Как тестировать вирусы через виртуальную машину
Может ли запущенный в виртуальной машине вирус проникнуть на хостовую систему
П оистине, достоин памятника тот разработчик, которому первому в голову пришла мысль о создании виртуальной машины как изолированной среды, в которой как в ограждённом загоне можно запускать программное обеспечение и даже эмулировать «чужеродные» архитектуры. К самым древним и как ни странно к самым надёжным в плане безопасности относятся виртуальные машины с так называемой полной эмуляцией, например, эмулятор Bochs, выпущенный в далёком 1994 году.
С тех пор, правда, много чего изменилось. Развился и сам Bochs, появились также гипервизоры, динамические виртуальные машины, среди которых особую популярность приобрели всем известные VirtualBox и VMware. Сегодня основной областью применения виртуальных машин является запуск и тестирование различного программного обеспечения, причём рядовые юзеры услугами эмуляторов пользуются даже чаще, чем разработчики.
В том же любимом всеми VirtualBox, к примеру, можно устанавливать операционные системы, а в них в свою очередь инсталлировать программы, игры, изменять параметры, применять твики и проделывать прочие трюки, не опасаясь за стабильность и работоспособность хостовой операционной системы. Некоторые идут ещё дальше, пробуя запускать на виртуальных машинах потенциально опасное или явно вредоносное программное обеспечения. Только вот насколько безопаснымм являются такие эксперименты и какова вероятность, что хитрый вирус, вырвавшись за пределы виртуальной машины, сможет нанести вред реальной операционной системе?
Увы, однозначного ответа на этот вопрос не существует, тем не менее, с большей долей вероятности можно утверждать, что запущенный на гостевой системе вирус, будь он хоть трижды зловредным, сделав своё чёрное дело, в её пределах и останется. Но для этого нужно соблюдать правила игры, иначе и до беды недалеко. Виртуальная машина, на которой предполагается запускать вирусы, должна быть максимально изолирована от основной системы. Максимально — значит не иметь с ней никаких связей насколько это возможно. Ни общих папок, ни дополнений гостевой ОС, ни расшаренных ресурсов, ни подключённых к компьютеру переносных носителей, кстати, прекрасно определяемых некоторыми типами эмуляторов, ни даже доступа к интернету.
Конечно, такие меры предосторожности делают обмен данными между виртуальной и хостовой машиной менее удобным, но в данном примере обеспечение безопасности является более приоритетной задачей. Впрочем, всем вышесказанным проблема не исчерпывается. Не стоит забывать о руткитах, уже давно научившихся распознавать виртуальные машины. Запускаясь в виртуальной среде, руткит ничем не выдаёт себя, а тестировщик, убеждённый в безопасности анализируемого ПО, запускает его на реальной системе, в результате чего последняя оказывается заражённой.
Так как же быть? Единственно верное решение – приобрести недорогой компьютер и проводить сомнительные эксперименты на нём, и если не деньги, то уж нервы себе точно сэкономите. В крайнем случае для запуска потенциально опасного ПО следует использовать виртуальные машины с полной эмуляцией, такие как Bochs, которые хоть и не обладают стопроцентной защитой от руткитов, но всё равно в плане безопасности на порядок превосходят VMware, VirtualBox, Virtual PC, мелких уязвимостей в которых хватало и будет хватать всегда.
Установка и настройка виртуальной машины VirtualBox для проверки программ и вирусов
Всем большой привет! Сегодня речь пойдет о Виртуалке. Да не о Наташке-виртуалке, та что сидит в вконтакте, а о виртуальной машине.
Давным-давно, в одной из моих предыдущих статей, а точнее в статье «Где скачать вирусы», я обещал рассказать о том, как установить и правильно настроить виртуальную машину Virtualbox для тестирования программ, проверки их на склейку и анализа вирусов.
С тех пор прошло много времени, и на днях, когда меня окончательно доела совесть, я наконец-то решил выполнить обещанное. Эта статья будет первой частью мануала. В ней речь пойдет о правильной настройке виртуальной машины, а в следующей статье — об анализе вредоносных программ. Ну что, друзья, погнали!
