Perché il computer guest VirtualBox di Windows 7 non supporta l'analisi del malware [chiuso]

0

Recentemente, ho scaricato alcuni esempi di malware per le pratiche di risposta agli incidenti. Quindi li ho installati su una macchina guest VirtualBox Windows 7, ma non funzionano correttamente.

Ho disabilitato l'antivirus e il firewall ma non stanno mostrando il loro comportamento. Ricorda che non sto parlando del traffico di rete del trojan. Quali impostazioni devo abilitare in Windows 7 guest o VirtualBox per completare il mio lavoro?

    
posta ashok 08.10.2016 - 19:43
fonte

2 risposte

1

Se ho capito bene, stai cercando di infettare deliberatamente la tua VM ma il malware che hai scaricato non sembra funzionare correttamente.

Supponendo che non si provi a lanciare malware a 64 bit in una macchina virtuale a 32 bit, o malware creato per un'altra versione o versione di Windows, la causa più probabile per me è che i malware cercheranno di rilevare se sono in esecuzione in una VM o su un computer che viene utilizzato per il lavoro effettivo e disabilitandosi per evitare il rilevamento (soprattutto per rendere più difficile per le aziende antivirus rilevarli e studiarli).

Ad esempio, alcuni malware presenti in natura hanno recentemente rilevato conteggiati con documenti Word nella cartella dell'utente corrente; presumono che se questo numero è vicino allo zero è probabile che il computer sia solo una macchina di prova, e si fermano qui.

    
risposta data 08.10.2016 - 23:08
fonte
0

In realtà ci sono alcuni parametri diversi che possono cambiare il modo in cui un software (In questo caso il malware) funziona su VM, confrontandolo con una macchina reale.

Prima , dovresti essere sicuro di (x86, x64) supportando, configurando le impostazioni di rete della macchina virtuale in modo che il malware possa essere isolato dalla rete della tua macchina reale, anche se contemporaneamente il malware può connettersi a Internet e al server CNC, .. .

In secondo luogo , alcuni malware e persino prodotti commerciali controllano sempre l'ambiente in esecuzione e, se viene rilevata una VM, cambieranno il loro comportamento per evitare l'analisi. In reverse-engineering non è così difficile trovare i controlli VM sull'assemblaggio.

Nota finale: fornisco alcune informazioni per risolvere il tuo problema. ma non possiamo darti alcuna soluzione esatta perché non abbiamo dettagli sul tuo problema.

    
risposta data 09.10.2016 - 12:33
fonte

Leggi altre domande sui tag