伪装系统为VM

Question

恶意软件有时会使用反vm和反沙箱行为来充当无害的软件。

是不是一个很好的预防策略，把主机伪装成一个VM，这样潜在的恶意软件就永远不会出现了？

我不是在说“伪造”虚拟化(我认为这是不可能的)，而是说有一个VM --典型的MAC地址，在后台运行一个只具有VM名称的空进程--典型进程(比如vboxtray.exe)，或者有名为VM的空驱动程序，这些驱动程序可能会显示当前系统是一个VM。

Answer 1

可以模拟虚拟环境，防止一些恶意软件感染系统？

。

是。此外，创建假VM工件并不是阻止恶意软件执行的唯一方法。您还可以创建假互斥对象或恶意软件经常创建的某些注册表项，以避免再次感染同一台机器。还有很多其他的方法，取决于恶意软件的内部运作。

会是一个很好的预防策略吗？

不怎么有意思。这将是一种虚假的安全感。假设恶意软件甚至有任何反VM措施到位，并关心停止执行，如果一个VM被检测到(许多人没有)，仍然有数以千计的方式，恶意软件可以检查它是否在一个VM，并且每一个恶意软件不同。有数以亿计的恶意软件程序，所有的工作都不同，把你的时间都花在他们身上不仅是一项巨大的任务，而且可能仍然是一个不可靠的防御恶意软件的方法。

所以不，这不是一个很好的预防策略。您的时间和精力最好花在其他地方，例如将您的威胁模型集中于通过使用良好的安全实践来防止恶意软件的实际执行，执行代码签名，强化您的系统，减少攻击向量，保持所有更新，不下载任何可疑的东西等等，您应该没事，并且不需要这种预防策略。