Виртуалка
Виртуальная машина (VM — Virtual machine) или в простонародье виртуалка — программная и/или аппаратная система, эмулирующая аппаратное обеспечение некоторой платформы (target — целевая, или гостевая платформа) и исполняющая программы для target-платформы на host-платформе (host — хост-платформа, платформа-хозяин). Более глубокие теоретические знания вы можете почерпнуть на Wikipedia.
Зачем нужна виртуальная машина?
Виртуализация позволяет создавать операционную систему в операционной системе и тестировать программы не устанавливая их на основную машину. Также виртуализация позволяет заниматься пентестом. Вместо того чтобы взламывать чужие компьютеры (что как вы знаете считается незаконным и наказуемым) находить или использовать уязвимости для взлома операционных систем и другого софта у себя дома. Подробнее о том как правильно настроить сеть на виртуальной машины для пентеста, я расскажу позже в отдельной статье.
Друзья мои, если вы хотите быть немного больше чем просто пользователь компьютера, вы должны уметь пользоваться виртуальной машиной и делать это правильно.
Какой виртуальной машиной пользуется автор?
Меня часто спрашивали, как я проверяю программы. Для тестирования белого софта я использую виртуальные машины VirtualBox и VMware Workstation. Для серого софта я не использую виртуальные машины, для этого у меня выделен отдельный компьютер — карантин, которой был собран специально для этой цели. Сделал я это по двум причинам:
Какая виртуальная машина лучше?
Это спорный вопрос. Под него у нас отведена отдельная статья «Обзор виртуальных машин«. Почитайте на досуге, там же в начале статьи на фотке вы найдете другана сегодняшней зачетной тел#чки.
Виртуальная машина VirtualBox
Походив по ссылкам, выше вы уже поняли, что существует большое количество виртуалок. Напрашивается вопрос: «почему именно Виртуал Бокс?» — ведь он не самый лучший. Да, не самый, но зато бесплатный и уже родной. Поэтому в этой инструкции будет про установку VirtualBox.
Скачать VirtualBox
Скачивать Virtualbox надо только с сайта разработчиков, не с трекеров и не софт-порталов. Скачанный с торрент-трекеров ВиртуалБокс может быть склеен с вредоносом. А на софт-порталах версия может быть устаревшая, да еще и со всякими уязвимостями. С помощью которых малварь, т.е. вредонос, может выбежать из гостевой машины и немного вас покусать о_0.
Скачать VirtualBox вы можете бесплатно на официальном сайте по этой ссылке. В бесплатной загрузке доступны версии для операционных систем:
Исходя из того какая у вас операционная система. В этой статье я буду устанавливать VirtualBox на Windows 10. Установка VirtualBox на все версии Windows идентична.
Переходим на официальный сайт и скачиваем установочный файл.
Файл весит примерно 120мб, после установки занимает на диске 150мб (не считая установленных виртуальных машин).
Установка VirtualBox
Итак, после того как мы скачали последнюю версию Виртуал Бокс приступим к установке. Запускаем программу и нажимаем «Next». После чего появится окно выбора компонентов. Нечего не меняя нажимаем «Next».
В следующем окне нечего не меня еще раз жмем «Next».
Теперь появится окно, которое говорит о том, что во время установки программы временно будет отключен интернет. Нажимаем «Yes».
Еще раз «Next». И в конце «Finish». На этом утомительный процесс установки завершен.
Настройка VirtualBox
Теперь перейдем к настройке виртуалки и установке операционной системы.
Если у вас в системе установлен русский язык, программа автоматически при первом запуске поменяет язык интерфейса на русский. Если это не произошло, то зайдите в меню «Файл» —> «Настройки» и на вкладке языки выберите ваш язык.
В принципе в настройках самого Виртуал Бокс больше нечего менять не надо, но если вы в теме и знаете что делаете, можете там маленько побродить.
