Comment puis-je faire apparaître mon système d'exploitation comme s'il était virtualisé?

10

De nos jours, de nombreux logiciels malveillants sont capables de détecter leur exécution virtualisée sous VMWare, VirtualPC, WINE ou même dans un bac à sable comme Anubis ou CWSandBox .

Cela signifie essentiellement que les logiciels malveillants "retiennent" souvent ou ne fonctionnent pas de manière malveillante lorsqu'ils s'exécutent dans un environnement virtuel afin de contrecarrer l'analyse de leurs véritables intentions.

Ma pensée est alors, pourquoi ne pas faire apparaître votre PC comme s'il était virtualisé? Est-ce que quelqu'un sait comment je pourrais y arriver?

— Mick
source

3

Est-ce simplement "exécuter votre système d'exploitation dans une machine virtuelle ou un hyperviseur" une réponse trop évidente?

— Marc Gravell

Parce que je veux que les PC de mon environnement apparaissent comme des logiciels malveillants comme des VM. En faisant cela, j'espère que les logiciels malveillants qui choisissent de ne pas s'exécuter à l'intérieur d'une machine virtuelle (pour empêcher l'analyse) supposeront que ce système est virtualisé, et donc simplement un banc d'essai d'analystes ... et ne s'exécute pas lui-même. Cela fait partie d'une stratégie de défense en profondeur ... juste une couche supplémentaire.

9

Ce n'est pas une bonne technique. S'appuyer sur les logiciels malveillants pour se comporter correctement, car ils pourraient être sous le microscope, c'est un peu comme compter sur les chats pour rester sur place parce que vous leur avez dit de le faire. C'est une idée intéressante, mais qui ne vaut pas la peine d'être mise en œuvre en tant que solution anti-malware.

Cela dit, comme l'a suggéré Marc - exécutez simplement votre système d'exploitation sur une machine virtuelle ou un hyperviseur, si vous voulez que les logiciels malveillants se comportent comme s'ils se trouvaient dans un environnement virtualisé. La performance est le prix minime que vous payez pour une telle tranquillité d'esprit.

Un autre élément à noter est qu'il existe un bon nombre d'applications de bureau légitimes qui ne fonctionnent pas sous les machines virtuelles, car leur DRM pense qu'elles pourraient être en cours de rétro-ingénierie. Le tracas de la convivialité de ce serait terrible.

— Paul McMillan
source

1

"Un autre élément à noter est qu'il existe un bon nombre d'applications de bureau légitimes qui ne fonctionnent pas sous les machines virtuelles parce que leur DRM pense qu'elles pourraient être en train d'être inversées." Pouvez-vous ajouter un exemple? J'adorerais voir une de ces applications.

— Manuel Ferreria

Securom sur la plupart des nouveaux jeux, pour commencer.

— Paul McMillan

Merci pour les commentaires. Cette idée m'est venue à l'esprit comme un moyen possible de rendre plus difficile pour mes systèmes (des dizaines de milliers) d'être infectés par des logiciels malveillants. Même avec des produits antivirus à jour, un pare-feu (logiciel et matériel) et NIDS / HIDS, il existe toujours des téléchargeurs de chevaux de Troie qui peuvent causer des maux de tête. Merci pour vos opinions ... cela semble que ce n'est peut-être pas une très bonne idée!

Curieusement, je me sens maintenant obligé de publier une vidéo que j'ai faite de mon chat restant en place parce que je le lui ai dit. Certes, son comportement m'a choqué.

— dlamblin

0

C'est un sujet intéressant. CodeProject avait un article sur la façon de détecter si votre programme s'exécutait dans une VM, ici . Il semble que l'approche VMWare soit la plus facile à simuler, car elle implique l'accès à un port pour communiquer avec l'hôte.

0

La nature des logiciels malveillants dicte que tôt ou tard, probablement plus tôt, les auteurs de logiciels malveillants seront en mesure de détecter si vous simulez un système d'exploitation virtualisé. C'est juste une question de temps. Je concentrerais mes efforts ailleurs.

— jinsungy
source

Cela ne se produirait que si tout le monde commençait à simuler un système d'exploitation virtualisé. Quelques pirates ne valent pas la peine.

— Christian

0

Pour Linux, il existe des scripts PERL comme virt-what et imvirt. Jetez un œil au dernier sur http://micky.ibh.net/~liske/imvirt.html

-1

Pourquoi installez-vous un logiciel douteux sur votre système? Je pense que la meilleure pratique de sécurité consiste à utiliser ou acheter des logiciels à partir de sources fiables (le vendeur lui-même ou une communauté open source fiable). De plus, achetez une bonne solution de sécurité; J'ai NOD32 et n'ai jamais, pas même une seule fois, eu de problème.

— Richard Clayton
source

Parce que je fais une analyse de malware pour mon employeur. Je veux savoir à quoi le malware tente d'accéder et s'il télécharge des charges utiles supplémentaires. Je ne peux pas le savoir si je ne peux pas l'analyser facilement. S'il détecte une machine virtuelle (ce qui est facile), l'utilisation d'une machine virtuelle est de peu d'utilité.