Come posso far apparire il mio sistema operativo come se fosse in esecuzione virtualizzato?

10

Oggigiorno molti malware sono in grado di rilevare quando è in esecuzione virtualizzato su VMWare, VirtualPC, WINE o persino in una sandbox come Anubis o CWSandBox .

Ciò significa essenzialmente che il malware spesso "si bloccherà" o non funzionerà in modo dannoso quando viene eseguito in un ambiente virtuale per contrastare l'analisi delle sue vere intenzioni.

Il mio pensiero è quindi, perché non far apparire il tuo PC come se fosse virtualizzato? Qualcuno sa come potrei essere in grado di fare questo?

— Mick
fonte

3

Semplicemente "eseguire il sistema operativo in una VM o hypervisor" è una risposta troppo ovvia?

— Marc Gravell

Perché voglio far apparire i malware nel mio ambiente come malware come se fossero una VM. In questo modo, la mia speranza è che il malware che sceglie di non funzionare all'interno di una macchina virtuale (per impedire l'analisi) supponga che questo sia un sistema virtualizzato, e quindi semplicemente un banco di prova degli analisti ... e non si esegua da solo. Fa parte di una strategia di difesa approfondita ... solo un ulteriore livello.

9

Questa non è una buona tecnica. Affidarsi al malware per comportarsi bene perché potrebbe essere sotto il microscopio è un po 'come fare affidamento sui gatti per rimanere in pace perché glielo hai detto. È un'idea interessante, ma che non vale la pena implementare come soluzione anti-malware.

Detto questo, come ha suggerito Marc, esegui il tuo sistema operativo in una VM o hypervisor, se vuoi che il malware si comporti come se fosse in un ambiente virtualizzato. Il successo delle prestazioni è il piccolo prezzo che paghi per una maggiore tranquillità.

Un altro aspetto degno di nota è che esiste un numero equo di app desktop legittime che non funzionano con le macchine virtuali perché il loro DRM ritiene che potrebbero essere in fase di ingegneria inversa. La seccatura di usabilità da ciò sarebbe terribile.

— Paul McMillan
fonte

1

"Un altro elemento degno di nota è che esiste un numero equo di app desktop legittime che non funzionano con le macchine virtuali perché il loro DRM ritiene che potrebbero essere in fase di ingegneria inversa". Puoi aggiungere un esempio? Mi piacerebbe vedere una di quelle app.

— Manuel Ferreria,

Securom sulla maggior parte dei giochi più recenti, per cominciare.

— Paul McMillan,

Grazie per i commenti Questa idea mi è venuta in mente come un modo possibile per rendere più difficile per i miei sistemi (decine di migliaia) l'infezione da malware. Anche con prodotti antivirus aggiornati, firewall (software e hardware) e NIDS / HIDS, ci sono ancora downloader di trojan che possono causare mal di testa. Grazie per le tue opinioni ... sembra che potrebbe non essere una vera idea brillante!

Stranamente ora mi sento costretto a pubblicare un video che ho fatto del mio gatto che è stato messo perché l'ho detto a. Concesso, il suo comportamento mi ha scioccato.

— dlamblin,

0

Questo è un argomento interessante. CodeProject ha pubblicato un articolo su come rilevare se il vostro programma è stato in esecuzione all'interno di una macchina virtuale, qui . Sembra che l'approccio VMWare potrebbe essere il più semplice da falsificare, poiché implica l'accesso a una porta per comunicare con l'host.

0

La natura del malware impone che prima o poi, probabilmente prima, gli autori di malware saranno in grado di rilevare se si sta falsificando un sistema operativo virtualizzato. E 'solo questione di tempo. Concentrerei i miei sforzi altrove.

— jinsungy
fonte

Ciò accadrebbe solo se tutti iniziassero a simulare un sistema operativo virtualizzato. Alcuni hacker non varrebbero la pena.

— Christian,

0

Per Linux ci sono script PERL come virt-what e imvirt. Dai un'occhiata all'ultimo su http://micky.ibh.net/~liske/imvirt.html

-1

Perché stai installando software discutibile sul tuo sistema? Penso che la migliore pratica di sicurezza sia quella di utilizzare o acquistare software da fonti affidabili (il fornitore stesso o una comunità open source affidabile). Inoltre, acquista una buona soluzione di sicurezza; Ho NOD32 e non ho mai avuto, nemmeno una volta, un problema.

— Richard Clayton
fonte

Perché sto facendo analisi di malware per il mio datore di lavoro. Voglio sapere a cosa sta tentando di accedere il malware e se sta scaricando payload aggiuntivi. Non posso saperlo se non riesco ad analizzarlo facilmente. Se rileva una macchina virtuale (che è facile), l'utilizzo di una macchina virtuale è di scarsa utilità.