Создание виртуальной машины
Нажимаем кнопку «Создать».
В окне настроек указываем имя (в будущем можно изменить), тип и версию операционной системы. Имейте ввиду, чем старее версия Windows, тем меньше ресурсов необходимо выделять. Я устанавливаю Windows 10, а как вы знаете она довольно требовательна к ресурсам. Microsoft утверждает, что минимальные требования Windows 10 для полноценной работы: 1гб для 32-битной и 2гб для 64-битной, но это фигня. На таких настройках вы не сможете тестировать никакие программы, единственное что сможете — это заняться мазохизмом.
Поэтому выставляем максимально возможный объем виртуальной памяти. У меня 32гб, и я обычно выделяю 8гб для виртуальной машины. Иногда даже больше, все зависит от задач и от того сколько виртуальных машин запускаю одновременно.
В конце жмем кнопку «Создать» и переходим к созданию виртуального жесткого диска. Минимальный размер жесткого диска для Windows 10: 16гб для 32-битной версии и 20гб для 64-битной. Ставим минимум 80гб и отмечаем галочкой чекбокс «Динамический размер».
Также можно изменить месторасположения виртуальной машины. Если есть возможность, то в плане быстродействия лучше установить на SSD-диск. Обычно это диск C.
Все хорошенько проверяем и нажимаем кнопочку «Создать».
Настройка виртуальной машины
Теперь правым кликом мышки на созданной виртуальной машине открываем настройки. В меню «Общие» переходим на вкладку «Дополнительно» и отключаем использование общего буфера обмена и функцию Drag’nDrop.
В меню «Система» переходим на вкладку «Процессор» и задаем количество процессоров виртуальной машины. У меня 4, поэтому я выставил 2цп. Если у вас 2, выставляете 1цп. И ползунок загрузки процессора на максимум.
В том же меню переходим на вкладу «Ускорение» и отмечаем галочками все чекбоксы.
В меню «Сеть» отключаем сетевой адаптер. Но в некоторых ситуациях, имея дело с вирусами, может потребоваться включение адаптера. Если будете включать, то отключайте интернет, выбрав в выпадающем меню тип подключения «Не подключен». А если захотите интернет, настройте отдельную сеть, не используя Nat-подключение. Последнее для параноиков.
В меню «USB» убираем галочку с чекбокса «Включить контролер USB».
В меню «Общие папки» добавим папку, куда и будем скидывать для нашей виртуальной машины нужные программы. Нажимаем на значок с права и появившемся окне настраиваем общую папку. Выберите путь, где будет находится общая папка, и обязательно поставьте галочки как показано на скрине ниже. В особенности на чекбоксе «Только для чтения».
Если вы будете использовать виртуальную машину для другой цели, например для тестирования операционных систем, то в таком случае можете пропустить этот чекбокс. Но если вы создаете виртуальную машину для проверки подозрительных программ и вирусов, то конечно же следует включить функцию «Только для чтения».
Установка Windows на виртуальную машину VirtualBox
В главном окне программы отмечаем нашу виртуальной машину и нажимаем на зеленую кнопку «Запустить». Запустится виртуальная машина и тут же выдаст ошибку. Это нормально, для установки операционной системы надо подгрузить образ диска. Для этого в выпадающем меню «Устройства» —> «Оптические диски» нажмем «Выбрать образ диска».
Все, теперь необходимо следовать этапам установки ОС.
Дополнения гостевой ОС
После завершения процесса установки операционной системы необходимо установить дополнения гостевой ОС. Для этого в выпадающем меню «Устройства» нажмем на пункт «Подключить образ диска Дополнений гостевой ОС». Посмотрите на скрин выше.
После чего следуем этапам установки. Нечего там сложного нет, просто где нужно жмете «Next», а затем перегружаете виртуальную машину.
Помимо этого после установки Windows, в самой операционной системе обязательно включите отображение скрытых файлов. На рабочем столе будут маячить файлы desktop.ini, но нечего не поделаешь, так надо, смеритесь с этим.
