0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p><em>Статья переведена<a>отсюда</a>и будет полезна всем, кто интересуется<strong>реверс-инжинирингом</strong>в контексте информационной безопасности и анализа вредоносного ПО.</em></p>
1
<p><em>Статья переведена<a>отсюда</a>и будет полезна всем, кто интересуется<strong>реверс-инжинирингом</strong>в контексте информационной безопасности и анализа вредоносного ПО.</em></p>
2
<h2>Требования к компьютеру</h2>
2
<h2>Требования к компьютеру</h2>
3
<p>Процессор с поддержкой AMD-V или Intel VT-x (практически любой современный процессор). 4 Гб ОЗУ (чем больше, тем лучше). Перед началом работы убедитесь, что виртуализация (AMD-V или Intel VT-x) включена в BIOS. Для этого погуглите “включить визуализацию”, дописав версию биос или материнской платы, а затем выполните найденную инструкцию.</p>
3
<p>Процессор с поддержкой AMD-V или Intel VT-x (практически любой современный процессор). 4 Гб ОЗУ (чем больше, тем лучше). Перед началом работы убедитесь, что виртуализация (AMD-V или Intel VT-x) включена в BIOS. Для этого погуглите “включить визуализацию”, дописав версию биос или материнской платы, а затем выполните найденную инструкцию.</p>
4
<h2>Выбор гипервизора</h2>
4
<h2>Выбор гипервизора</h2>
5
<p><strong>Гипервизор</strong>- программное обеспечение, которое позволяет создавать<strong>виртуальный компьютер</strong>(также называемый Виртуальная Машина или сокращенно ВМ), изолированный от настоящего. Мы воспользуемся гипервизором для создания отдельной системы Windows и заражения её вредоносным ПО без вреда для нас самих и наших данных.</p>
5
<p><strong>Гипервизор</strong>- программное обеспечение, которое позволяет создавать<strong>виртуальный компьютер</strong>(также называемый Виртуальная Машина или сокращенно ВМ), изолированный от настоящего. Мы воспользуемся гипервизором для создания отдельной системы Windows и заражения её вредоносным ПО без вреда для нас самих и наших данных.</p>
6
<p>Я лично использую 5 разных<strong>гипервизоров</strong>, так как все они немного отличаются и подходят для разных задач. Расскажу, для чего использую каждый из них и почему.</p>
6
<p>Я лично использую 5 разных<strong>гипервизоров</strong>, так как все они немного отличаются и подходят для разных задач. Расскажу, для чего использую каждый из них и почему.</p>
7
<p><strong>VMware Workstation Pro</strong>- очень высокая производительность и, пожалуй, лучший гипервизор для запуска Windows. В нём есть множество дополнительных фичей, которые делают его полезным для сложных виртуальных сетей.<strong>VMware Workstation Player</strong>- урезанная и облегчённая версия Pro, отлично подходит для простых ВМ-настроек. Но отсутствие поддержки снапшотов делают его неподходящим для анализа уязвимостей. У меня он установлен на ноутбуке для проверки на ходу.</p>
7
<p><strong>VMware Workstation Pro</strong>- очень высокая производительность и, пожалуй, лучший гипервизор для запуска Windows. В нём есть множество дополнительных фичей, которые делают его полезным для сложных виртуальных сетей.<strong>VMware Workstation Player</strong>- урезанная и облегчённая версия Pro, отлично подходит для простых ВМ-настроек. Но отсутствие поддержки снапшотов делают его неподходящим для анализа уязвимостей. У меня он установлен на ноутбуке для проверки на ходу.</p>
8
<p><strong>KVM</strong>- работает на<strong>Linux</strong>, есть классный плагин, позволяющий запускать больше ВМ, чем позволяет ОЗУ, при помощи<strong>дедупликации</strong>. KVM отлично подходит тем, что не позволяет вредоносной программе обнаружить, что она запущена в ВМ, так как большинство из них зависит от наличия особых артефактов VMWare или VirtualBox, а прочие гипервизоры не пытается обнаружить.</p>
8
<p><strong>KVM</strong>- работает на<strong>Linux</strong>, есть классный плагин, позволяющий запускать больше ВМ, чем позволяет ОЗУ, при помощи<strong>дедупликации</strong>. KVM отлично подходит тем, что не позволяет вредоносной программе обнаружить, что она запущена в ВМ, так как большинство из них зависит от наличия особых артефактов VMWare или VirtualBox, а прочие гипервизоры не пытается обнаружить.</p>
