vm虛擬機(jī)常見(jiàn)問(wèn)題,vmware虛擬機(jī)檢測(cè)

　　比特幣勒索事件發(fā)生后，樣本很快在網(wǎng)上發(fā)布。

　　很多人都想在自己的電腦或者虛擬機(jī)上測(cè)試這個(gè)勒索軟件。但是因?yàn)檫@些用戶(hù)忽略了一些問(wèn)題，最后讓自己的主機(jī)文件被加密了，實(shí)在是得不償失。

　　雖然大部分病毒不會(huì)穿透虛擬機(jī)感染主機(jī)，但是有些病毒會(huì)通過(guò)局域網(wǎng)傳播，所以這方面一定要控制。

　　那么，這篇文章就是寫(xiě)給那些想測(cè)試病毒的吃瓜人的。專(zhuān)業(yè)人士可以去轉(zhuǎn)轉(zhuǎn)。

　　前提是你的主機(jī)是Windows系統(tǒng)。如果主機(jī)是macOS或者Linux，你只需要保證它不與其他Windows電腦在一個(gè)局域網(wǎng)內(nèi)。

　　本教程使用VMware虛擬機(jī)來(lái)介紹如何構(gòu)建一個(gè)安全的惡意軟件測(cè)試環(huán)境。如果你用的是其他虛擬機(jī)，我無(wú)法給出相應(yīng)的操作方法。請(qǐng)?jiān)谠u(píng)論區(qū)添加它們。

　　任何一步操作出現(xiàn)疏忽，輕則無(wú)法檢測(cè)，重則主機(jī)所有重要文件都會(huì)被加密，由此產(chǎn)生的風(fēng)險(xiǎn)和損失作者概不負(fù)責(zé)。測(cè)試時(shí)請(qǐng)小心，以免發(fā)生意外。

　　打開(kāi)網(wǎng)絡(luò)連接并禁用VMware網(wǎng)絡(luò)適配器VMnet8的網(wǎng)絡(luò)連接。

　　VM8的目的是，如果虛擬機(jī)采用NAT網(wǎng)絡(luò)連接，可以通過(guò)這個(gè)網(wǎng)絡(luò)連接將主機(jī)和虛擬機(jī)歸為一個(gè)局域網(wǎng)。如果VMnet8被禁用，虛擬機(jī)仍然可以連接到外部網(wǎng)絡(luò)，但它不能通過(guò)局域網(wǎng)直接聯(lián)系主機(jī)。

　　相關(guān)信息可以參考VMware官網(wǎng)的這個(gè)介紹：https://www.vmware.com/support/ws3/doc/ws32_network8.html(雖然是很老的VMware 3.2，但也適用于現(xiàn)在的VMware Workstation 12)

　　然后在虛擬機(jī)中安裝系統(tǒng)。

　　為了避免后續(xù)測(cè)試出現(xiàn)不必要的問(wèn)題，請(qǐng)不要安裝來(lái)源不明的Ghost Windows系統(tǒng)。

　　僅使用來(lái)自可靠來(lái)源(如MSDN)的Windows安裝映像文件。

　　請(qǐng)將虛擬機(jī)中的網(wǎng)絡(luò)連接設(shè)置為NAT。

　　至于如何在虛擬機(jī)中安裝系統(tǒng)，相信玩過(guò)虛擬機(jī)的人都應(yīng)該知道，這里就不贅述了。但請(qǐng)不要使用VMware的簡(jiǎn)單安裝功能，也不要在系統(tǒng)安裝后安裝虛擬機(jī)增強(qiáng)插件(如VMware Tools)。至于原因，后面會(huì)詳細(xì)解釋。

　　安裝系統(tǒng)后，不需要激活系統(tǒng)。畢竟你只是用它來(lái)測(cè)試。測(cè)試完成后，您可以銷(xiāo)毀整個(gè)虛擬機(jī)。

