VM
マルウェアは、アンチVMとアンチサンドボックスの動作を使用して無害なソフトウェアのように動作することがあります。
ホストマシンをVMのように偽装して、潜在的なマルウェアが発生しないようにすることは、良い防止策ではありませんか?
私は不可能だと思う「偽造」仮想化について話しているのではなく、VMの一般的なMACアドレスを持ち、バックグラウンドで何もしないがVMの名前を持つ空のプロセスを実行していることについて話している-典型的なプロセス(vboxtray.exeなど)またはVM-driversのような名前の空のドライバーdllがあり、現在のシステムがVMであることを潜在的なマルウェアに示します。
仮想環境をエミュレートできませんでしたsomeマルウェアがシステムに感染するのを防ぎますか?
はい。また、偽のVMアーティファクトを作成することは、マルウェアの実行を阻止する唯一の方法ではありません。また、マルウェアが頻繁に作成する偽のミューテックスオブジェクトまたは特定のレジストリキーを作成して、同じウイルスへの再感染を回避することもできます。マルウェアの内部動作に応じて、他にも多くの方法があります。
それは良い予防戦略になりますか?
あんまり。それは誤った安心感でしょう。 VMが検出された場合、多くの場合は検出されません)マルウェアがアンチVM対策を実行し、実行を停止することを想定している場合でも、マルウェアがチェックできる方法は何千もあります。 VMであるかどうかに関係なく、すべてのマルウェアが異なります。 数億ものマルウェアプログラム が存在し、それらはすべて異なる動作をし、それらすべての時間は、大規模な事業であるだけでなく、マルウェアに対する信頼性の低い防御であることが証明される可能性があります。
ですから、それは良い予防戦略にはなりません。適切なセキュリティプラクティスを使用してマルウェアの実際の実行を防止することに脅威モデルを集中させる、コード署名を実施する、システムを強化する、攻撃ベクトルを削減する、すべてを更新する、何もダウンロードしないなど、他の場所に時間と労力を費やすほうが効果的です。疑わしいなど、あなたは大丈夫であり、この予防戦略の必要はありません。