利用虚拟机搭建安全的木马及病毒测试系统

第２１卷第１期

２００７年３月

西昌学院学报 囱然科学版

ＪｏｕｍａｌｏｆＸｉｃｈａｎｇＣｏｌｌｅｇｅ’ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ

Ｖ｛）１．２１．Ｎ０．１Ｍａｒ．．２００７

利用虚拟机搭建安全的木马及病毒测试系统

秦

光

（西昌学院信息技术系，四川西昌６１５０１３）

【摘要】网络安全十分重要，对网络中的木马及病毒进行安全测试，搭建一个安全的测试系统十分重

要，本文探讨一种采用虚拟机技术来构建安全的木马及病毒测试系统的方法。

【关键词】网络安全；虚拟机；木马；病毒【中图分类号】ＴＰ３９３．０８

【文献标识码】Ｂ

【文章编号】１６７３．１８９１（２００７）０１．００５４．０３

这里涉及到一个重要问题，判定样本是否是病毒的重要问题：传染性。如果能让程序判定一个“样

由于防毒软件有相对的滞后性，在网络中下载

ｌ引言

本”是否有传染性，也就解决了反病毒领域中的一个重要难题“预警”。传统的程序员分析病毒会使用ＤＯＳ的ＤＥＢｕＧ程序，现在更多的人选择ｓＯ丌’一ＩＣＥ一类功能更强大的软件。但终归一点，这类动态

调试软件的核心就是单步跟踪执行被调程序的每一

一个共享软件或木马及病毒样木，如何判断它是不是木马及病毒呢？因为网络安全的原因，一般单位的局域网禁止用于木马及病毒测试，普遍采用的方法是利用几台服务器与ＰＣ来搭建局域网，组成一个测试系统。由于需要评测木马及病毒对不同操作系统的影响程度，所以需要的设备较多，搭建这样的系统成本较高；另外由于是对木马、病毒进行测试，多种原因常常造成系统崩溃而无法运行，需要不断重新安装操作系统等软件，这对于木马及病毒测试工作人员而言，工作量大。甚至影响正常测试。

如何建立一个价格便宜，操作方便，使用安全的

木马及病毒测试系统呢？这是一个值得探讨的问

个语句。事实上，更为具体的做法可以是这样：用程序代码虚拟一个ＣＰｕ来，同样也虚拟ＣＰｕ的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入被调的“样本”，将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个

虚拟机。

既然虚拟机中可以反映程序的任何动态，那么，将病毒放到虚拟机中执行，则病毒的传染动作一定会被反映出来。虚拟机用来侦测已知病毒速度更为惊人，误报率很低！这项技术被认为是国际反

病毒领域的前沿技术，至今仍有许多人在研究和完善它。

题，由于虚拟机技术越来越成熟，利用虚拟机技术，可以搭建一个安全的木马及病毒测试系统。

２木马及病毒分析者的测试方法…

木马及病毒分析者拿到一个测试样本时，并不

敢直接运行它，因为它可能是带毒的，而且极可能是

３用虚拟机软件构建木马及病毒测试系统

３．１虚拟机软件

未知的，谁也无法查杀的新病毒。要分析它，必须做的是跟踪它的执行，查看它是否有传染模块，是否有破坏模块。如果一个样本中有用于传染的模块，就认定它是病毒，如果它还有破坏模块，将它归人恶性病毒，有些病毒是戏剧性的、学术性的，不会破坏系统，归人普通病毒。