Теперь на чистую Windows нужно установить все необходимые программы и утилиты. Для работы с реестром можете установить утилиту Regshot, о которой мы подробно рассказывали в статье «Как отследить изменения реестра». Обо всех других инструментах для анализа программ и вирусов я расскажу позже в отдельной статье.
Если вы не желаете ждать и хотите приступить к работе прямо сейчас, вот еще одна вещь которую необходимо сделать. Пока Windows чистая надо сделать снимок состояния или клонировать операционную систему.
Снимки VirtualBox
Снимки ВиртуалБокс позволяют в один клик откатить операционную систему к прежнему состоянию. Делается это так. После того как вы настроили Windows и установили все необходимые программы в главном окне программе выбираем нужную виртуальную машину и жмем синюю кнопку «Снимки».
После чего ждем окончания процесса создания снимка операционной системы.
Вот теперь можем устанавливать и тестировать все скаченное в сети добро.
На этом все. Теперь вы знаете, что настройка VirtualBox и использование виртуальных машин совсем не сложно. На самом деле есть еще пару моментов которые хотелось бы добавить, но сил сегодня уже нет. Статья и так получилось огромной. Все остальное в отдельной статье. А сегодня надеюсь увидеть ваши лайки. Адиос, друзья!
Виртуальная машина и вирус
У меня есть требование, по которому я должен выходить в интернет без защиты (брандмауэр, антивирус). В то же время я не хочу рисковать заражением вирусами.
Если я установлю виртуальную машину (VirtualBox) для тестирования, и она будет заражена вирусами, это также заразит мою хост-систему? Другими словами, могу ли я использовать виртуальную машину для тестирования, не опасаясь вируса на виртуальной машине, заражающего мой хост?
Если я установлю виртуальную машину (VirtualBox) для тестирования, и она будет заражена вирусами, это также заразит мою хост-систему? Другими словами, могу ли я использовать виртуальную машину для тестирования, не опасаясь вируса на виртуальной машине, заражающего мой хост?
Кажется, есть некоторые неправильные представления о NAT и мостовых соединениях в виртуальных средах. Это не позволяет вашему хосту быть зараженным. Операционная система виртуальной машины не будет иметь никакого доступа к операционной системе хоста и совершенно не будет знать, что она работает как клиентская виртуальная машина. Программное обеспечение, работающее внутри этой операционной системы, будет еще менее мудрым.
Проблемы безопасности действительно могут быть более сложными, если вы используете большую структуру виртуальной машины, например, предложенную в топологиях VMware Server. Но если используются решения VMware Workstation для одного компьютера, проблем с безопасностью в соединениях NAT или Bridge нет. Вы в безопасности, если вы не используете общие папки.
РЕДАКТИРОВАТЬ: Для ясности, когда я говорю о соединениях NAT или Bridge, я говорю только о способности виртуальной машины совместно использовать соединение сети хоста со своими клиентами. Это не дает клиенту никакого доступа к хосту и остается полностью изолированным при условии, что такие функции, как общие папки виртуальных машин, отключены. Естественно, если вместо этого пользователь решает подключиться к сети Host и Client, то указанный пользователь явно решил соединить обе машины, и вместе с этим поменять внутреннюю безопасность виртуальной машины. Это тогда не станет отличаться от любой другой частной сетевой среды, и те же проблемы с ценными бумагами и проблемы должны быть решены.
Нашли подозрительный файл? Протестируйте его в виртуальной машине
Здравствуйте уважаемые читатели. Все мы когда-то сталкивались с этой дилеммой. Допустим, начальник отправляет вам файл.
С одной стороны, вы знаете, что должны взглянуть на него. С другой, вам известно, как начальник относится к своему компьютеру. Его браузер забит 25 разными тулбарами, и он понятия не имеет, как они там оказались. Почти каждую неделю IT-отделу приходится проводить полный карантин машины и дезинфицировать её.