　　使用其他高級(jí)文本編輯器(代替記事本，您可以使用寫(xiě)字板)打開(kāi)虛擬機(jī)的vmx文件，并在任意位置添加這兩行：

　　monitor _ control . restrict _ back door= TRUE

　　disable_acceleration=TRUE

　　然后保存。

　　然后在虛擬機(jī)設(shè)置中勾選“虛擬化英特爾VT-x/EPT或AMD-V/RVI”。這也需要在主板BIOS設(shè)置中開(kāi)啟相關(guān)的虛擬化技術(shù)。能否開(kāi)啟，取決于廠商的決定。近幾年的電腦一般都能開(kāi)機(jī)。

　　因?yàn)橛行┸浖蛘邜阂獬绦蛉绻话l(fā)現(xiàn)在虛擬機(jī)中運(yùn)行或者檢測(cè)到虛擬機(jī)增強(qiáng)插件的相關(guān)進(jìn)程就會(huì)拒絕啟動(dòng)，它們可以運(yùn)行處理后不允許在虛擬機(jī)中運(yùn)行的程序。(雖然WannaCry不會(huì)檢測(cè)到這個(gè))

　　然后把你要放入虛擬機(jī)的東西復(fù)制到虛擬機(jī)里。如果沒(méi)有虛擬機(jī)增強(qiáng)插件，您有三種方法：

　　用UltraISO之類(lèi)的軟件把你要復(fù)制的文件做成ISO鏡像，然后加載到虛擬機(jī)；

　　把你要拷貝的東西拷貝到u盤(pán)里，然后用虛擬機(jī)加載u盤(pán)(不是所有虛擬機(jī)軟件都支持u盤(pán))；

　　關(guān)閉虛擬機(jī)，并使用可以編輯虛擬硬盤(pán)映像的工具將文件復(fù)制到硬盤(pán)映像中。

　　總而言之，抄進(jìn)去之后，我們就可以準(zhǔn)備考試了。如果您使用的是VMware Workstation Pro，則可以在測(cè)試之前拍攝快照，以便在測(cè)試下一個(gè)病毒之前恢復(fù)到之前的狀態(tài)。我在這里使用播放器，所以我必須關(guān)閉并備份這里的虛擬硬盤(pán)映像。

　　我這里測(cè)試的是WannaCrypt勒索病毒的樣本。為了保證不輕易死掉，請(qǐng)不要在評(píng)論區(qū)分享這個(gè)樣本。

　　桌面上的惡意軟件防御程序是一個(gè)HIPS防御軟件。在高強(qiáng)度保護(hù)下，會(huì)攔截所有操作，會(huì)告訴用戶(hù)軟件進(jìn)行了哪些操作，并詢(xún)問(wèn)是否允許。可惜這個(gè)軟件只支持32位Windows系統(tǒng)，這樣的軟件不適合日常安全防護(hù)。您可以根據(jù)自己的需求選擇是否在虛擬機(jī)中安裝此類(lèi)軟件來(lái)分析惡意軟件的工作流程。

　　一切準(zhǔn)備就緒后，打開(kāi)惡意軟件防御程序，并將其設(shè)置為正常模式。

　　然后打開(kāi)惡意程序樣本(如果此時(shí)插上u盤(pán)，請(qǐng)立即從虛擬機(jī)上拔下u盤(pán))，會(huì)詢(xún)問(wèn)你是否要確定它運(yùn)行，每一步發(fā)生了什么，會(huì)一步步分析。

　　回答是否發(fā)布后，可以觀察文件是否加密。

　　但無(wú)論如何，都不會(huì)穿透虛擬機(jī)。

　　這是在虛擬機(jī)中測(cè)試惡意程序的基本方法，但同時(shí)也完全不會(huì)影響主機(jī)本身的正常運(yùn)行。

　　在虛擬機(jī)中操作惡意軟件就像試圖拆除一個(gè)定時(shí)炸彈。一不小心就會(huì)爆炸，擴(kuò)散到不必要的部位。所以請(qǐng)?jiān)诳记白龊梅雷o(hù)。

　　對(duì)于一些想嘗試出解決方案的人來(lái)說(shuō)，也可以配合很多更強(qiáng)大的調(diào)試工具來(lái)破解。由于能力和精力有限，筆者無(wú)法給予任何指導(dǎo)。