为了减轻这些风险 , 笔者建议如下的方法:
跟上VMware安全补丁的步伐 , 经常浏览其网站 , 下载其最新的补丁 。
将某物理主机用于基于VMware的试验环境 , 就不要将它用于其它目的 。
不要将物理试验系统连接到生产性网络 。
用基于主机的入侵检测软件监视物理主机 , 如一个文件集成检查器 。
用克隆软件定期重镜象物理主机 , 如Norton Ghots 。如果这样做速度太慢 , 可以考虑使用硬件模块 , 如Core Restore , 用于撤消对系统状态的改变 。
使用VMware进行恶意软件分析的一个挑战就是恶意代码可能会检测到它是否运行在一个虚拟系统之内 , 这会向恶意软件指明它正在被分析 。如果你不能修改其代码来删除这项功能 , 你可以重新配置VMware来使它更加秘密地运行 , 可参考如下文档(http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf)对VM的.vmx文件进行设置 。这些设置的最大问题是它们可能会降低虚拟系统的性能 , 此外还要注意这些设置并不被VMware支持 。
虚拟化选择和策略
当然 , VMware并非可用于恶意软件分析的唯一虚拟化软件 。常用的选择还包括微软的Virtual PC和Parallels Workstation 。
虚拟化软件为构建一个恶意软件分析环境提供了一个方便省时的机制 。不过 , 一定要为防止恶意软件逃离你的测试环境而建立必需的控制 。借助一个配置良好的试验环境 , 我们就可以充分利用恶意软件的分析技巧 。
参考文章:
Lenny Zeltser《Using VMware for malware analysis》
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1254046,00.html
推荐阅读
- Linux下VMware的端口映射的方法
- 网管实战:RHEL 5在虚拟机下共享互联网
- 让VMware Workstation实现服务自启动
- ISA结合VMware虚拟机搭建企业服务器
- VMware Workstation 6.5新功能展示
- 如何使用VMware Workstation的调试模式
- 开车省油的小技巧 定速巡航需要灵活运用
- 利用批处理启动或关闭VMware服务
- VMware Workstation虚拟机的时间锁定
- Linux虚拟机用户数据存放技巧