专业黑客如何在不伤害自己电脑的情况下测试自己的恶意/病毒？

Question

昨天，出于好奇，我开始了一些关于http://xeushack.com/tutorials/的黑客教程。我用Android应用程序阅读了关于“黑客”不同方式的不同文章。作者明确指出，其中一些不应该被复制，因为它们基本上会伤害计算机，例如著名的Zip炸弹和叉子炸弹，甚至文件夹爆炸器。

所以，我想知道什么是我复制这些“恶意”而又不伤害我自己电脑的最好方法。但我也有兴趣找到一种方法，可以用于许多不同类型的恶意软件/病毒测试/开发。

我想到的第一个解决方案是使用虚拟机，这样我就可以在不损害实际操作系统的情况下，对一旦安装的VM进行快照，并在其上执行任何操作。但我不确定这是否是最好的解决方案，即使它会成功与否。我想会的，但那只是猜测。

Answer 1

专业黑客如何在不伤害自己电脑的情况下测试自己的恶意/病毒？

几乎所有的恶意软件，如果不是全部，都是默默无闻的。一旦你理解了它的工作原理，并且你有了合适的技能，你就可以很容易地打败它。如果这是你自己的恶意软件和病毒，那么它真的很简单:你知道你的恶意软件做什么，以及如何打败它，对吗？毕竟是你编的程序。

虽然是的，我总体上同意使用虚拟机，但它并不是100%。没有什么是百分之百的。你可以感染你自己的机器，不管它们是在线的还是离线的，用它们做有趣的事情。

您可以通过许多不同的方法观察恶意软件如何与您的环境交互。以下是一些值得注意的例子：

1. 观察文件系统和/或硬盘驱动器的所有更改。
2. 观察记忆
3. 调试器(如OllyDbg或IDA Pro )。
4. 网络数据包捕获工具，如Wireshark。

禁用虚拟机的internet连接以获得最佳结果

当其他人谈论恶意软件“可能逃离”Virtual Machine时，这并不是很可能，尽管这是可能的。即使恶意软件能够检测到它在虚拟机中运行，这也没有多大帮助，除非恶意软件self-destructs检测到虚拟环境。

即使一个VM没有被检测到，一件恶意软件也可以通过假设它可能存在而试图逃避它。因此，防止恶意软件检测到它在VM中的方法可能不起作用，除非它是在检测时自毁的类型。

关于您提到的“攻击”，让我们看看它们的结果，假设您可以消除感染：

1. 拉链炸弹
   • 压缩炸弹，也称为死亡或解压炸弹的拉链，是恶意档案文件，旨在崩溃或使程序或系统的读取无用。它经常被用来禁用杀毒软件，以便为更传统的病毒创造一个开放。
   • 清除感染后，通过删除文件可以使遗留的拉链炸弹无效。如果你自己做了这个，只需做一个清理例程。如果不是你自己做的，只需做一个清理的例行程序。如果程序仍然强制运行，您可以重新启动。
   • 不会给你的硬件带来物理问题。

2. 叉弹
   • 在计算中，分叉炸弹(也称为兔子病毒或wabbit)是一种拒绝服务攻击，在这种攻击中，进程不断地自我复制以耗尽可用的系统资源，导致资源饥饿，减慢或破坏系统。
   • 不会给你的硬件带来物理问题。

3. 文件夹爆炸器。
   • 与压缩炸弹相同的概念，但与文件夹垃圾邮件。只需写一个例程来删除它们。
   • 不会给你的硬件带来物理问题。

更好的是，如果您有一个virtual testing environment，您可以通过在感染之前保存虚拟机的状态，并在完成输出之后恢复虚拟机来自动删除这些状态。这是迄今为止最简单、最有效的方法。

Answer 2

根据恶意软件的工作方式，虚拟化可能是一个足够的方法来包含它。通过在虚拟机中运行恶意软件，只会造成虚拟机内部的损坏，只会耗尽分配给虚拟机的资源。

然而，也有恶意软件，它们要么在VM中不工作，要么即使在VM中使用也是危险的。在这种情况下，测试它的唯一方法是使用备用硬件。

Answer 3

一些恶意软件能够识别其虚拟化的时间，并试图使用最有趣的策略- seen...sometimes -甚至试图控制键盘。真正测试它们的唯一方法是设置一个带空隙的笔记本电脑或台式机，并在上面运行，然后在done...time消费时重新安装所有操作系统，但这是唯一“最安全”的选择。