Wie kann ich mein Betriebssystem so aussehen lassen, als würde es virtualisiert ausgeführt?

10

Viele Malware in diesen Tagen ist in der Lage zu erkennen , wenn es ausgeführt wird virtualisiert unter VMWare, VirtualPC, Wein oder sogar in einer Sandbox wie Anubis oder CWSandbox .

Dies bedeutet im Wesentlichen, dass Malware in einer virtuellen Umgebung häufig "zurückhält" oder nicht böswillig funktioniert, um die Analyse ihrer wahren Absichten zu verhindern.

Mein Gedanke ist dann, warum nicht Ihren PC so aussehen lassen, als wäre er virtualisiert? Weiß jemand, wie ich das machen kann?

Mick
quelle
3
Ist es einfach zu offensichtlich, einfach "Ihr Betriebssystem in einer VM oder einem Hypervisor auszuführen"?
Marc Gravell
Weil ich möchte, dass die PCs in meiner Umgebung Malware so erscheinen, als wären sie eine VM. Auf diese Weise hoffe ich, dass Malware, die sich dafür entscheidet, nicht innerhalb einer VM ausgeführt zu werden (um eine Analyse zu verhindern), davon ausgeht, dass dieses System virtualisiert ist und daher einfach ein Analysten-Testfeld ist ... und nicht selbst ausgeführt wird. Es ist Teil einer umfassenden Verteidigungsstrategie ... nur eine zusätzliche Ebene.

Antworten:

9

Dies ist keine gute Technik. Sich auf Malware zu verlassen, um sich gut zu verhalten, weil sie möglicherweise unter die Lupe genommen wird, ist ein bisschen so, als würde man sich darauf verlassen, dass Katzen dort bleiben, weil Sie es ihnen gesagt haben. Es ist eine interessante Idee, die sich jedoch nicht als Anti-Malware-Lösung lohnt.

Wie Marc vorgeschlagen hat, führen Sie Ihr Betriebssystem einfach in einer VM oder einem Hypervisor aus, wenn sich Malware wie in einer virtualisierten Umgebung verhalten soll. Der Leistungseinbruch ist der winzige Preis, den Sie für eine so verbesserte Sicherheit zahlen.

Ein weiterer wichtiger Punkt ist, dass es eine ganze Reihe legitimer Desktop-Apps gibt, die unter VMs nicht funktionieren, da ihr DRM glaubt, dass sie gerade rückentwickelt werden. Der damit verbundene Usability-Aufwand wäre schrecklich.

Paul McMillan
quelle
1
"Ein weiterer wichtiger Punkt ist, dass es eine ganze Reihe legitimer Desktop-Apps gibt, die unter VMs nicht funktionieren, weil ihr DRM glaubt, dass sie gerade rückentwickelt werden." Können Sie ein Beispiel hinzufügen? Ich würde gerne eine dieser Apps sehen.
Manuel Ferreria
Securom für die meisten neueren Spiele.
Paul McMillan
Danke für die Kommentare. Diese Idee kam mir in den Sinn, um es meinen Systemen (Zehntausenden) zu erschweren, sich mit Malware zu infizieren. Selbst mit aktuellen Antivirenprodukten, Firewall (Software und Hardware) und NIDS / HIDS gibt es immer noch Trojaner-Downloader, die Kopfschmerzen verursachen können. Vielen Dank für Ihre Meinung ... das klingt so, als wäre es keine wirklich gute Idee!
Seltsamerweise fühle ich mich jetzt gezwungen, ein Video zu posten, das ich von meiner Katze gemacht habe, weil ich es gesagt habe. Zugegeben, sein Verhalten hat mich schockiert.
Dlamblin
0

Das ist ein interessantes Thema. Codeproject hatte einen Artikel darüber , wie Sie zu erkennen , ob Ihr Programm in einem vm lief, hier . Es sieht so aus, als wäre der VMWare-Ansatz am einfachsten zu fälschen, da er auf einen Port zugreift, um mit dem Host zu kommunizieren.


quelle
0

Die Art von Malware - Diktat , die früher oder später, wahrscheinlich früher, die Malware - Autoren werden die Lage sein zu erkennen , wenn Sie ein virtualisierte O fälschen. Es ist nur eine Frage der Zeit. Ich würde meine Bemühungen woanders konzentrieren.

jinsungy
quelle
Das würde nur passieren, wenn jeder anfangen würde, ein virtualisiertes Betriebssystem zu fälschen. Ein paar Hacker wären die Mühe nicht wert.
Christian
-1

Warum installieren Sie fragwürdige Software auf Ihrem System? Ich denke, die beste Sicherheitspraxis besteht darin, Software aus zuverlässigen Quellen (dem Anbieter selbst oder einer zuverlässigen Open Source-Community) zu verwenden oder zu kaufen. Kaufen Sie außerdem eine gute Sicherheitslösung. Ich habe NOD32 und hatte noch nie ein Problem.

Richard Clayton
quelle
Weil ich für meinen Arbeitgeber Malware-Analysen durchführe. Ich möchte wissen, auf was die Malware zugreifen möchte und ob zusätzliche Nutzdaten heruntergeladen werden. Ich kann das nicht wissen, wenn ich es nicht einfach analysieren kann. Wenn eine VM erkannt wird (was einfach ist), ist die Verwendung einer VM von geringem Nutzen.