Om de werking van malware te onderzoeken gebruiken veel onderzoekers een virtual machine, maar virusschrijvers doen er alles aan om deze virtuele wereld te herkennen. Het voordeel van een virtual machine is dat de onderzoeker de kwaadaardige software op een gemakkelijke en eenvoudig te reproduceren manier kan observeren. Veel malware probeert de aanwezigheid van een vitrual machine te detecteren, om vervolgens in z'n geheel te stoppen of ander gedrag te vertonen.
Daarbij kijken virusschrijvers naar het MAC-adres, dat meestal het identificatienummer van de VM-fabrikant bevat. Ook de aanwezigheid van bepaalde registersleutels of bestanden verraadt dat de host in een virtuele omgeving draait. Verder wordt er gecontroleerd op de aanwezigheid van een Backdoor I/O port, dat voor de communicatie met de virtual machine wordt gebruikt en de waarden van verschillende Table Registers.
Dwarsbomen
Toch zijn er oplossingen om de virtual machine detectie van malware te dwarsbomen, aldus Alain Zidouemba van het Sourcefire Vulnerability Research Team. De eerste tip is het niet gebruiken van de VMware Tools, die teveel sporen achterlaten. De tweede tip is het wijzigen van het VMware.vmx bestand, zoals hij op deze pagina in detail uitlegt. "Als het voor welke reden dan ook te lastig of te moeilijk is, draai dan de malware op het systeem! :-) Je kunt altijd na afloop een systeem backup en restore doen om de machine in z'n oorspronkelijke staat te herstellen, zonder het OS te herinstalleren."
Deze posting is gelocked. Reageren is niet meer mogelijk.