IT動態(tài)：IT之家“神教程” VM虛擬機內(nèi)的惡意程序測試指南

5G已經(jīng)片區(qū)使用，很多小伙伴對通信這塊還不熟系！越來越多的人開始對IT、5G信息方面產(chǎn)生興趣，近來IT之家“神教程” VM虛擬機內(nèi)的惡意程序測試指南的話題也是引起了很多人的關(guān)注，那么既然現(xiàn)在大家都想要知道IT之家“神教程” VM虛擬機內(nèi)的惡意程序測試指南，小編今天就來給大家針對IT之家“神教程” VM虛擬機內(nèi)的惡意程序測試指南做個詳細介紹。

感謝IT之家網(wǎng)友 洛克人EXE后援團光卡 的投稿

這次比特幣勒索事件之后，樣本很快就在網(wǎng)絡(luò)上放出了。

有很多人想在自己電腦或是在虛擬機測試這個勒索程序，然而由于這些用戶疏忽了一些問題，最終還讓自己宿主機的文件被加密了，實在是得不償失。

雖說絕大多數(shù)病毒都不會穿透虛擬機感染宿主機，但是有些病毒畢竟會通過局域網(wǎng)傳染出去，所以這方面也必須要控制。

那么，這篇文章就是寫給那些想測試病毒的吃瓜群眾的，專業(yè)人員可以繞行。

前提是你的宿主機是Windows系統(tǒng)，如果宿主機是macOS或Linux的話，那么僅僅需要保證不要和其它Windows電腦在一個局域網(wǎng)內(nèi)。

本教程使用VMware虛擬機來介紹如何建立一個足夠安全的惡意軟件測試環(huán)境。如果你使用的是其它的虛擬機，我無法給出對應(yīng)的操作方法，歡迎各位在評論區(qū)補充。

如果哪個步驟操作存在疏忽，輕則無法測試，重則會導致宿主機的重要文件全部加密，由此產(chǎn)生的風險和損失作者并不承擔責任。請各位在測試的時候一定要小心謹慎，避免發(fā)生意外。

打開網(wǎng)絡(luò)連接，禁用VMware Network Adapter VMnet8這個網(wǎng)絡(luò)連接。

VMnet8的用途是，如果虛擬機采用的是NAT方式網(wǎng)絡(luò)連接，通過VMnet8這個網(wǎng)絡(luò)連接可以將宿主機和虛擬機劃入一個局域網(wǎng)里。如果禁用了VMnet8，虛擬機仍然能連接外網(wǎng)，但無法再和宿主機直接通過局域網(wǎng)聯(lián)系了。

相關(guān)內(nèi)容可以參考這篇VMware官網(wǎng)對此的介紹：https://www.vmware.com/support/ws3/doc/ws32_network8.html（雖然是很古老的VMware 3.2但對現(xiàn)在的VMware Workstation 12一樣適用）

然后就是在虛擬機內(nèi)安裝系統(tǒng)。

為了避免在后續(xù)測試出現(xiàn)不必要的問題，請勿安裝來路不明的Ghost裝機版Windows系統(tǒng)。

請只使用來自可靠來源（比如MSDN）的Windows安裝鏡像文件。

虛擬機內(nèi)的網(wǎng)絡(luò)連接請設(shè)置成NAT。

至于如何在虛擬機內(nèi)安裝系統(tǒng)，相信玩過虛擬機的人應(yīng)該都會，這里不做詳細介紹。但是，請不要使用VMware的簡易安裝功能，也不要在裝完系統(tǒng)之后安裝虛擬機增強插件（如VMware Tools）。至于原因，后面會做詳細說明。

裝完系統(tǒng)之后，你并不需要去激活系統(tǒng)，畢竟你只是用來測試，測試完成之后你就可以銷毀整個虛擬機了。

使用其它高級的文本編輯器（不要用記事本，可以用寫字板）打開你的虛擬機的vmx文件，在任意處加上這兩行：

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

然后保存。

然后虛擬機設(shè)置里勾上“虛擬化Intel VT-x/EPT或AMD-V/RVI”。這還要求你的主板BIOS設(shè)置里開啟了相關(guān)的虛擬化技術(shù)，能否開啟隨廠商決定，近年的電腦一般都能開啟。

因為有些軟件或惡意程序如果發(fā)現(xiàn)是在虛擬機內(nèi)運行或是檢測到虛擬機增強插件相關(guān)進程會拒絕啟動，這么處理之后就可以在虛擬機內(nèi)運行本不允許在虛擬機內(nèi)運行的程序。（雖然WannaCry并不會檢測這個）

然后是把你想要放進虛擬機的東西復(fù)制進虛擬機。在沒有虛擬機增強插件的前提下，你有三種方法：

使用UltraISO之類的軟件將你想復(fù)制進去的文件做成ISO鏡像，然后加載進虛擬機；

將你想復(fù)制進去的東西復(fù)制進一個U盤，然后用虛擬機加載U盤（不是所有虛擬機軟件都支持U盤）；

關(guān)閉虛擬機，使用能編輯虛擬硬盤鏡像的工具將文件復(fù)制進硬盤鏡像。

總而言之，復(fù)制進來之后，我們就可以準備測試了。如果你使用的是VMware Workstation Pro的話，你可以在測試之前做一個快照，以便為了測試下一個病毒之前還原回之前的狀態(tài)。我這里用的是Player，這里就只好關(guān)機備份虛擬硬盤鏡像了。

這里我測試的正是WannaCrypt勒索程序樣本。為了確保各位不去輕易作死，這里恕不提供樣本的下載，也請各位不要在評論區(qū)分享這個樣本。

桌面上的Malware Defender是一款HIPS防御軟件，在高強度保護下會攔截一切操作，并會向用戶告知軟件執(zhí)行了什么樣的操作且詢問是否允許。很遺憾的是，該軟件僅支持32位Windows系統(tǒng)，且這樣的軟件并不適合日常的安全防護。你們可以根據(jù)你們的需要選擇是否要在虛擬機安裝這樣的軟件來分析惡意軟件的工作流程。

全部準備好之后，打開Malware Defender，調(diào)成正常模式。

然后打開惡意程序樣本（如果這個時候你插上了U盤，請立即將U盤拔出虛擬機），就會問你是否要確定運行，并且會逐步分析每個步驟發(fā)生了什么。

回答了是否放行之后，你可以觀察到文件是不是被跟著加密了。

但無論如何，不會穿透出虛擬機。

這就是在虛擬機內(nèi)測試一個惡意程序的基本方法，但同時完全不會影響到宿主機本身的正常運作。

在虛擬機內(nèi)操作惡意軟件，就像是嘗試拆定時炸彈一樣，稍有不慎就會爆炸，波及到不必要的部分。所以請各位在測試之前，做好充分的防護工作。

對于一些想試圖研究出解決方案的人來講，還可以配合很多更強大的調(diào)試工具來進行破解。由于能力和精力有限，作者無法給出任何指導。