收稿日期：２００６—１２—１５作者简介：秦光（１９７３一

虚拟机软件可以在一台电脑上模拟出来若干台ＰＣ，每台ＰＣ可以运行单独的操作系统而互不干扰，

可以实现一台电脑“同时”运行几个操作系统，还可

），男，讲师，软件工程硕士，主要从事计算机课程的教学及网络管理工作。

第１期

秦光：利用虚拟机搭建安全的木马及病毒测试系统

．５５．

以将这几个操作系统连成一个网络。

使用虚拟机构建木马及病毒测试系统，因为是采用软件来实现，有以下几个好处：

（１）可同时在同一台电脑上运行多个操作系统。不用虚拟机的话，有两个办法：一是装多个硬盘，每个硬盘装一个操作系统，这个方法比较昂贵。

ＶＭｗａｒｅ下用户可使用虚拟网卡进行联网测试。

二是在一个硬盘上装多个操作系统，这个方法不够安全，因为硬盘ＭＢＲ是操作系统的必争之地，搞不

好会几个操作系统同归于尽。而使用虚拟机来构建木马病毒测试系统既省钱又安全。

（２）在虚拟机中测试运行，可设置还原点，将所做的任何操作都即时保存，如果需要，可以还原至任

图ｌ

安装ＶＭｗａｒｅ后虚拟的网卡

意的还原点，不必繁琐的重新安装操作系统。例如

中马后可还原至中马前的状态。

接下来再安装测试样本的操作系统，如安装

ｗｉｎｄｏｗｓ２００３，然后将测试样本放人操作系统中，用

（３）可作为任何软件的测试环境，在虚拟机内运

行木马与病毒样本，可以做到完全不影响实体电脑，十分安全。

３．２常用的虚拟机软件…ＶＭｗａｒｅ与Ｖｉｒｔｕａｌ

ＰＣ

测试软件进行分析测试。下面用在虚拟机中模拟

ＡＲＰ攻击为例进行介绍，在测试主机中安装一个防

止ＡＲＰ攻击的软件，如ＡｒｐＦｉｘ＿Ｂｅｔａｊ．６，在虚拟机中通过网络下载软件“网络执法官”，安装后运行，然

常用的虚拟机软件较多，有ｗｉｎｄｏｗｓ平台的，后对测试主机进行ＡＲＰ攻击——禁止与所有主机

相连，如图２所示。

也有Ｌｉｎｕｘ平台的，较为著名的有ＶＭｗａｒｅ与Ｖｉｒｔｕ．

ａｌ

ＰＣ，二者的主要区别有：

（１）ＶＭＷａｒｅ没有模拟显卡，要通过ＶＭＷａｒｅ—

ｔｏｏｌｓ才能用上高分辨率和真彩色，否则只能用

ｖＧＡ。而ｖｉｒｔｕａｌＰＣ模拟了一个比较通用的显卡：Ｓ３

Ｔｒｉｏ

３２／６４（４Ｍ）。

（２）因为ＶｉｒｔｕａｌＰＣ模拟了显卡，所以通用性很

强。ｃｏｎｎｅｃｔｉｘ．ｃｏｍ网站声称，目前新版的Ｖｉｒｔｕａｌ

ＰＣ

５支持所有基于ｘ８６的操作系统。

（３）ＶｉｒｔｕａｌＰＣ的网络共享方式与ＶＭｗａｒｅ不同。ＶＭＷａｒｅ是通过模拟网卡实现网络共享的，而

Ｖｉｒｔｕａｌｕｌａｔｅｄ

ＰＣ是通过在现有网卡上绑定Ｖｉｎｕａｌ

ＰＣｅｍ—

ｓｗｉｔｃｈ服务实现网络共享的。对于ｗｉｎ２０００／图２在虚拟机中发动ＡＲＰ攻击

ｘｐ等操作系统，如果网线没插或没有网卡的时候，要安装Ｍｉｃｒｏｓｏｆｔ的ｌｏｏｐｂａｃｋ软网卡，才能实现网络共享。在ＶｉｎｕａｌＰｃ的ｇｌｏｂａｌｓｅｔｔｉｎｇ里，当有网卡并插好网线的时候，将Ｖｉｒｔｕａｌｓｗｉｔｃｈ设成现实的网卡；当没有网卡或网线没插的时候，将Ｖｉｎｕａｌｓｗｉｔｃｈ设

成ｍｓｌｏｏｐｂａｃｋ软网卡，即可实现网络共享。

在测试主机用Ａｒｐｆｉｘ软件检测到虚拟机对它的ＡＲＰ攻击，如图３所示。

３．３采用虚拟机软件搭建测试平台

首先在测试者的主机中安装虚拟机软件，虚拟机软件安装十分简单，下面以ＶＭｗａｒｅ为例进行介

绍。安装时直接点击“Ｎｅｘｔ”即可完成安装，安装完成

图３

测试主机检测到被攻击

后，计算机中多了两块虚拟网卡，如图ｌ所示，在

在木马与病毒的测试过程中，需要随时注意先

５６

西昌学院学报 自然科学版第２１卷

建立快照，即创建还原点，以便在测试过程中随肘进

行还原。另外还需注意的是在将测试样本放入虚拟

４总结

采用虚拟机技术来构建木马及病毒测试系统的方法具有安全，操作方便，系统搭建价格便宜。在实

机操作系统中时，应先关闭木马病毒检测软件，如瑞星、卡巴斯基等，以免这类病毒检测软件将样本清

除，而无法完成测试任务。参考文献：

际的木马及病毒测试中，使用效果良好。

【１］邓吉编著．黑客攻防实战入门【Ｍ】．北京：电子工业出版社．２００４．ｆ２】王春海编著．虚拟机配置与应用完全手册［Ｍ］．人民邮电出版社，２００３

ＵｓｉｎｇＶｉｒｔｕａｌ

Ｍａｃｈｉｎｅ

ｔｏＢｕｉｌｄ

ＳｅｃｕｒｉｔｙＴｒｏｊａｎＨｏｒｓｅ

ａｎｄＶｉｒｕｓＴｅｓｔＳｙｓｔｅｍ

ＱＩＮ

（Ｅｎｇｉｎｅｅｒｉｎｇ

Ｇｕａｎｇ

ａｎｄ’ｌ奄ｃｈｎｏｌｏｇｙＤｅｐａｎｍｅｎｔｏｆｘｉｃｈａｎｇＣｏｌｌｅｇｅ．Ｘｉｃｈａｎｇ．Ｓｉｃｈｕａｎ６ｌ５０ｉ３）

Ａｂｓｔｒａｃｔ：Ｔｈｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｉｓｅｘｔｒｅｍｅｌｙｉｍｐｏｒｔａｎｔ．Ｃａｒｒｙｉｎｇ

