Bagaimana saya bisa membuat OS saya muncul seolah-olah sedang berjalan secara virtual?

10

Banyak malware saat ini dapat mendeteksi ketika menjalankan virtualisasi di bawah VMWare, VirtualPC, WINE, atau bahkan di kotak pasir seperti Anubis atau CWSandBox .

Ini pada dasarnya berarti bahwa malware akan sering "menahan" atau tidak berfungsi dengan jahat ketika berjalan di lingkungan virtual untuk menggagalkan analisis niat sebenarnya.

Kalau begitu, mengapa tidak membuat PC Anda tampak seolah-olah divirtualisasi? Adakah yang tahu bagaimana saya bisa melakukan ini?

— Mick
sumber

3

Apakah hanya "menjalankan OS Anda di VM atau hypervisor" jawaban yang terlalu jelas?

— Marc Gravell

Karena saya ingin membuat pc di lingkungan saya tampak malware seolah-olah mereka adalah VM. Dengan melakukan ini, harapan saya adalah bahwa malware yang memilih untuk tidak berjalan di dalam VM (untuk mencegah analisis) akan menganggap ini adalah sistem yang tervirtualisasi, dan karena itu hanya seorang analis yang menguji ... dan tidak menjalankannya sendiri. Itu bagian dari strategi pertahanan mendalam ... hanya lapisan tambahan.

9

Ini bukan teknik yang baik. Mengandalkan malware untuk berperilaku baik karena itu mungkin di bawah mikroskop adalah seperti mengandalkan kucing untuk tetap bertahan karena Anda menyuruh mereka melakukannya. Ini ide yang menarik, tetapi yang tidak layak diimplementasikan sebagai solusi anti-malware.

Yang mengatakan, seperti yang disarankan Marc - hanya benar-benar menjalankan OS Anda di VM atau hypervisor, jika Anda ingin malware berperilaku sendiri seolah-olah berada di lingkungan tervirtualisasi. Hit kinerja adalah harga kecil yang Anda bayar untuk meningkatkan ketenangan pikiran.

Satu hal yang perlu diperhatikan adalah ada cukup banyak aplikasi desktop sah yang tidak berfungsi di bawah VM karena DRM mereka berpikir mereka mungkin sedang dalam proses direkayasa ulang. Kerumitan kegunaan dari itu akan mengerikan.

— Paul McMillan
sumber

1

"Satu hal lagi yang perlu diperhatikan adalah ada cukup banyak aplikasi desktop sah yang tidak berfungsi di bawah VM karena DRM mereka berpikir mereka mungkin sedang dalam proses direkayasa ulang." Bisakah Anda menambahkan contoh? Saya ingin melihat salah satu aplikasi itu.

— Manuel Ferreria

Amankan di sebagian besar game baru, untuk pemula.

— Paul McMillan

Terima kasih atas komentarnya. Gagasan ini muncul di kepala saya sebagai cara yang mungkin untuk membuatnya lebih sulit bagi sistem saya (puluhan ribu) untuk menjadi terinfeksi malware. Bahkan dengan produk anti-virus, firewall (perangkat lunak dan perangkat keras) terbaru, dan NIDS / HIDS, masih ada pengunduh trojan yang dapat menyebabkan sakit kepala. Terima kasih atas pendapat Anda ... ini sepertinya bukan ide yang sangat cemerlang!

Anehnya saya sekarang merasa terdorong untuk memposting video yang saya buat tentang kucing saya karena saya menyuruhnya. Memang, perilakunya mengejutkan saya.

— dlamblin

0

Itu adalah subjek yang menarik. CodeProject memiliki artikel tentang cara mendeteksi apakah program Anda berjalan di dalam vm, di sini . Sepertinya pendekatan VMWare mungkin yang paling mudah dipalsukan, karena melibatkan mengakses port untuk berkomunikasi dengan tuan rumah.

0

Sifat malware menentukan bahwa cepat atau lambat, mungkin lebih cepat, penulis malware akan dapat mendeteksi jika Anda memalsukan OS tervirtualisasi. Itu hanyalah masalah waktu. Saya akan memusatkan upaya saya di tempat lain.

— jinsungy
sumber

Itu hanya akan terjadi jika semua orang mulai memalsukan OS tervirtualisasi. Beberapa peretas tidak akan sepadan dengan masalahnya.

— Christian

0

Untuk Linux ada skrip PERL seperti virt-what dan imvirt. Lihatlah yang terakhir di http://micky.ibh.net/~liske/imvirt.html

-1

Mengapa Anda menginstal perangkat lunak yang dipertanyakan pada sistem Anda? Saya pikir praktik keamanan terbaik adalah dengan menggunakan atau membeli perangkat lunak dari sumber yang dapat diandalkan (vendor itu sendiri atau komunitas sumber terbuka yang dapat diandalkan). Selain itu, beli solusi keamanan yang baik; Saya memiliki NOD32 dan tidak pernah, sekali pun, memiliki masalah.

— Richard Clayton
sumber

Karena saya sedang melakukan analisis malware untuk majikan saya. Saya ingin tahu apa yang coba diakses oleh malware, dan apakah itu mengunduh muatan tambahan. Saya tidak dapat mengetahui hal ini jika saya tidak dapat dengan mudah menganalisisnya. Jika mendeteksi VM (yang mudah), maka menggunakan VM tidak banyak berguna.