OSを仮想化されているように見せるためにはどうすればよいですか?


10

最近の多くのマルウェアは、VMWare、VirtualPC、WINE、またはAnubisCWSandBoxなどのサンドボックス内で仮想化されて実行されていることを検出できます。

これは基本的に、マルウェアが真の意図の分析を阻止するために、仮想環境で実行されている場合、マルウェアがしばしば「阻止」するか、悪意を持って機能しないことを意味します。

では、PCを仮想化したように見せてはどうでしょうか。誰かが私がこれについてどうやってできるか知っていますか?


3
単に「VMまたはハイパーバイザーでOSを実行する」というのは、あまりにも明白な答えではありませんか?
Marc Gravell

私の環境にあるPCをまるでVMのようにマルウェアに見せたいのです。これを行うことで、(分析を防ぐために)VM内で実行しないことを選択するマルウェアは、これがシステムが仮想化されていると想定するため、アナリストはテストベッドであり、それ自体は実行されません。これは多層防御戦略の一部です...追加のレイヤーです。

回答:


9

これは良いテクニックではありません。顕微鏡下にある可能性があるため、マルウェアが適切に動作することを信頼することは、猫に頼まれたことを理由に猫を頼りにしておくことに少し似ています。これは興味深いアイデアですが、マルウェア対策ソリューションとして実装する価値はありません。

そうは言っても、Marcが示唆したように、マルウェアが仮想化環境にあるかのようにマルウェアを動作させたい場合は、実際にOSをVMまたはハイパーバイザーで実行します。パフォーマンスへの影響は、このように強化された安心のために支払うわずかな代償です。

もう1つの注目すべき点は、DRMがリバースエンジニアリング中の可能性があるため、VMで動作しない正当なデスクトップアプリがかなりあることです。使い勝手が面倒くさいですよね。


1
「もう1つの注目すべき点は、DRMがリバースエンジニアリング中の可能性があるため、VMで動作しない正当なデスクトップアプリがかなりあることです。」例を追加できますか?私はそれらのアプリの一つを見たいです。
マヌエルフェレリア2009

初心者のために、ほとんどすべての新しいゲームのSecurom。
ポールマクミラン

コメントありがとうございます。このアイデアは、私のシステム(数万)がマルウェアに感染するのを困難にする可能性のある方法として頭に浮かびました。最新のウイルス対策製品、ファイアウォール(ソフトウェアとハ​​ードウェア)、NIDS / HIDSを使用しても、頭痛の種となる可能性のあるトロイの木馬のダウンローダーがまだあります。ご意見をお寄せいただきありがとうございます...これは本当に良いアイデアではないようです!

奇妙なことに、私は自分の猫を置いたままにしたビデオを投稿するように強いられたのです。確かに、それは私に衝撃を与えた行動です。
dlamblin 2009

0

それは興味深いテーマです。CodeProjectには、プログラムがVM内で実行されているかどうかを検出する方法に関する記事があります。ホストと通信するためにポートにアクセスする必要があるため、VMWareのアプローチが偽造するのが最も簡単であるかのように見えます。


0

マルウェアの性質により、遅かれ早かれ、おそらくおそらくより早く、マルウェア作成者仮想化されたOSを偽造しているかどうかを検出できるようになります。それは時間の問題です。私は他の場所に努力を集中します。


それは誰もが仮想化されたOSを偽造し始めた場合にのみ起こります。数人のハッカーは問題の価値がありません。
クリスチャン


-1

疑わしいソフトウェアをシステムにインストールするのはなぜですか?セキュリティのベストプラクティスは、信頼できるソース(ベンダー自体または信頼できるオープンソースコミュニティ)からソフトウェアを使用または購入することだと思います。さらに、優れたセキュリティソリューションを購入します。私はNOD32を持っていて、一度も問題を起こしたことがありません。


私は雇用主のためにマルウェア分析を行っているからです。マルウェアがアクセスしようとしているもの、および追加のペイロードをダウンロードしているかどうかを知りたい。簡単に分析できないとわかりません。VMが検出された場合(これは簡単です)、VMを使用してもほとんど役に立ちません。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.