Можете ли вы доверять этому файлу? Скорее всего, нет. Вы можете открыть его на своём компьютере и рискнуть получить опасную инфекцию. Или, можно просто запустить его на виртуальной машине.
Что такое виртуальная машина?
Если компьютер представляет собой набор физических аппаратных компонентов, то виртуальная машина является набором моделируемых компонентов. Вместо физического жёсткого диска, оперативной памяти и ЦПУ, виртуальная машина состоит из тех же элементов, эмулируемых на уже существующем оборудовании компьютера.
Люди используют виртуальные машины для выполнения широкого круга задач, таких как эксплуатация серверов (включая веб-серверы), запуск старых компьютерных игр, которые некорректно работают в современных системах, а также в целях веб-разработки.
Где взять виртуальную машину
Существует множество платформ для виртуальных машин. Некоторые из них — проприетарные платные продукты, вроде Parallels для Mac. Но есть и несколько бесплатных открытых пакетов, самым популярным из которых является VirtualBox от Oracle, доступный для Windows, Linux и Mac.
Windows является платной системой, даже для людей, желающих использовать её на виртуальной машине. Но есть способ обойти это ограничение, воспользовавшись modern.ie.
Бесплатные виртуальные машины?
Modern.ie позволяет кому угодно скачать ограниченную по времени действия версию системы Microsoft, начиная с XP и заканчивая Windows 10. Раздавая бесплатные, хотя и временные версии Windows, Microsoft надеется привлечь внимание веб-разработчиков, многие из которых переключились на Mac и Linux.
Впрочем, вам не нужно быть веб-разработчиком, чтобы скачать виртуальную машину с modern.ie. Это позволит вам тестировать подозрительное программное обеспечение, не рискуя повредить собственную систему.
Научитесь чему-то новому
Одним из ключевых преимуществ, предоставляемых безопасной песочницей, является возможность идти на риски, которых иначе вы бы старались избегать. Многим это даёт возможность обучиться навыкам, полезным в быстро развивающейся сфере этического взлома.
Например, вы можете протестировать несколько инструментов сетевой безопасности, не нарушая никаких законов. Или, узнать об анализе вредоносного программного обеспечения, провести исследование, поделиться его результатами и получить работу в новой сфере.
Блогер и аналитик Джавад Малик, специализирующийся в компьютерной безопасности, считает, что такой способ обучения гораздо эффективнее получения сертификатов и квалификаций:
«Информационная безопасность — это скорее форма искусства, чем научная дисциплина. Многие профессионалы попали в эту сферу обычными путями. Люди, которые хотят стать частью данной индустрии, часто спрашивают меня, какая сертификация им необходима или какой курс стоит пройти. Я всегда отвечаю, что единственно-верного пути не существует. Это как право или бухгалтерский учёт — вы можете практиковать свои навыки, делиться результатами исследований и стать ценным членом сообщества информационной безопасности. Такой путь, скорее всего, откроет гораздо больше дверей в плане карьерного роста, чем обычные каналы.»
Действительно ли виртуальные машины безопасны?
Виртуальные машины безопасны, поскольку изолируют симулируемый компьютер от физического. И это, по большей части, верно. Хотя, существуют некоторые исключения.
Исключения вроде недавно исправленного бага Venom, затронувшего платформы виртуализизации XEN, QEMU и KVM и позволявшего атакующему вырваться за пределы защищённой операционной системы, получая контроль над основной платформой.
Риск возникновения такого бага, известного как «эскалация привилегий гипервизора», не следует недооценивать. К примеру, если атакующий зарегистрируется на получение VPS у провайдера, ещё не исправившего эту уязвимость, он сможет использовать эксплойт Venom для доступа ко всем остальным виртуальным машинам в системе. Это позволит ему красть ключи шифрования, пароли, кошельки bitcoin и другие ценные данные.
Уважаемая в сфере безопасности фирма Symentec также выразила обеспокоенность по поводу текущего состояния защиты виртуализации, отметив в своём докладе «Угрозы виртуальным средам», что авторы вредоносного программного обеспечения принимают во внимание технологию виртуализации, чтобы избежать обнаружения и дальнейшего анализа.
