如何激活虚拟机内的恶意软件?
我一直在研究恶意软件检测,我目前的设置是:一个主机操作系统(Ubuntu18.04)和一个客户操作系统(Ubuntu18.04)在VirtualBox中。我已经下载并执行了一些恶意软件(包括Linux,Windows和OS平台恶意软件)到客户操作系统。但是,我无法直观地看到恶意软件的影响,即使是Linux目标的恶意软件,也不能证明恶意软件是活动的/恶意的。VirtualBox日志文件(这是我感兴趣的地方)没有给我任何关于这个问题的洞察力。
我应该使用任何工具来激活恶意软件吗?如果是的话,请您推荐一些工具好吗?
注:我从GitHub上的“动物园”存储库收集了大部分恶意软件,其余的从其他资源中收集。
回答 2
Security用户
发布于 2022-01-05 10:44:55
听起来就像你想要使用的是一个恶意软件分析沙箱。这些都是预先制造和硬化的虚拟机,旨在引爆和观察恶意软件的影响。这些沙箱也有不同的操作系统口味。
恶意软件分析沙箱提取网络活动、内部进程挂钩、磁盘活动、浏览器活动等。从分析工具中创建IoCs和签名以用于其他工具,如IPS/IDS或端点保护,变得非常简单。
布谷鸟是一个流行的选项,而且是开源的.如果您想使用免费在线版本而不需要自己设置它,可以使用它。
还有许多其他的,如,Any.run和FLARE。
一些自动恶意软件沙箱的缺点是,您没有太多的能力来改变环境或掌握恶意软件代码的核心,尽管有些已经内置了调试器以便您可以。
但是从你提出的问题类型来看,你应该从一个自动沙箱开始,然后在那里成长。
Security用户
发布于 2022-01-05 06:47:11
你需要读一下Shitorski的实用恶意软件分析。它将回答所有这些问题,并为你提供调查所需的工具。去找个全国委员会。
- 您需要像RegistryChangesView、TCPLogView、Process这样的工具。Vbox日志基本上会告诉您有关Virtual平台的信息,并且不会给出恶意软件爆炸的详细信息。
- Windows exe文件不能影响Linux,因为它没有处理恶意程序命令的代码。比如,没有C:\Temp,管理硬件是不同的。OSX恶意软件可能会影响Linux,因为它们与Unix有关。他们不保持休眠状态,他们是无用的程序。顺便说一句,恶意软件可以扫描虚拟机,变成休眠以躲避分析,甚至可以突破环境。
https://security.stackexchange.com/questions/258530
复制相似问题
腾讯云开发者
