태그 보관물: malware-detection

malware-detection

OS가 가상화 된 것처럼 보이게하려면 어떻게해야합니까? VirtualPC, WINE 또는 Anubis 또는 CWSandBox

요즘 많은 맬웨어가 VMWare, VirtualPC, WINE 또는 Anubis 또는 CWSandBox 와 같은 샌드 박스에서 가상화 되어 실행될 때이를 탐지 할 수 있습니다.

이것은 본질적으로 맬웨어가 가상 환경에서 실행될 때 실제 의도에 대한 분석을 방해하기 위해 악의적으로 “지체”하거나 악의적으로 기능하지 않음을 의미합니다.

내 생각은 PC가 가상화 된 것처럼 보이게 만드는 이유는 무엇입니까? 아무도 내가 어떻게 할 수 있는지 알고 있습니까?



답변

이것은 좋은 기술이 아닙니다. 그것은 현미경 아래에있을 수 있기 때문에 악성 코드에 잘 작동하는 것은 당신이 그들에게 말했기 때문에 고양이를 넣어 유지하는 것과 조금 같습니다. 흥미로운 아이디어이지만 맬웨어 방지 솔루션으로 구현할 가치가없는 아이디어입니다.

Marc가 제안했듯이 맬웨어가 마치 가상 환경에있는 것처럼 작동하도록하려면 실제로 VM 또는 하이퍼 바이저에서 OS를 실행하면됩니다. 성능 저하는 이러한 향상된 마음의 평화를 위해 지불하는 작은 가격입니다.

주목해야 할 또 다른 항목은 VM에서 작동하지 않는 합법적 인 데스크톱 앱이 상당수 있다는 것입니다. DRM은 리버스 엔지니어링 과정에 있다고 생각하기 때문에 VM에서 작동하지 않습니다. 그것으로부터의 사용 편리함은 끔찍할 것입니다.


답변

흥미로운 주제입니다. CodeProject에는 프로그램이 VM 내부에서 실행 중인지 여부를 감지하는 방법에 대한 기사가 있습니다 . 호스트와 통신하기 위해 포트에 액세스하기 때문에 VMWare 접근 방식이 가장 쉬운 방법 인 것 같습니다.


답변

멀웨어의 특성에 따라 멀웨어 작성자 가상화 된 OS를 속이고 있는지 여부를 더 빨리 감지 할 수 있습니다. 시간 문제 일뿐입니다. 나는 다른 곳에 나의 노력을 집중할 것이다.


답변

Linux의 경우 virt-what 및 imvirt와 같은 PERL 스크립트가 있습니다. http://micky.ibh.net/~liske/imvirt.html 에서 마지막을 살펴보십시오


답변

시스템에 의심스러운 소프트웨어를 설치하는 이유는 무엇입니까? 최선의 보안 관행은 신뢰할 수있는 출처 (공급 업체 자체 또는 신뢰할 수있는 오픈 소스 커뮤니티)에서 소프트웨어를 사용하거나 구매하는 것입니다. 또한 좋은 보안 솔루션을 구입하십시오. 나는 NOD32를 가지고 있으며 한 번도 문제가 없었습니다.


답변