本章讲解如何搭建专门分析病毒的虚拟机
最受欢迎的三个虚拟机是 VirtualBox、VMWare Workstation 和 QEMU/kvm。
固态磁盘 SSD
能用Solid-state-disk固态磁盘 (SSD)就不要用盘片的硬盘驱动器 (HDD) 。在分析过程中,需要快速挂起VM,创建快照和恢复快照。 拥有 SSD 意味着磁盘读写速度比传统的基于盘片的 HDD 快,提高分析速度和效率。
隔离网NAT模式
让您的分析虚拟机的网络(或主机的网络)系统已打开)与任何在场所内容纳其他设备的网络隔离。这尤其适用于在公司工作的分析师,那里有一个孤立的恶意软件实验室。网络是保护公司场所中其他部门设备的必要条件。
禁用隐藏扩展
默认情况下,Windows 中不显示文件扩展名。 在美观的同时没有在 Windows 资源管理器中显示扩展名,已知恶意软件会利用它欺骗最终用户点击它的功能,从而执行恶意软件并感染系统。现在,您可以禁用文件。通过取消选中隐藏已知文件类型的扩展名选项来隐藏扩展名文件资源管理器选项。
禁用ASLR
地址空间布局随机化,也称为 ASLR,是一种安全功能
将可执行代码(包括 DLL)使用的内存地址随机化,以劝阻攻击者在发现程序中的漏