9
<p><strong>ESXi</strong>- это не гипервизор, который вы устанавливаете на операционную систему. Это гипервизор, который сам является операционной системой. Такой подход позволяет уменьшить<strong>оверхед</strong>, так как нет необходимости в каком-либо коде, кроме требуемого для запуска гипервизора.</p>
9
<p><strong>ESXi</strong>- это не гипервизор, который вы устанавливаете на операционную систему. Это гипервизор, который сам является операционной системой. Такой подход позволяет уменьшить<strong>оверхед</strong>, так как нет необходимости в каком-либо коде, кроме требуемого для запуска гипервизора.</p>
10
<p><strong>VirtualBox</strong>- позволяет подделывать оборудование, на котором запущена ваша ВМ, тем самым не позволяя вредоносной программе догадаться, что она запущена в виртуальной машине, проверяя виртуальное/физическое оборудование или версию прошивки. Он бесплатный, простой в настройке и обладает большинством функционала, который есть в платных гипервизорах.</p>
10
<p><strong>VirtualBox</strong>- позволяет подделывать оборудование, на котором запущена ваша ВМ, тем самым не позволяя вредоносной программе догадаться, что она запущена в виртуальной машине, проверяя виртуальное/физическое оборудование или версию прошивки. Он бесплатный, простой в настройке и обладает большинством функционала, который есть в платных гипервизорах.</p>
11
<p>Новичкам я бы посоветовал<strong>использовать VirtualBox</strong>, так как он бесплатный, поддерживает большинство операционных систем, есть инструмент снапшота, что позволяет откатывать ВМ до сохранённой точки. Именно по этой причине в этом посте я использую VirtualBox.</p>
11
<p>Новичкам я бы посоветовал<strong>использовать VirtualBox</strong>, так как он бесплатный, поддерживает большинство операционных систем, есть инструмент снапшота, что позволяет откатывать ВМ до сохранённой точки. Именно по этой причине в этом посте я использую VirtualBox.</p>
12
<h2>Выбор гостевой ОС</h2>
12
<h2>Выбор гостевой ОС</h2>
13
<p>Выбор операционной системы, запущенной в виртуальной машине, очень важен и зависит от нескольких вещей, о которых я расскажу подробней.</p>
13
<p>Выбор операционной системы, запущенной в виртуальной машине, очень важен и зависит от нескольких вещей, о которых я расскажу подробней.</p>
14
<h4>Ваши навыки</h4>
14
<h4>Ваши навыки</h4>
15
<p>Если вы планируете заняться<strong>реверс-инжинирингом вредоносного ПО</strong>, но понимаете только ассемблер x86 (или изучаете ассемблер), то есть смысл запустить установку x86 Windows. Большинство вредоносных программ работает на<strong>WoW64</strong>(способ Windows запускать 32-битные бинарные файлы в 64-битных системах), поэтому скорее всего придётся заниматься реверс-инжинирингом 32-битного кода вне зависимости от того, какая архитектура используется.</p>
15
<p>Если вы планируете заняться<strong>реверс-инжинирингом вредоносного ПО</strong>, но понимаете только ассемблер x86 (или изучаете ассемблер), то есть смысл запустить установку x86 Windows. Большинство вредоносных программ работает на<strong>WoW64</strong>(способ Windows запускать 32-битные бинарные файлы в 64-битных системах), поэтому скорее всего придётся заниматься реверс-инжинирингом 32-битного кода вне зависимости от того, какая архитектура используется.</p>
16
<p>В некоторых случаях, вредоносная программа бросает 32-битную или 64-битную полезную нагрузку в зависимости от архитектуры, поэтому, если вы не знаете 64-битный ассемблер, вам потребуется 32-битная нагрузка, а значит, нужно использовать 32-битную (x86) операционную систему.</p>
16
<p>В некоторых случаях, вредоносная программа бросает 32-битную или 64-битную полезную нагрузку в зависимости от архитектуры, поэтому, если вы не знаете 64-битный ассемблер, вам потребуется 32-битная нагрузка, а значит, нужно использовать 32-битную (x86) операционную систему.</p>
