IT動態(tài)：IT之家“神教程” VM虛擬機(jī)內(nèi)的惡意程序測試指南

5G已經(jīng)片區(qū)使用，很多小伙伴對通信這塊還不熟系！越來越多的人開始對IT、5G信息方面產(chǎn)生興趣，近來IT之家“神教程” VM虛擬機(jī)內(nèi)的惡意程序測試指南的話題也是引起了很多人的關(guān)注，那么既然現(xiàn)在大家都想要知道IT之家“神教程” VM虛擬機(jī)內(nèi)的惡意程序測試指南，小編今天就來給大家針對IT之家“神教程” VM虛擬機(jī)內(nèi)的惡意程序測試指南做個詳細(xì)介紹。

感謝IT之家網(wǎng)友 洛克人EXE后援團(tuán)光卡 的投稿

這次比特幣勒索事件之后，樣本很快就在網(wǎng)絡(luò)上放出了。

有很多人想在自己電腦或是在虛擬機(jī)測試這個勒索程序，然而由于這些用戶疏忽了一些問題，最終還讓自己宿主機(jī)的文件被加密了，實在是得不償失。

雖說絕大多數(shù)病毒都不會穿透虛擬機(jī)感染宿主機(jī)，但是有些病毒畢竟會通過局域網(wǎng)傳染出去，所以這方面也必須要控制。

那么，這篇文章就是寫給那些想測試病毒的吃瓜群眾的，專業(yè)人員可以繞行。

前提是你的宿主機(jī)是Windows系統(tǒng)，如果宿主機(jī)是macOS或Linux的話，那么僅僅需要保證不要和其它Windows電腦在一個局域網(wǎng)內(nèi)。

本教程使用VMware虛擬機(jī)來介紹如何建立一個足夠安全的惡意軟件測試環(huán)境。如果你使用的是其它的虛擬機(jī)，我無法給出對應(yīng)的操作方法，歡迎各位在評論區(qū)補(bǔ)充。

如果哪個步驟操作存在疏忽，輕則無法測試，重則會導(dǎo)致宿主機(jī)的重要文件全部加密，由此產(chǎn)生的風(fēng)險和損失作者并不承擔(dān)責(zé)任。請各位在測試的時候一定要小心謹(jǐn)慎，避免發(fā)生意外。

打開網(wǎng)絡(luò)連接，禁用VMware Network Adapter VMnet8這個網(wǎng)絡(luò)連接。

VMnet8的用途是，如果虛擬機(jī)采用的是NAT方式網(wǎng)絡(luò)連接，通過VMnet8這個網(wǎng)絡(luò)連接可以將宿主機(jī)和虛擬機(jī)劃入一個局域網(wǎng)里。如果禁用了VMnet8，虛擬機(jī)仍然能連接外網(wǎng)，但無法再和宿主機(jī)直接通過局域網(wǎng)聯(lián)系了。

相關(guān)內(nèi)容可以參考這篇VMware官網(wǎng)對此的介紹：https://www.vmware.com/support/ws3/doc/ws32_network8.html（雖然是很古老的VMware 3.2但對現(xiàn)在的VMware Workstation 12一樣適用）

然后就是在虛擬機(jī)內(nèi)安裝系統(tǒng)。

為了避免在后續(xù)測試出現(xiàn)不必要的問題，請勿安裝來路不明的Ghost裝機(jī)版Windows系統(tǒng)。

請只使用來自可靠來源（比如MSDN）的Windows安裝鏡像文件。

虛擬機(jī)內(nèi)的網(wǎng)絡(luò)連接請設(shè)置成NAT。

至于如何在虛擬機(jī)內(nèi)安裝系統(tǒng)，相信玩過虛擬機(jī)的人應(yīng)該都會，這里不做詳細(xì)介紹。但是，請不要使用VMware的簡易安裝功能，也不要在裝完系統(tǒng)之后安裝虛擬機(jī)增強(qiáng)插件（如VMware Tools）。至于原因，后面會做詳細(xì)說明。

