如何查看恶意软件对虚拟机所做的更改?

如何查看恶意软件对虚拟机所做的更改?

我想知道是否可以打开虚拟机(VMware、虚拟盒……)(例如)安装 Windows 7 + 一些程序(chrome、Word、防病毒软件……)然后保存目前的状态 (我不知道该怎么做)然后执行恶意软件,我想知道是否有可能知道修改的文件和他们添加到虚拟机中的新注册表项(所有修改)在第一次保存数据后(仅用于恶意软件分析)然后我希望能够将虚拟机返回到第一个统计(在 YouTube 上的一些教程中,我看到他们将新的修改保存在以下文件中“病毒.VMEM”

我如何在 Linux 上做到这一点(Debian)我已经安装了 VMware 并且准备安装任何其他可以帮助我的工具吗?

我知道这很难,但请提供任何想法来帮助:)

答案1

使用 Virtualbox(或者 VMware,应该类似),您应该能够使用“快照”回滚到以前的状态。

必须关闭虚拟机才能“快照”虚拟机状态。您可以拥有多个快照。

我建议在摆弄恶意软件之前关闭 Vbox/VMware 中的网卡。

至于“如何”定位恶意软件所做的更改,我不知道那部分。

相关内容