使用live和VMs进行恶意软件分析的利弊是什么？

Question

我正计划为一个研究项目做一些恶意软件研究，我想知道怎样才能更好地保护我的系统免受意外感染的病毒的侵害。我只打算分析二进制文件，而不是运行它们，但是可能会发生错误的单击。我应该尝试在VM中进行这种分析吗？我是否应该使用Live /Live引导(使用类似于卡利的法医操作系统)？我知道有些病毒可以从VM中释放出来，所以这会使Live的方法更好吗？或者，还有其他我没有考虑的事情，使VM方法更好？

Answer 1

出现在脑海中的主要两件事是，在使用这些威胁时可能会危及到它们。在这两种情况下，这种威胁都相当罕见。

对于VM来说，对系统的主要威胁是一种能够利用虚拟机监控程序的病毒。这样的病毒将能够逃离VM并感染您的系统。VMs的好处还在于能够对病毒引起的状态变化进行更密切的比较，从而确定它到底做了什么。

对于一个活CD来说，这样的病毒是一种硬件驻留病毒，它能够以这样的方式破坏硬件，使它能够从重启到正常环境中存活下来，然后能够传播。

除了最好的攻击者之外，这两种病毒都不太可能成为问题，然而，硬件驻留病毒的威胁比任何软件病毒都大得多(如果更少的话)，因为它基本上是不可能清除的。正因为如此，我个人倾向于VM，然而，最真正偏执的人可能会使用一个VM运行一个活CD。

Answer 2

您可以在不兼容的操作系统中分析它们。没有什么东西说你必须研究Windows机器上的Windows病毒。这使您的测试环境意外感染的风险降低。

我在虚拟机中测试了一些恶意软件，没有任何不良影响，但我的经验仅限于一些不太激进的代码。我想你有可能犯了一个错误，感染了你的宿主。用于攻击特定USB设备的代码也可能打破边界。

LiveCD也是一个不错的选择。将其配置为写锁定，这样除非明确告诉它，否则它不会挂载可写媒体。