«Новые вредоносные программы часто используют техники обнаружения виртуальной среды. Мы выяснили, что около 18 процентов всех образцов вредоносного ПО успешно обнаруживают VMware и отказываются в ней выполняться».
Людям, которые используют виртуальные машины в практических целях, стоит помнить, что их системы не являются полностью неуязвимыми к рискам безопасности, касающимися физических компьютеров.
«Обратное рассуждение показывает, что четыре из пяти вредоносных программ запустятся в виртуальной машине, а значит, этим системам тоже нужна постоянная защита от вирусов».
Впрочем, риски безопасности на виртуальных машинах легко смягчить. Пользователи виртуальных операционных систем зачастую устанавливают продвинутое программное обеспечения для обнаружения вредоносных программ и вторжений, чтобы убедиться в том, что система полностью закрыта и получает регулярные обновления.
Итоги
Стоит добавить, что случаи выхода вируса за пределы виртуальной машины крайне редки. Когда подобный эксплойт обнаруживается, его тут же исправляют. Короче говоря, гораздо безопаснее тестировать подозрительные программы и файлы в виртуальной машине, чем где-то ещё.
А у вас имеются какие-то стратегии обращения с подозрительными файлами? Возможно, вы нашли новое, связанное с безопасностью, применение виртуальным машинам? Поделитесь своими мыслями в комментариях ниже.
Создаём среду для анализа вредоносных программ. Часть 1
Статья переведена отсюда и будет полезна всем, кто интересуется реверс-инжинирингом в контексте информационной безопасности и анализа вредоносного ПО.
Требования к компьютеру
Процессор с поддержкой AMD-V или Intel VT-x (практически любой современный процессор). 4 Гб ОЗУ (чем больше, тем лучше). Перед началом работы убедитесь, что виртуализация (AMD-V или Intel VT-x) включена в BIOS. Для этого погуглите “включить визуализацию”, дописав версию биос или материнской платы, а затем выполните найденную инструкцию.
Выбор гипервизора
Гипервизор — программное обеспечение, которое позволяет создавать виртуальный компьютер (также называемый Виртуальная Машина или сокращенно ВМ), изолированный от настоящего. Мы воспользуемся гипервизором для создания отдельной системы Windows и заражения её вредоносным ПО без вреда для нас самих и наших данных.
Я лично использую 5 разных гипервизоров, так как все они немного отличаются и подходят для разных задач. Расскажу, для чего использую каждый из них и почему.
VMware Workstation Pro — очень высокая производительность и, пожалуй, лучший гипервизор для запуска Windows. В нём есть множество дополнительных фичей, которые делают его полезным для сложных виртуальных сетей. VMware Workstation Player — урезанная и облегчённая версия Pro, отлично подходит для простых ВМ-настроек. Но отсутствие поддержки снапшотов делают его неподходящим для анализа уязвимостей. У меня он установлен на ноутбуке для проверки на ходу.
KVM — работает на Linux, есть классный плагин, позволяющий запускать больше ВМ, чем позволяет ОЗУ, при помощи дедупликации. KVM отлично подходит тем, что не позволяет вредоносной программе обнаружить, что она запущена в ВМ, так как большинство из них зависит от наличия особых артефактов VMWare или VirtualBox, а прочие гипервизоры не пытается обнаружить.
ESXi — это не гипервизор, который вы устанавливаете на операционную систему. Это гипервизор, который сам является операционной системой. Такой подход позволяет уменьшить оверхед, так как нет необходимости в каком-либо коде, кроме требуемого для запуска гипервизора.
VirtualBox — позволяет подделывать оборудование, на котором запущена ваша ВМ, тем самым не позволяя вредоносной программе догадаться, что она запущена в виртуальной машине, проверяя виртуальное/физическое оборудование или версию прошивки. Он бесплатный, простой в настройке и обладает большинством функционала, который есть в платных гипервизорах.
