1. 首頁 > 科技 > >

惡意軟件|我們怎么樣才能自己分析惡意軟件?

Windows網絡安全惡意軟件沙盒

惡意軟件|我們怎么樣才能自己分析惡意軟件?

【惡意軟件|我們怎么樣才能自己分析惡意軟件?】在搜索惡意軟件之前 , 每個研究人員都需要找到一個系統來分析它 。 有兩種方法可以做到這一點:構建可以分析惡意軟件的環境或者使用第三方解決方案 。 今天 , 我們將構建可以分析惡意軟件的環境——自定義惡意軟件沙箱 , 我們可以在不感染計算機的情況下進行適當的分析 。

闡述步驟之前 , 我們先來了解一下沙盒沙盒(sandbox , 又譯為沙箱) , 在計算機安全領域里是一類安全機制 , 為運行的程序提供的隔離環境 。 通常是為一些來源不可信、具破壞力或無法判定程序意圖的程序提供實驗之用 。
沙盒通常嚴格控制其里的程序所能訪問的資源 , 比如 , 沙盒可以提供用后即回收的磁盤及內存空間 。 在沙盒里 , 網絡訪問、對真實系統的訪問、對輸入設備的讀取通常被禁止或是嚴格限制 。
舉個例子:iOS系統相對于Android(或Windows)系統來說比較安全的原因有很多 , 其中有一點就是蘋果推出的沙盒機制 , 每個應用都有自己對應的沙盒 , 每個應用程序之間不能相互訪問非本程序的沙盒 , 所以 , iOS系統相對于其他的系統來說比較安全 , 再是從內存上來說相對于Windows來說也比較安全 , Apple的應用程序在內存消耗過高時會收到內存警告 , 如果不及時處理的話應用程序會自動退出 , 而不像Windows系統一樣 , 中了病毒或者木馬會一直消耗內存 , 直到內存沒有了才宕機 。 可以說沙盒機制 , 讓iOS系統變得更安全 。
沙盒里的所有改動對操作系統不會造成任何損失 。 通常 , 這類技術被計算機技術人員廣泛用于測試可能帶毒的程序或是其他的惡意代碼 。
想象一下 , 在一個裝滿了平整細沙的盒子里 , 我們可以盡情隨意地在上面作畫、涂寫 , 無論畫的好壞 , 最后輕輕一抹 , 沙盒又回到了原來的平整狀態 。 沙盒的魅力就在于他允許你出錯 , 還可以給你改正的機會 。 而且沙盒允許檢測網絡威脅且安全地分析它們 。 所有信息都會保持安全 , 并且可疑文件無法訪問系統 。 我們可以監視惡意軟件進程 , 識別其模式并調查其行為 。
這也就是為什么我們需要沙盒的原因 。
如何構建自己的惡意軟件沙盒?下面 , 讓我們逐步了解為惡意軟件設置一個簡單的研究環境所需的所有步驟:
1.安裝虛擬機
運行惡意軟件應該發生在適當隔離的環境中 , 以避免感染主機操作系統 。 最好有一臺獨立的計算機 , 但我們可以設置一臺虛擬機 , 安裝不同版本的操作系統 。 市場上有很多可選的虛擬機:VMWare、VirtualBox、KVM、Oracle VM VirtualBox、Microsoft Hyper-V、Parallels或Xen 。
2.檢查工件
現代惡意軟件是智能的 ——它能知曉自己是否在虛擬機上運行 。 這就是為什么檢查至關重要的原因 。 我們可以檢查代碼、刪除檢測等 。
3.使用其他網絡
另一個預防措施是使用不同的網絡系統 。 防止網絡上其他計算機受到任何感染是非常重要的 。 我們需要獲取并正確設置VPN服務 , 不能讓流量從真實的IP地址泄漏 。
4.分配實際數量的資源
我們的目標是使系統看起來盡可能真實 , 以誘騙任何惡意程序的執行 。 因此需要確保分配的資源數量符合實際情況:超過4 Gb的RAM , 至少4個內核 , 以及100GB或更多的磁盤空間 。 這是偽裝成合法系統的基本要求 。 但是 , 惡意軟件會檢查設備的配置(敲重點)——如果某個地方有虛擬機的名稱 , 惡意對象就會識別它并停止工作 。

相關經驗推薦