату , що рано чи пізно, швидше рано, то вирусописатели будуть мати можливість виявити , якщо ви вдаєте віртуалізувати ОС. Це лише питання часу. Я б зосередив свої зусилля в іншому місці.

— jinsungy
джерело

Це відбудеться лише в тому випадку, якщо всі почнуть підробляти віртуалізовану ОС. Кілька хакерів не вартували б проблем.

— Крістіан

0

Для Linux існують сценарії PERL, такі як virt-what та imvirt. Ознайомтеся з останнім на http://micky.ibh.net/~liske/imvirt.html

-1

Чому ви встановлюєте сумнівне програмне забезпечення у вашій системі? Я думаю, що найкраща практика безпеки - це використання або придбання програмного забезпечення з надійних джерел (самого постачальника або надійного співтовариства з відкритим кодом). Крім того, придбайте хороше рішення щодо безпеки; У мене є NOD32 і ніколи, навіть жодного разу, не виникало проблем.

— Річард Клейтон
джерело

Тому що я роблю аналіз зловмисного програмного забезпечення для свого роботодавця. Я хочу знати, до чого намагається отримати зловмисне програмне забезпечення та чи завантажує додаткові корисні навантаження. Я не можу цього знати, якщо не можу його легко проаналізувати. Якщо він виявляє VM (що легко), то використання VM мало користі.