第二章
在虚拟机中分析恶意代码
vmware虚拟机
分析时:
1.让恶意代码连接互联网。 可能会造成通过网络连接到主机,所以要确保可以
承担相应风险之后,才可以让它联网
2.连接和断开外围设备。 部分病毒可以通过usb设备进行传播,当usb设备连
接到主机时,可能会被感染。 例如:蠕虫病毒
3.拍摄快照。 可以让虚拟机还原到拍摄快照时候状态。
4.使用vmware进行恶意代码分析风险。 vmware也会曝出安全漏洞,确保vmware的补丁已经打完,有些
病毒是可以检测到虚拟机,利用虚拟机的漏洞来进行攻击。
5.记录/重放。 可以还原执行时的cpu的状态。在第8章会详细介绍这个强大的功能。
小结
使用VMware和虚拟机来运行和分析恶意代码涉及以下步骤:
1.从一个没有运行任何恶意代码的干净状态快照开始。
2.将恶意代码传输奥虚拟机上。
3.在虚拟机上进行分析。
4.在虚拟机上记录你的分析笔记,截图和数据,并将它们传输到宿主物理机上。
5.将虚拟机恢复到干净的快照。
- 第二章没有课后实验。