Como faço para que meu sistema operacional apareça como se estivesse sendo virtualizado?

10

Atualmente, muitos malwares são capazes de detectar quando está sendo virtualizado em VMWare, VirtualPC, WINE ou mesmo em uma sandbox como Anubis ou CWSandBox .

Isso significa essencialmente que o malware geralmente "retém" ou não funciona maliciosamente quando executado em um ambiente virtual, a fim de impedir a análise de suas verdadeiras intenções.

Meu pensamento é: por que não fazer seu PC parecer como se estivesse virtualizado? Alguém sabe como eu posso fazer isso?

Mick
fonte
3
É simplesmente "executar seu sistema operacional em uma VM ou hipervisor" uma resposta muito óbvia?
Marc Gravell
Porque eu quero fazer com que os PCs no meu ambiente pareçam malware como se fossem uma VM. Ao fazer isso, minha esperança é que o malware que opte por não ser executado dentro de uma VM (para impedir a análise) assuma que este sistema é virtualizado e, portanto, simplesmente um analista testou ... e não é executado sozinho. Faz parte de uma estratégia de defesa em profundidade ... apenas uma camada adicional.

Respostas:

9

Esta não é uma boa técnica. Confiar no malware para se comportar bem, pois pode estar sob o microscópio, é um pouco como confiar nos gatos para permanecerem parados, porque você disse a eles. É uma ideia interessante, mas que não vale a pena implementar como solução anti-malware.

Dito isso, como sugeriu Marc - apenas execute seu sistema operacional em uma VM ou hipervisor, se você quiser que o malware se comporte como se estivesse em um ambiente virtualizado. O impacto no desempenho é o preço minúsculo que você paga por essa tranqüilidade aprimorada.

Outro item a ser observado é que há um número razoável de aplicativos de desktop legítimos que não funcionam em VMs porque seu DRM acha que eles podem estar no processo de engenharia reversa. O problema de usabilidade seria terrível.

Paul McMillan
fonte
1
"Outro item digno de nota é que há um número razoável de aplicativos de desktop legítimos que não funcionam com VMs porque seu DRM acha que eles podem estar no processo de engenharia reversa". Você pode adicionar um exemplo? Eu adoraria ver um desses aplicativos.
Manuel Ferreria
Securom na maioria dos jogos mais recentes, para iniciantes.
217 Paul PaulMMillan
Obrigado pelos comentários. Essa ideia surgiu na minha cabeça como uma maneira possível de tornar mais difícil para meus sistemas (dezenas de milhares) serem infectados por malware. Mesmo com produtos antivírus atualizados, firewall (software e hardware) e NIDS / HIDS, ainda existem downloads de cavalos de Tróia que podem causar dores de cabeça. Obrigado por suas opiniões ... isso parece que pode não ser uma idéia muito brilhante!
Estranhamente, agora me sinto compelido a postar um vídeo que fiz do meu gato ficar parado porque eu pedi. É verdade que o comportamento me chocou.
27410 dlamblin
0

Esse é um assunto interessante. O CodeProject tinha um artigo sobre como detectar se o seu programa estava sendo executado dentro de uma VM, aqui . Parece que a abordagem do VMWare pode ser a mais fácil de falsificar, pois envolve o acesso a uma porta para se comunicar com o host.


fonte
0

A natureza dos ditames de malware que, mais cedo ou mais tarde, provavelmente mais cedo, os criadores de malware vai ser capaz de detectar se você está fingindo um sistema operacional virtualizado. É só uma questão de tempo. Eu concentraria meus esforços em outro lugar.

jinsungy
fonte
Isso só aconteceria se todos começassem a falsificar um sistema operacional virtualizado. Alguns hackers não valeriam a pena.
Christian
-1

Por que você está instalando software questionável no seu sistema? Acho que a melhor prática de segurança é usar ou comprar software de fontes confiáveis ​​(o próprio fornecedor ou a comunidade de código aberto confiável). Além disso, compre uma boa solução de segurança; Eu tenho o NOD32 e nunca, nem uma vez, tive um problema.

Richard Clayton
fonte
Porque estou fazendo uma análise de malware para meu empregador. Quero saber o que o malware está tentando acessar e se está baixando cargas úteis adicionais. Não sei se não consigo analisá-lo facilmente. Se ele detectar uma VM (o que é fácil), usar uma VM será de pouca utilidade.