Como posso fazer meu SO aparecer como se estivesse rodando virtualizado?

10

Muitos malwares hoje em dia conseguem detectar quando está executando virtualizado no VMWare, VirtualPC , WINE ou até mesmo em um sandbox, como Anubis ou CWSandBox .

Essencialmente, isso significa que o malware geralmente "retém" ou não funciona maliciosamente quando executado em um ambiente virtual, a fim de impedir a análise de suas verdadeiras intenções.

Meu pensamento é, por que não fazer o seu PC parecer virtualizado? Alguém sabe como eu poderia ser capaz de fazer isso?

    
por Mick 25.07.2009 / 23:06

5 respostas

9

Esta não é uma boa técnica. Baseando-se em malware para se comportar bem, porque pode estar sob o microscópio é um pouco como confiar em gatos para ficar parado porque você disse a eles. É uma ideia interessante, mas que não vale a pena implementar como uma solução anti-malware.

Dito isso, como Marc sugeriu - basta executar o sistema operacional em uma VM ou hipervisor, se você quiser que o malware se comporte como se estivesse em um ambiente virtualizado. O impacto no desempenho é o pequeno preço que você paga por essa tranquilidade aprimorada.

Outro item importante é que há um número razoável de aplicativos de desktop legítimos que não funcionam nas VMs, pois o DRM acredita que eles podem estar em processo de engenharia reversa. O problema de usabilidade disso seria terrível.

    
por 25.07.2009 / 23:18
0

Esse é um assunto interessante. CodeProject tinha um artigo sobre como detectar se o seu programa estava rodando dentro de um vm, aqui . Parece que a abordagem VMWare pode ser a mais fácil de falsificar, já que envolve o acesso a uma porta para se comunicar com o host.

    
por 25.07.2009 / 23:20
0

A natureza do malware determina que, mais cedo ou mais tarde, provavelmente mais cedo, os criadores de malware serão capazes de detectar se você está fingindo um sistema operacional virtualizado. É só uma questão de tempo. Eu concentraria meus esforços em outro lugar.

    
por 27.07.2009 / 15:39
0

Para Linux, existem scripts PERL, como virt-what e imvirt. Dê uma olhada no último link

    
por 15.01.2010 / 00:49
-1

Por que você está instalando software questionável em seu sistema? Acho que a melhor prática de segurança é usar ou comprar software de fontes confiáveis (o próprio fornecedor ou a comunidade de código aberto confiável). Além disso, compre uma boa solução de segurança; Eu tenho NOD32 e nunca, nem sequer uma vez, tive um problema.

    
por 25.07.2009 / 23:28