ｈｏｒｓｅａｎｄｔｈｅＶｉＩｕｓ，

ｂｕｉｌｄｉｎｇ

ａ

ｏｕｔ

ｔｈｅｓｅｃｕｒｉｔｙｔｅｓｔｉｎｇｔｏｔｈｅｎｅｔｗｏｒｋ’ｓＴｒｏｊａｎ

ｔｈｅ

ｓａｆｅｔｅｓｔｓｙｓｔｅｍｉｓａｌｓｏｅｘｔｒｅｍｅｌｙｉｍｐｏｒｔａｎｔ．Ｔｈｉｓｐａｐｅｒｄｉｓｃｕｓｓｅｓｈｏｗｔｏ

ｕｓｅ

ＶｉｒｔｕａｌｍａｃｈｉｎｅｔｅｃｈｎｏｌｏｇｙｔｏｃｏｎｓｔＩｕｃｔｔｈｅｓｅｃｕｒｉｔｙｔｈｅＴＤＤｊａｎ

ｈｏｒｓｅａｎｄｔｈｅｖｉｍｓｔｅｓｔｓｙｓｔｅｍ．

Ｋｅｙｗｏｒｄｓ：Ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ；Ｖｉｒｔｕａｌｍａｃｈｉｎｅ；Ｔｒｏｊａｎｈｏｒｓｅ；ｖｉｌｌｌ８

（责任编辑：张荣萍）

口ｅＭｇ“＃々≈ｙｎ％＼镕ｇＭ＃“％ｅ≈ｇＭ５ｅ≈ｇＫＳ＼口∞、￥ｇ“％ｅ≈ｇＮ５ｅ≈ｇＮ＃≈≈ｇ“％ｅ‰＃ＮＳｅ≈ｇＮ６ｅ≈ｇＮｇ々Ｍｅ＊＼口ｅＭｓＭ、目∞∞∞＃ＭＨ∞＃“％％∞

（上接５３页）

Ａｂｓｔｒａｃｔ：７ｒｈｅＳｅｒｉａｌｓｏｎｗａｒｅｓｏｆＦＬＡＳＨ

ｔｈｅａｎａｌｙｓｉｓｏｆ

ＦＬＡＳＨ

Ｃｌａｓｓｉｃａｌ

ｅｘａｍｐｌｅｓ，

ａｒｅ

ｔｈｅｐｏｐｕｌａｒｎａｔ—ａｎｉｍａｔｉｏｎｓｏｆｔｗａｒｅｓａｌｌ

ｏｖｅｒ

ｔｈｅｗｏｒｌｄ．

Ｂａｓｅｄ

ｏｎ

ｔｈｅｐａｐｅｒｄｉｃｕｓｓｅｓｈｏｗｔｏｆｊｎｉｓｈｍａｌｃｉｎｇＦｌａｓｈａｎｉｍａｔｉｏｎｂｙ

ｕｓｉｎｇ

ｅｘｉｓｔｉｎｇｅｌｅｍｅｎｔｓｉｎＦＬＡＳＨｓｏｆｔｗａｒｅｓａｎｄｃｒｅａｔｉｖｅｔｅｃｈｎｉｑｕｅｓ．

Ｋｅｙｗｏｒｄｓ：ＦＬＡＳＨ；Ｃｒｅａ￡ｉｖｅｔｅｃｈｎｉｑｕｅｓ；Ｖｅｃｔｏｒ；Ｉｎｃｒｅａｓｅ

（责任编辑：张荣萍）

利用虚拟机搭建安全的木马及病毒测试系统

作者：作者单位：刊名：英文刊名：年，卷(期)：被引用次数：

秦光， QIN Guang

西昌学院,信息技术系,四川,西昌,615013

西昌学院学报（自然科学版）

JOURNAL OF XICHANG COLLEGE(NATURAL SCIENCE EDITION)2007,21(1)2次

参考文献(2条)

1.王春海 虚拟机配置与应用完全手册 20032.邓吉 黑客攻防实战入门 2004

引证文献(2条)

1.彭安杰 虚拟机在反病毒实验中的应用[期刊论文]-计算机光盘软件与应用 2010(7)2.高琳 虚拟机技术在网络安全教学中的应用[期刊论文]-中国新技术新产品 2009(9)

本文链接：/Periodical_xcxtxb200701016.aspx

本文来源：https://www.bwwdw.com/article/azxq.html