原文地址：http://security.ccidnet.com/art/1099/20070710/1140255_1.html

作者：茫然的風 編譯

作為網(wǎng)管員 ， 惡意軟件分析可能并不是我們的最主要工作 。不過 ， 如果一個惡意軟件影響了你的桌面應(yīng)用程序的使用 ， 你也許會考慮一下這種不熟悉的惡意代碼的性質(zhì) 。一般來說 ， 從行為分析入手開始你的調(diào)查工作 ， 也就是觀察惡意軟件怎樣影響文件系統(tǒng)、注冊表及網(wǎng)絡(luò) ， 可以很快地就產(chǎn)生極有價值的結(jié)果 。一些虛擬化軟件 ， 如VMware在這個分析過程中具有很大的幫助作用 。

VMWare是一個“虛擬PC”軟件.它使你可以在一臺機器上同時運行二個或更多Windows、DOS、LINUX系統(tǒng) 。與“多啟動”系統(tǒng)相比,VMWare采用了完全不同的概念 。多啟動系統(tǒng)在一個時刻只能運行一個系統(tǒng) ， 在系統(tǒng)切換時需要重新啟動機器 。VMWare是真正“同時”運行 ， 多個操作系統(tǒng)在主系統(tǒng)的平臺上 ， 就象標準Windows應(yīng)用程序那樣切換 。而且每個操作系統(tǒng)你都可以進行虛擬的分區(qū)、配置而不影響真實硬盤的數(shù)據(jù) ， 你甚至可以通過網(wǎng)卡將幾臺虛擬機用網(wǎng)卡連接為一個局域網(wǎng),極其方便 。不過今天我們要討論的是如何運用VMware分析惡意軟件的問題 。

用VMware分析惡意軟件的益處

VMware支持同時運行在一個物理系統(tǒng)上的多個計算機的仿真 。與一個使用完全不同的物理結(jié)構(gòu)部件的實驗環(huán)境相比 ， 這種方法用于惡意軟件的行為分析有多種好處：

在分析實驗室中 ， 擁有幾個系統(tǒng)通常是有益的 ， 因而惡意軟件只會與模擬的Internet部件交互 。通過VMware ， 就可以構(gòu)建一個多部件的試驗室 ， 而不用承擔多個物理系統(tǒng)的臃腫之苦 。

在感染惡意軟件之前 ， 能夠捕捉系統(tǒng)狀態(tài)的快照；而且通過定期的快照分析可以節(jié)省時間 。這項功能可以提供一種幾乎瞬間就恢復(fù)到目標系統(tǒng)的簡單方式 。VMware通過其集成的快照特性使這種恢復(fù)相當容易 。VMware Workstation作為一種商業(yè)產(chǎn)品 ， 允許生成多個快照 。VMware Server是一種免費軟件 ， 只支持單一快照 。VMware Player也是一個免費的軟件 ， 不能捕捉系統(tǒng)快照 。

VMware的host-only網(wǎng)絡(luò)選項對于通過仿真網(wǎng)絡(luò)連接虛擬系統(tǒng)極其方便 ， 而不需增加額外的硬件 。這項設(shè)置使得分析人員對將實驗室環(huán)境連接到生產(chǎn)網(wǎng)絡(luò)不會太感興趣 。在用混雜模式(promiscuous mode) 監(jiān)聽時 ， Host-only網(wǎng)絡(luò)允許虛擬系統(tǒng)在模擬的網(wǎng)絡(luò)上查看所有的數(shù)據(jù)通信 。這使得對監(jiān)視網(wǎng)絡(luò)的交互性變得很容易 。

開始運用VMware分析惡意軟件

準備一個基于VMware的分析實驗室是相當簡單的事情 。你需要一個擁有一個大容量內(nèi)存及磁盤空間的系統(tǒng) ， 用以充當一個物理主機 。你還需要必需的軟件：VMware Workstation 或 Server ， 以及要部署在實驗室的操作系統(tǒng)的安裝媒體 。

VMware模仿計算機硬件 ， 因此你必須將操作系統(tǒng)安裝到每一個虛擬機之中 ， 這些虛擬機是用VMware的新虛擬機向?qū)В╒irtual Machine Wizard）創(chuàng)建 。操作系統(tǒng)安裝好后 ， 再安裝VMware 工具包（VMware Tools package） ， 這樣會優(yōu)化VMware的操作 。然后 ， 安裝適當?shù)膼阂廛浖治鲕浖?。

筆者推薦實驗環(huán)境擁有幾種不同的操作系統(tǒng)的虛擬主機 ， 每一個操作系統(tǒng)代表惡意軟件可能攻擊的目標 。這就便于我們在本地環(huán)境中觀察惡意程序 。如果使用VMware Workstation ， 你應(yīng)該在安全更新安裝過程中 ， 在不同的時點上捕獲虛擬系統(tǒng)的快照 ， 從而可以在不同補丁級別上分析惡意軟件 。

保障生產(chǎn)系統(tǒng)的安全

在對付惡意軟件時 ， 必須采取預(yù)防措施不要讓生產(chǎn)系統(tǒng)網(wǎng)絡(luò)受到感染 。如果不進行地正確的處理或惡意程序樣本濫用了VMware安裝程序中的一個漏洞 ， 這種感染和破壞就會發(fā)生 。在VMware中已經(jīng)有幾個眾所周知的漏洞 ， 這些漏洞從理論上講 ， 可允許惡意代碼從虛擬系統(tǒng)找到通向物理主機的方法 。感興趣的讀者可從此獲得相關(guān)的文檔資料（http://taviso.decsystem.org/virtsec.pdf） 。

推薦閱讀

• 

  古劍奇譚系列主角實力排名及個人分析 三代主角誰最強
• 

  拘役和有期徒刑的區(qū)別
• 

  如何評價花樣滑冰運動員張昊
• 

  如何查詢手機wifi密碼 手機wifi密碼如何查看
• 

  腈綸面料童裝耐曬嗎
• 

  懶人提拉米蘇蛋糕的做法
• 

  如何做檸檬素
• 

  孕婦能吃苦瓜嗎 孕婦能吃苦瓜嗎
• 

  11月5日：江民播報--謹防QQ大盜竊取QQ隱私
• 

  什么梯形叫做等腰梯形
• 

  死神有什么網(wǎng)頁游戲,火影和死神的網(wǎng)頁游戲手機版
• 

  人妖犯了罪，該關(guān)進男監(jiān)獄還是女監(jiān)獄
• 

  木頭上油用什么油，木頭表面打磨用什么工具好
• 

  辛集招聘，辛集哪些地方招工
• 

  公路邊的芒果可以吃嗎
• 

  52歲的斯琴格日樂無夫無子 斯琴格日樂老公

• Linux下VMware的端口映射的方法
• 網(wǎng)管實戰(zhàn):RHEL 5在虛擬機下共享互聯(lián)網(wǎng)
• 讓VMware Workstation實現(xiàn)服務(wù)自啟動
• ISA結(jié)合VMware虛擬機搭建企業(yè)服務(wù)器
• VMware Workstation 6.5新功能展示
• 如何使用VMware Workstation的調(diào)試模式
• 開車省油的小技巧 定速巡航需要靈活運用
• 利用批處理啟動或關(guān)閉VMware服務(wù)
• VMware Workstation虛擬機的時間鎖定
• Linux虛擬機用戶數(shù)據(jù)存放技巧