我正在进行恶意软件研究,并且想知道构建安全 VM 以在反汇编代码时包含代码的最佳实践是什么。至今:
- 用于检查代码的每个实例都位于一个单独的 VM 中,该 VM 具有仅限主机的网络支持,以防止恶意代码逃离 VM。
- 通过排除所有不必要的软件/服务,每个 VM 都已完全修补并具有最小的攻击面。
我应该采取哪些其他步骤来隔离虚拟机或强化虚拟机?虚拟机是 Win XP 和 Win Vista。
谢谢
AskOverflow.Dev
您正在寻找的是恶意软件沙箱,而不是蜜罐。
我建议让主机使用与沙箱不同的操作系统。例如,在您的 VM 上运行 Linux,然后在 linux VM 内的 Windows 安装中运行恶意软件。如果 Windows 恶意软件感染了 Linux 机器,那将是令人震惊的。
实际上,您可以查看一个名为Zero Wine的开源系统。
它的唯一目的是帮助人们分析封闭环境中的恶意软件。
根据您的预算,有些商业产品(例如Norman Sandbox Analyzer )也可能是可行的。
这听起来不像是在使用蜜罐,而是在使用一个用于检查恶意软件的测试系统。
请注意,恶意软件有可能进入 VM 之外,甚至将 VM 的 hipervisor 替换为恶意软件。您需要确保运行 VM 的系统不会对您造成伤害——例如,它与您的网络之间存在气隙。您还需要在任何病毒之前以干净状态备份系统,并且可能需要从其中恢复的可启动的一次性写入媒体。