Banyak malware saat ini dapat mendeteksi ketika menjalankan virtualisasi di bawah VMWare, VirtualPC, WINE, atau bahkan di kotak pasir seperti Anubis atau CWSandBox .
Ini pada dasarnya berarti bahwa malware akan sering "menahan" atau tidak berfungsi dengan jahat ketika berjalan di lingkungan virtual untuk menggagalkan analisis niat sebenarnya.
Kalau begitu, mengapa tidak membuat PC Anda tampak seolah-olah divirtualisasi? Adakah yang tahu bagaimana saya bisa melakukan ini?
Jawaban:
Ini bukan teknik yang baik. Mengandalkan malware untuk berperilaku baik karena itu mungkin di bawah mikroskop adalah seperti mengandalkan kucing untuk tetap bertahan karena Anda menyuruh mereka melakukannya. Ini ide yang menarik, tetapi yang tidak layak diimplementasikan sebagai solusi anti-malware.
Yang mengatakan, seperti yang disarankan Marc - hanya benar-benar menjalankan OS Anda di VM atau hypervisor, jika Anda ingin malware berperilaku sendiri seolah-olah berada di lingkungan tervirtualisasi. Hit kinerja adalah harga kecil yang Anda bayar untuk meningkatkan ketenangan pikiran.
Satu hal yang perlu diperhatikan adalah ada cukup banyak aplikasi desktop sah yang tidak berfungsi di bawah VM karena DRM mereka berpikir mereka mungkin sedang dalam proses direkayasa ulang. Kerumitan kegunaan dari itu akan mengerikan.
sumber
Itu adalah subjek yang menarik. CodeProject memiliki artikel tentang cara mendeteksi apakah program Anda berjalan di dalam vm, di sini . Sepertinya pendekatan VMWare mungkin yang paling mudah dipalsukan, karena melibatkan mengakses port untuk berkomunikasi dengan tuan rumah.
sumber
Sifat malware menentukan bahwa cepat atau lambat, mungkin lebih cepat, penulis malware akan dapat mendeteksi jika Anda memalsukan OS tervirtualisasi. Itu hanyalah masalah waktu. Saya akan memusatkan upaya saya di tempat lain.
sumber
Untuk Linux ada skrip PERL seperti virt-what dan imvirt. Lihatlah yang terakhir di http://micky.ibh.net/~liske/imvirt.html
sumber
Mengapa Anda menginstal perangkat lunak yang dipertanyakan pada sistem Anda? Saya pikir praktik keamanan terbaik adalah dengan menggunakan atau membeli perangkat lunak dari sumber yang dapat diandalkan (vendor itu sendiri atau komunitas sumber terbuka yang dapat diandalkan). Selain itu, beli solusi keamanan yang baik; Saya memiliki NOD32 dan tidak pernah, sekali pun, memiliki masalah.
sumber