澳门六合开奖号码

這次比特币勒索事件之後，樣本很快就在網絡上放出了。

有很多人想在自己電腦或是在虛拟機測試這個勒索程序，然而由于這些用戶疏忽了一些問題，最終還讓自己宿主機的文件被加密了，實在是得不償失。

雖說絕大多數病毒都不會穿透虛拟機感染宿主機，但是有些病毒畢竟會通過局域網傳染出去，所以這方面也必須要控制。

 

那麼，這篇文章就是寫給那些想測試病毒的吃瓜群衆的，專業人員可以繞行。

前提是你的宿主機是Windows系統，如果宿主機是macOS或Linux的話，那麼僅僅需要保證不要和其它Windows電腦在一個局域網内。

本教程使用VMware虛拟機來介紹如何建立一個足夠安全的惡意軟件測試環境。如果你使用的是其它的虛拟機，我無法給出對應的操作方法，歡迎各位在評論區補充。

如果哪個步驟操作存在疏忽，輕則無法測試，重則會導緻宿主機的重要文件全部加密，由此産生的風險和損失作者并不承擔責任。請各位在測試的時候一定要小心謹慎，避免發生意外。

打開網絡連接，禁用VMware Network Adapter VMnet8這個網絡連接。

 

VMnet8的用途是，如果虛拟機采用的是NAT方式網絡連接，通過VMnet8這個網絡連接可以将宿主機和虛拟機劃入一個局域網裡。如果禁用了VMnet8，虛拟機仍然能連接外網，但無法再和宿主機直接通過局域網聯系了。

相關内容可以參考這篇VMware官網對此的介紹：https://www.vmware.com/support/ws3/doc/ws32_network8.html（雖然是很古老的VMware 3.2但對現在的VMware Workstation 12一樣适用）

然後就是在虛拟機内安裝系統。

為了避免在後續測試出現不必要的問題，請勿安裝來路不明的Ghost裝機版Windows系統。

請隻使用來自可靠來源（比如MSDN）的Windows安裝鏡像文件。

虛拟機内的網絡連接請設置成NAT。

 

至于如何在虛拟機内安裝系統，相信玩過虛拟機的人應該都會，這裡不做詳細介紹。但是，請不要使用VMware的簡易安裝功能，也不要在裝完系統之後安裝虛拟機增強插件（如VMware Tools）。至于原因，後面會做詳細說明。

 

裝完系統之後，你并不需要去激活系統，畢竟你隻是用來測試，測試完成之後你就可以銷毀整個虛拟機了。

使用其它高級的文本編輯器（不要用記事本，可以用寫字闆）打開你的虛拟機的vmx文件，在任意處加上這兩行：

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

然後保存。

 

然後虛拟機設置裡勾上“虛拟化Intel VT-x/EPT或AMD-V/RVI”。這還要求你的主闆BIOS設置裡開啟了相關的虛拟化技術，能否開啟随廠商決定，近年的電腦一般都能開啟。

 

因為有些軟件或惡意程序如果發現是在虛拟機内運行或是檢測到虛拟機增強插件相關進程會拒絕啟動，這麼處理之後就可以在虛拟機内運行本不允許在虛拟機内運行的程序。（雖然WannaCry并不會檢測這個）

然後是把你想要放進虛拟機的東西複制進虛拟機。在沒有虛拟機增強插件的前提下，你有三種方法：

使用UltraISO之類的軟件将你想複制進去的文件做成ISO鏡像，然後加載進虛拟機；

将你想複制進去的東西複制進一個U盤，然後用虛拟機加載U盤（不是所有虛拟機軟件都支持U盤）；

關閉虛拟機，使用能編輯虛拟硬盤鏡像的工具将文件複制進硬盤鏡像。

總而言之，複制進來之後，我們就可以準備測試了。如果你使用的是VMware Workstation Pro的話，你可以在測試之前做一個快照，以便為了測試下一個病毒之前還原回之前的狀态。我這裡用的是Player，這裡就隻好關機備份虛拟硬盤鏡像了。

 

這裡我測試的正是WannaCrypt勒索程序樣本。為了确保各位不去輕易作死，這裡恕不提供樣本的下載，也請各位不要在評論區分享這個樣本。

桌面上的Malware Defender是一款HIPS防禦軟件，在高強度保護下會攔截一切操作，并會向用戶告知軟件執行了什麼樣的操作且詢問是否允許。很遺憾的是，該軟件僅支持32位Windows系統，且這樣的軟件并不适合日常的安全防護。你們可以根據你們的需要選擇是否要在虛拟機安裝這樣的軟件來分析惡意軟件的工作流程。

全部準備好之後，打開Malware Defender，調成正常模式。

 

然後打開惡意程序樣本（如果這個時候你插上了U盤，請立即将U盤拔出虛拟機），就會問你是否要确定運行，并且會逐步分析每個步驟發生了什麼。

 

 

 

回答了是否放行之後，你可以觀察到文件是不是被跟着加密了。

 

但無論如何，不會穿透出虛拟機。

這就是在虛拟機内測試一個惡意程序的基本方法，但同時完全不會影響到宿主機本身的正常運作。

在虛拟機内操作惡意軟件，就像是嘗試拆定時炸彈一樣，稍有不慎就會爆炸，波及到不必要的部分。所以請各位在測試之前，做好充分的防護工作。

對于一些想試圖研究出解決方案的人來講，還可以配合很多更強大的調試工具來進行破解。由于能力和精力有限，作者無法給出任何指導。