闽ICP备2020022160号-5
以身试毒,沙盒防护
很多时候明知有些网站或者软件包含病毒,我们还要进行访问。比如对某种病毒、木马进行测试,或者分析某些网站的恶意代码。对于这类“以身试毒”的操作,现在可以借助一些“沙盒”环境进行测试。
不过需要注意的是,下列保护方法虽然可以保证关机后病毒不会在当前硬盘中有残留,但是在测试过程中,病毒实际功效并不会消失,比如盗号木马仍然会盗号,假设你此时进行游戏登录,还是有可能被窃走游戏账号信息的,所以在测试过程中不要进行比较敏感的操作,以及需要做好相应的保护措施。
1.使用虚拟内存环境测试病毒
如果要在电脑上测试带毒程序,为了避免病毒侵袭当前系统,可以借助微软提供的UWF系统,它类似常见的影子系统,开启保护后当前所有操作都会映射到内存中,重启后即可自动清除所有写入操作。
下载后根据自己系统类型选择(64位系统选择AMD64文件夹,32位系统选择x86文件夹),然后以管理员身份运行“Install.cmd”即可完成安装。接着同样以管理员身份运行运行其中的“开启UWF并添加分区保护”,开启本机C盘的保护措施(图1)。
图1 开启C盘保护
上述操作只是开启对C盘的保护,如果需要进行全盘保护,请自行使用UWF命令行进行保护(uwfmgr.exe volume protect 盘符1,盘符2)即可。开启上述保护措施后,继续以管理员身份运行其中的“查看状态”脚本即可看到目前受保护的分区(图2)。
图2 查看分区保护状态
完成上述操作后,当前所有操作的写入都会被映射到本地内存中。比如安装的恶意软件看似安装到C:Program Files,实际上写入的数据都是在内存中。由于内存中数据无法在断电后保存,这样只要重启后即可删除所有安装的恶意软件,不会对当前系统造成什么破坏。
2.使用沙盒测试带毒网站
UWF保护操作很简单,但是由于当前写入操作都是定向到当前内存,对内存容量要求较高,比较适合对于恶意程序的安装测试。对于小内存用户如果要测试带毒网站,我们还可以使用Sandboxie沙盒进行保护。沙盒是在当前系统模拟出对应的目录,当前写入操作定向到虚拟目录。这样恶意代码只是在一个模拟的沙盒环境中加载,退出沙盒后即可恢复正常。
启动程序后点击“沙盘→Defaultbox→沙盘中运行→运行网页浏览器”,这样启动的IE浏览器就实现在沙盒中运行了(图3)。
图3 添加程序到沙盒中运行
启动IE浏览器后可以切换到沙盒,点击“文件→检查窗口是否在沙盒中运行”,在弹出的窗口中将十字图标移动到IE标题栏,此时会显示当前程序正运行在沙盒中,表示当前IE已经在沙盒保护中了(图4)。
图4 查看程序是否受沙盒保护
比如现在在IE中访问了有恶意代码的网页,下载的木马、恶意代码就会保存在沙盒虚拟目录中。测试完成后可以随时点击“文件→终止所有程序”,这样保存在沙盒里的恶意代码等内容就会全部自动清除了。
3.专款专用,打造测试专用测试系统
UWF和沙盒保护操作虽然简单,但是也有不少缺点,前者对内存要求较高,后者则和不少程序存在兼容性故障。对于经常需要测试病,还可以借助VHD创建差分系统的方法,为当前系统创建一个子系统,这样测试完毕将子系统删除后就可以完全删除病毒。VHD差分系统是一个完整系统,可以有效解决上述两种保护方式的不足。
首先启动VHDX_OneKey,点击“创建VHD→VHDX”,按提示创建一个VHD系统。完成VHD系统的创建后切换到“差分→VHD/VHDX”,并选择“创建差分磁盘,并添加差分磁盘及快速还原到BCD”,按提示创建一个差分系统(图5)。
图5 创建差分系统
这样重启后使用VHD系统启动时,在多重启动菜单会添加一个差分磁盘的启动项,选择其进入差分系统后可以看到,差分子系统和平常系统是一样的,我们可以在这个系统里随意测试安装病毒软件。但是这些软件只是存在差分系统中,测试完毕重启系统,进入原来系统后将上述创建的差分VHD文件删除即可,下次需要使用时可以继续创建差分系统作为测试专用系统(图6)。
闽ICP备2020022160号-5