Новичкам я бы посоветовал использовать VirtualBox, так как он бесплатный, поддерживает большинство операционных систем, есть инструмент снапшота, что позволяет откатывать ВМ до сохранённой точки. Именно по этой причине в этом посте я использую VirtualBox.
Выбор гостевой ОС
Выбор операционной системы, запущенной в виртуальной машине, очень важен и зависит от нескольких вещей, о которых я расскажу подробней.
Ваши навыки
Если вы планируете заняться реверс-инжинирингом вредоносного ПО, но понимаете только ассемблер x86 (или изучаете ассемблер), то есть смысл запустить установку x86 Windows. Большинство вредоносных программ работает на WoW64 (способ Windows запускать 32-битные бинарные файлы в 64-битных системах), поэтому скорее всего придётся заниматься реверс-инжинирингом 32-битного кода вне зависимости от того, какая архитектура используется.
В некоторых случаях, вредоносная программа бросает 32-битную или 64-битную полезную нагрузку в зависимости от архитектуры, поэтому, если вы не знаете 64-битный ассемблер, вам потребуется 32-битная нагрузка, а значит, нужно использовать 32-битную (x86) операционную систему.
Ваше оборудование
Процессор x86_64 может запускать 32- и 64-битные ВМ, но x86 процессор может запускать только 32-битные. Поэтому, если у вас именно такой, стоит выбрать 32-битную операционную систему. Старые процессоры (особенно x86) могут не поддерживать функционал, требующийся для установки новых версий Windows, поэтому выбирайте версию не позже Windows 8.
Если у вашей машины недостаточно оперативной памяти, лучше ограничиться запуском виртуальной машины с Windows XP, так как ей нужно не более 256 МБ (убедитесь, что используете Service Pack 3 — это добавит некоторые системные фичи, на которые опирается большинство вредоносных ПО). Виртуальной машине с Windows 7 понадобится 1 Гб оперативной памяти, но можно обойтись и 768 Мб (512 Мб для Home Edition).
Ваш опыт
Большая часть вредоносных программ будет работать на всех системах Windows, начиная с XP Service Pack 3 и заканчивая Windows 10. Поэтому, если вы понимаете, что лучше разбираетесь с XP, смело используете именно её. Windows 10 очень ресурсоёмкая и может поддерживаться не всеми вредоносными программами, поэтому для повседневного анализа рекомендую использовать десятку только в случае крайней осознанной необходимости. Windows 10 также ужасно шумная с точки зрения фоновых сервисов, подключённых к интернету, что забьёт ваш перехватчик пакетов бессмысленными, ненужными данными.
Ваша вредоносная программа
64-битные операционные системы используют DSE (Driver Signature Enforcement), который не позволяет выполнять загрузку драйверов ядра, не прошедших сертификацию. Если вы анализируете вредоносное ПО, устанавливающее драйвер ядра, то стоит выбрать 32-битную систему, так как на ней не возникнет проблем с установкой несертифицированных драйверов.
Чем пользуюсь я?
Я — счастливый обладатель мощного стоечного сервера в моём подвале (любезно предоставленный моим работодателем), поэтому у меня есть ВМ каждой ОС, начиная с XP и заканчивая 10 в обеих версиях: 32- и 64-битной. Но раньше я отдавал предпочтение Windows 7 Ultimate Edition (32-битной) для работы с обычными вредоносными ПО (я использую Ultimate для функции удалённого рабочего стола, но, если вас устраивает VNC, то с Home Edition проблем не возникнет).
Также стоит помнить о том, что ВМ будет использоваться для запуска и анализа вредоносной программы, поэтому игнорировать старые операционные системы по причине их “небезопасности против хакеров/вредоносного ПО” контрпродуктивно, ведь вы пытаетесь заразить систему вредоносным ПО.
В следующей части нашей статьи поговорим о подробных настройках ВМ и среды. Следите за новостями и оставляйте комментарии!