我正在进行恶意软件研究,想知道构建安全的虚拟机以在反汇编代码时包含代码的最佳实践是什么。到目前为止:
- 每个用于检查代码的实例都位于一个单独的虚拟机中,并带有仅主机网络支持,以防止恶意代码逃离虚拟机。
- 通过排除所有不必要的软件/服务,每个虚拟机都经过全面修补,并且攻击面最小。
我还应该采取什么步骤来隔离虚拟机或强化虚拟机?虚拟机是 Win XP 和 Win Vista。
谢谢
答案1
您正在寻找的是恶意软件沙箱,而不是蜜罐。
我建议将主机设置为与沙盒不同的操作系统。例如,在虚拟机上运行 Linux,然后在 Linux 虚拟机内的 Windows 安装中运行恶意软件。如果 Windows 恶意软件感染了 Linux 机器,那就太令人震惊了。
实际上有一个开源系统叫做零酒你可以看看。
其唯一目的是帮助人们在受控环境中分析恶意软件。
有一些商业产品,例如Norman 沙盒分析器这也许也是可行的,具体取决于您的预算。
答案2
这听起来并不完全像是在使用蜜罐,而更像是在使用检查恶意软件的测试系统。
请注意,恶意软件可能会进入虚拟机之外,甚至用恶意程序替换虚拟机的 hipervisor。您需要确保运行虚拟机的系统不会对您造成伤害 - 例如,它与您的网络之间存在空气间隙。您还需要在系统受到任何病毒感染之前备份干净的系统,并且可能需要可启动的一次性写入媒体来恢复。