¿Cómo puedo hacer que mi sistema operativo parezca que se está ejecutando virtualizado?

10

Una gran cantidad de malware en estos días es capaz de detectar cuando se ejecuta virtualizado en VMWare, VirtualPC, WINE o incluso en un entorno limitado como Anubis o CWSandBox .

Esto esencialmente significa que el malware a menudo se "retendrá" o no funcionará maliciosamente cuando se ejecute en un entorno virtual para frustrar el análisis de sus verdaderas intenciones.

Mi pensamiento es entonces, ¿por qué no hacer que su PC parezca virtualizada? ¿Alguien sabe cómo podría hacer esto?

security vmware virtualization anti-virus malware-detection Mick
fuente
3
¿Es simplemente "ejecutar su sistema operativo en una VM o hipervisor" una respuesta demasiado obvia?
Marc Gravell
Porque quiero hacer que las PC en mi entorno parezcan malware como si fueran una VM. Al hacer esto, mi esperanza es que el malware que elige no ejecutarse dentro de una VM (para evitar el análisis) suponga que este sistema está virtualizado y, por lo tanto, simplemente es un banco de pruebas de analistas ... y no se ejecuta solo. Es parte de una estrategia de defensa en profundidad ... solo una capa adicional.

Respuestas:

9

Esta no es una buena técnica. Confiar en el malware para que se comporte bien porque podría estar bajo el microscopio es un poco como confiar en que los gatos se queden quietos porque les dijiste que lo hicieran. Es una idea interesante, pero no vale la pena implementarla como una solución antimalware.

Dicho esto, como sugirió Marc, simplemente ejecute su sistema operativo en una máquina virtual o hipervisor, si desea que el malware se comporte como si estuviera en un entorno virtualizado. El éxito en el rendimiento es el pequeño precio que paga por una mayor tranquilidad.

Otro elemento a destacar es que hay una buena cantidad de aplicaciones legítimas de escritorio que no funcionan en máquinas virtuales porque su DRM cree que podrían estar en proceso de ingeniería inversa. La molestia de usabilidad de eso sería terrible.

Paul McMillan
fuente
1
"Otro elemento importante es que hay una buena cantidad de aplicaciones legítimas de escritorio que no funcionan con máquinas virtuales porque su DRM cree que podrían estar en proceso de ingeniería inversa". ¿Puedes agregar un ejemplo? Me encantaría ver una de esas aplicaciones.
Manuel Ferreria
Asegúrate en la mayoría de los juegos más nuevos, para empezar.
Paul McMillan
Gracias por los comentarios. Esta idea apareció en mi cabeza como una posible forma de dificultar que mis sistemas (decenas de miles) se infecten con malware. Incluso con productos antivirus actualizados, firewall (software y hardware) y NIDS / HIDS, todavía hay descargadores de troyanos que pueden causar dolores de cabeza. Gracias por sus opiniones ... ¡esto puede parecer que no es una idea realmente brillante!
Curiosamente, ahora me siento obligado a publicar un video que hice de mi gato quedándose allí porque se lo dije. De acuerdo, su comportamiento me sorprendió.
dlamblin
0

Ese es un tema interesante. CodeProject tenía un artículo sobre cómo detectar si su programa se estaba ejecutando dentro de una máquina virtual, aquí . Parece que el enfoque VMWare podría ser el más fácil de falsificar, ya que implica acceder a un puerto para comunicarse con el host.


fuente
0

La naturaleza de los dictados de malware que más pronto o más tarde, probablemente antes, los creadores de malware se podrá detectar si está fingiendo un sistema operativo virtualizado. Es solo cuestión de tiempo. Concentraría mis esfuerzos en otra parte.

jinsungy
fuente
Eso solo sucedería si todos comenzaran a falsificar un sistema operativo virtualizado. Algunos piratas informáticos no valdrían la pena.
Christian el
-1

¿Por qué está instalando software cuestionable en su sistema? Creo que la mejor práctica de seguridad es usar o comprar software de fuentes confiables (el propio vendedor o la comunidad confiable de código abierto). Además, compre una buena solución de seguridad; Tengo NOD32 y nunca, ni una sola vez, tuve un problema.

Richard Clayton
fuente
Porque estoy haciendo análisis de malware para mi empleador. Quiero saber a qué intenta acceder el malware y si está descargando cargas adicionales. No puedo saber esto si no puedo analizarlo fácilmente. Si detecta una VM (lo cual es fácil), usar una VM es de poca utilidad.