Wie kann ich mein Betriebssystem so aussehen lassen, als sei es virtualisiert?

1380
Mick

Viele Malware in diesen Tagen ist in der Lage zu erkennen, wenn es ausgeführt wird virtualisiert unter VMWare, VirtualPC, Wein oder sogar in einer Sandbox wie Anubis oder CWSandbox .

Dies bedeutet im Wesentlichen, dass Malware in einer virtuellen Umgebung häufig "zurückgehalten" wird oder nicht bösartig funktioniert, um die Analyse ihrer wahren Absichten zu verhindern.

Mein Gedanke ist dann, warum sollte Ihr PC nicht so aussehen, als wäre er virtualisiert? Weiß jemand, wie ich dazu in der Lage sein könnte?

10
Ist die Antwort auf Ihr Betriebssystem einfach in einer VM oder einem Hypervisor zu naheliegend? Marc Gravell vor 15 Jahren 3
Ich möchte, dass die PCs in meiner Umgebung der Malware wie eine virtuelle Maschine erscheinen. Ich hoffe, dass Malware, die sich dafür entscheidet, nicht in einer VM zu laufen (um eine Analyse zu verhindern), davon ausgehen wird, dass das System virtualisiert ist und daher einfach ein Analyst-Testbed ist ... und nicht selbst ausgeführt wird. Dies ist Teil einer umfassenden Verteidigungsstrategie ... nur eine zusätzliche Ebene. vor 15 Jahren 0

5 Antworten auf die Frage

9
Paul McMillan

Dies ist keine gute Technik. Sich auf Malware zu verlassen, um sich gut zu verhalten, weil sie unter dem Mikroskop sein könnte, ist ein bisschen wie das Verlassen auf Katzen, damit sie nicht bleiben, weil Sie ihnen gesagt haben. Dies ist eine interessante Idee, die sich jedoch nicht als Anti-Malware-Lösung implementieren lohnt.

Wie Marc bereits angedeutet hatte: Führen Sie einfach Ihr Betriebssystem in einer virtuellen Maschine oder einem Hypervisor aus, wenn sich Malware wie eine virtualisierte Umgebung verhalten soll. Der Performance-Hit ist der winzige Preis, den Sie für eine solche erhöhte Sicherheit zahlen.

Ein weiterer Punkt ist, dass es eine ganze Reihe legitimer Desktop-Apps gibt, die unter VMs nicht funktionieren, da ihr DRM der Meinung ist, dass sie sich gerade im Reverse Engineering befinden. Der daraus resultierende Usability-Streit wäre schrecklich.

"Ein weiterer Punkt ist, dass es eine ganze Reihe legitimer Desktop-Apps gibt, die unter VMs nicht funktionieren, da ihr DRM der Meinung ist, dass sie sich gerade im Reverse Engineering befinden." Kannst du ein Beispiel hinzufügen? Ich würde gerne eine dieser Apps sehen. Manuel Ferreria vor 15 Jahren 1
Die meisten neueren Spiele sind für Anfänger sicher. Paul McMillan vor 15 Jahren 0
Danke für die Kommentare. Diese Idee kam mir in den Sinn, als Möglichkeit, meine Systeme (Zehntausende) mit Malware zu infizieren. Selbst mit aktuellen Antiviren-Produkten, Firewall (Software und Hardware) und NIDS / HIDS gibt es immer noch Trojaner-Downloader, die Kopfschmerzen verursachen können. Vielen Dank für Ihre Meinung ... das klingt, als wäre es keine wirklich gute Idee! vor 15 Jahren 0
Seltsamerweise fühle ich mich jetzt gezwungen, ein Video zu posten, das ich gemacht habe, weil meine Katze sich nicht bewegen kann, weil ich es gesagt habe. Zugegeben, das Verhalten hat mich schockiert. dlamblin vor 15 Jahren 0
0

Das ist ein interessantes Thema. Codeproject hatte einen Artikel darüber, wie Sie zu erkennen, ob Ihr Programm in einem vm lief, hier . Es sieht so aus, als könnte der VMWare-Ansatz am leichtesten gefälscht werden, da der Zugriff auf einen Port für die Kommunikation mit dem Host erforderlich ist.

0
jinsungy

Die Art von Malware schreibt vor, dass früher oder später, wahrscheinlich früher, die Malware - Autoren werden der Lage sein zu erkennen, wenn Sie eine virtualisierte OS fälschen. Es ist nur eine Frage der Zeit. Ich würde meine Bemühungen anderswo konzentrieren.

Das würde nur passieren, wenn alle anfangen würden, ein virtualisiertes Betriebssystem zu fälschen. Ein paar Hacker wären die Mühe nicht wert. Christian vor 15 Jahren 0
0

Für Linux gibt es PERL-Skripte wie virt-what und imvirt. Werfen Sie einen Blick auf die letzte unter http://micky.ibh.net/~liske/imvirt.html

-1
Richard Clayton

Warum installieren Sie fragwürdige Software auf Ihrem System? Ich denke, dass die beste Sicherheitsmethode darin besteht, Software von zuverlässigen Quellen (dem Anbieter selbst oder einer zuverlässigen Open-Source-Community) zu verwenden oder zu kaufen. Kaufen Sie außerdem eine gute Sicherheitslösung; Ich habe NOD32 und habe noch nie ein Problem gehabt.

Weil ich für meinen Arbeitgeber Malware-Analysen durchführe. Ich möchte wissen, worauf die Malware zugreifen möchte und ob zusätzliche Nutzdaten heruntergeladen werden. Ich kann das nicht wissen, wenn ich es nicht so leicht analysieren kann. Wenn eine VM erkannt wird (was einfach ist), ist die Verwendung einer VM wenig sinnvoll. vor 15 Jahren 0

Verwandte Probleme