Malware
Bahkan jika analisis malware tidak pekerjaan utama Anda, sesekali Anda mungkin
menemukan diri Anda bertanya-tanya tentang sifat executable berbahaya asing yang
melintasi meja Anda. Mulai penyelidikan Anda dengan perilaku analisis-pengamatan
tentang bagaimana spesimen berinteraksi dengan sistem file, registry dan jaringandapat dengan cepat menghasilkan hasil yang bermanfaat.Software virtualisasi
seperti VMware sangat membantu dalam proses ini.
Ini sering bermanfaat untuk memiliki beberapa sistem di lab analisis, sehingga
malware dapat berinteraksi dengan komponen Internet simulasi. Dengan VMware,
itu mungkin untuk membangun sebuah laboratorium multi-komponen tanpa hulk
kotak fisik beberapa.
malware tidak benar atau ketika spesimen mengeksploitasi kelemahan di setup VMware
dan lolos sandbox nya. Ada beberapa kerentanan diumumkan di VMware itu, dalam
teori, dapat memungkinkan kode berbahaya dari sistem virtual untuk menemukan jalan
ke host fisik .
Berikut adalah beberapa saran untuk mengurangi risiko ini:
Memonitor host fisik dengan intrusion detection (IDS) software berbasis host,
seperti pemeriksa berkas-integritas.
Berkala ulang gambar host fisik menggunakan software cloning, seperti Norton
Ghost . Jika opsi ini terlalu lambat, melihat ke modul perangkat keras,
seperti CoreRESTORE , untuk melepas perubahan negara sistem.
Salah satu tantangan dari menggunakan VMware untuk analisis malware adalah bahwa
kode berbahaya dapat mendeteksi apakah itu berjalan dalam sistem virtual, yang
menunjukkan dengan contoh bahwa itu sedang dianalisis. Jika Anda tidak dapat
memodifikasi kode spesimen untuk menghilangkan fungsi ini, Anda dapat
mengkonfigurasi ulang VMware untuk membuatnya stealthier.Tom Liston dan Ed
Skoudis mendokumentasikan beberapa VMware pengaturan file yang Vmx Anda dapat
memasukkan untuk mencapai hal ini. Masalah terbesar dengan pengaturan ini adalah
bahwa mereka dapat memperlambat kinerja sistem virtual. Juga mencatat bahwa
mereka tidak didukung oleh VMware.
Tentu saja, VMware bukan satu-satunya pilihan untuk software virtualisasi dapat Anda
gunakan untuk analisis malware. Alternatif umum termasuk Microsoft Virtual
PC dan Parallels Workstation .
software virtualisasi menyediakan mekanisme yang mudah dan menghemat waktu
untuk membangun lingkungan analisis malware. Pastikan untuk menetapkan kontrol
yang diperlukan untuk mencegah perangkat lunak berbahaya dari melarikan diri
lingkungan pengujian Anda. Dengan lab fine-tuned, Anda akan baik di jalan ke arah
membuat sebagian keterampilan analisis malware Anda.
Untuk tindak lanjut artikel ini, silakan lihat VMware Jaringan Isolasi untuk Analisis
Malware Lab .