裝完系統(tǒng)之后，你并不需要去激活系統(tǒng)，畢竟你只是用來測試，測試完成之后你就可以銷毀整個虛擬機(jī)了。

使用其它高級的文本編輯器（不要用記事本，可以用寫字板）打開你的虛擬機(jī)的vmx文件，在任意處加上這兩行：

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

然后保存。

然后虛擬機(jī)設(shè)置里勾上“虛擬化Intel VT-x/EPT或AMD-V/RVI”。這還要求你的主板BIOS設(shè)置里開啟了相關(guān)的虛擬化技術(shù)，能否開啟隨廠商決定，近年的電腦一般都能開啟。

因為有些軟件或惡意程序如果發(fā)現(xiàn)是在虛擬機(jī)內(nèi)運(yùn)行或是檢測到虛擬機(jī)增強(qiáng)插件相關(guān)進(jìn)程會拒絕啟動，這么處理之后就可以在虛擬機(jī)內(nèi)運(yùn)行本不允許在虛擬機(jī)內(nèi)運(yùn)行的程序。（雖然WannaCry并不會檢測這個）

然后是把你想要放進(jìn)虛擬機(jī)的東西復(fù)制進(jìn)虛擬機(jī)。在沒有虛擬機(jī)增強(qiáng)插件的前提下，你有三種方法：

使用UltraISO之類的軟件將你想復(fù)制進(jìn)去的文件做成ISO鏡像，然后加載進(jìn)虛擬機(jī)；

將你想復(fù)制進(jìn)去的東西復(fù)制進(jìn)一個U盤，然后用虛擬機(jī)加載U盤（不是所有虛擬機(jī)軟件都支持U盤）；

關(guān)閉虛擬機(jī)，使用能編輯虛擬硬盤鏡像的工具將文件復(fù)制進(jìn)硬盤鏡像。

總而言之，復(fù)制進(jìn)來之后，我們就可以準(zhǔn)備測試了。如果你使用的是VMware Workstation Pro的話，你可以在測試之前做一個快照，以便為了測試下一個病毒之前還原回之前的狀態(tài)。我這里用的是Player，這里就只好關(guān)機(jī)備份虛擬硬盤鏡像了。

這里我測試的正是WannaCrypt勒索程序樣本。為了確保各位不去輕易作死，這里恕不提供樣本的下載，也請各位不要在評論區(qū)分享這個樣本。

桌面上的Malware Defender是一款HIPS防御軟件，在高強(qiáng)度保護(hù)下會攔截一切操作，并會向用戶告知軟件執(zhí)行了什么樣的操作且詢問是否允許。很遺憾的是，該軟件僅支持32位Windows系統(tǒng)，且這樣的軟件并不適合日常的安全防護(hù)。你們可以根據(jù)你們的需要選擇是否要在虛擬機(jī)安裝這樣的軟件來分析惡意軟件的工作流程。

全部準(zhǔn)備好之后，打開Malware Defender，調(diào)成正常模式。

然后打開惡意程序樣本（如果這個時候你插上了U盤，請立即將U盤拔出虛擬機(jī)），就會問你是否要確定運(yùn)行，并且會逐步分析每個步驟發(fā)生了什么。

回答了是否放行之后，你可以觀察到文件是不是被跟著加密了。

但無論如何，不會穿透出虛擬機(jī)。

這就是在虛擬機(jī)內(nèi)測試一個惡意程序的基本方法，但同時完全不會影響到宿主機(jī)本身的正常運(yùn)作。

在虛擬機(jī)內(nèi)操作惡意軟件，就像是嘗試拆定時炸彈一樣，稍有不慎就會爆炸，波及到不必要的部分。所以請各位在測試之前，做好充分的防護(hù)工作。

對于一些想試圖研究出解決方案的人來講，還可以配合很多更強(qiáng)大的調(diào)試工具來進(jìn)行破解。由于能力和精力有限，作者無法給出任何指導(dǎo)。