17
<h4>Ваше оборудование</h4>
17
<h4>Ваше оборудование</h4>
18
<p>Процессор x86_64 может запускать 32- и 64-битные ВМ, но x86 процессор может запускать только 32-битные. Поэтому, если у вас именно такой, стоит выбрать 32-битную операционную систему. Старые процессоры (особенно x86) могут не поддерживать функционал, требующийся для установки новых версий Windows, поэтому выбирайте версию не позже Windows 8.</p>
18
<p>Процессор x86_64 может запускать 32- и 64-битные ВМ, но x86 процессор может запускать только 32-битные. Поэтому, если у вас именно такой, стоит выбрать 32-битную операционную систему. Старые процессоры (особенно x86) могут не поддерживать функционал, требующийся для установки новых версий Windows, поэтому выбирайте версию не позже Windows 8.</p>
19
<p>Если у вашей машины<strong>недостаточно оперативной памяти</strong>, лучше ограничиться запуском виртуальной машины с Windows XP, так как ей нужно не более 256 МБ (убедитесь, что используете Service Pack 3 - это добавит некоторые системные фичи, на которые опирается большинство вредоносных ПО). Виртуальной машине с Windows 7 понадобится 1 Гб оперативной памяти, но можно обойтись и 768 Мб (512 Мб для Home Edition).</p>
19
<p>Если у вашей машины<strong>недостаточно оперативной памяти</strong>, лучше ограничиться запуском виртуальной машины с Windows XP, так как ей нужно не более 256 МБ (убедитесь, что используете Service Pack 3 - это добавит некоторые системные фичи, на которые опирается большинство вредоносных ПО). Виртуальной машине с Windows 7 понадобится 1 Гб оперативной памяти, но можно обойтись и 768 Мб (512 Мб для Home Edition).</p>
20
<h4>Ваш опыт</h4>
20
<h4>Ваш опыт</h4>
21
<p>Большая часть вредоносных программ будет работать на всех системах Windows, начиная с XP Service Pack 3 и заканчивая Windows 10. Поэтому, если вы понимаете, что лучше разбираетесь с XP, смело используете именно её. Windows 10 очень ресурсоёмкая и может поддерживаться не всеми вредоносными программами, поэтому для повседневного анализа рекомендую использовать десятку только в случае крайней осознанной необходимости. Windows 10 также ужасно шумная с точки зрения фоновых сервисов, подключённых к интернету, что забьёт ваш перехватчик пакетов бессмысленными, ненужными данными.</p>
21
<p>Большая часть вредоносных программ будет работать на всех системах Windows, начиная с XP Service Pack 3 и заканчивая Windows 10. Поэтому, если вы понимаете, что лучше разбираетесь с XP, смело используете именно её. Windows 10 очень ресурсоёмкая и может поддерживаться не всеми вредоносными программами, поэтому для повседневного анализа рекомендую использовать десятку только в случае крайней осознанной необходимости. Windows 10 также ужасно шумная с точки зрения фоновых сервисов, подключённых к интернету, что забьёт ваш перехватчик пакетов бессмысленными, ненужными данными.</p>
22
<h4>Ваша вредоносная программа</h4>
22
<h4>Ваша вредоносная программа</h4>
23
<p>64-битные операционные системы используют<strong>DSE</strong>(Driver Signature Enforcement), который не позволяет выполнять загрузку драйверов ядра, не прошедших сертификацию. Если вы анализируете вредоносное ПО, устанавливающее драйвер ядра, то стоит выбрать 32-битную систему, так как на ней не возникнет проблем с установкой несертифицированных драйверов.</p>
23
<p>64-битные операционные системы используют<strong>DSE</strong>(Driver Signature Enforcement), который не позволяет выполнять загрузку драйверов ядра, не прошедших сертификацию. Если вы анализируете вредоносное ПО, устанавливающее драйвер ядра, то стоит выбрать 32-битную систему, так как на ней не возникнет проблем с установкой несертифицированных драйверов.</p>
24
<h4>Чем пользуюсь я?</h4>
24
<h4>Чем пользуюсь я?</h4>
25
<p>Я - счастливый обладатель мощного стоечного сервера в моём подвале (любезно предоставленный моим работодателем), поэтому у меня есть ВМ каждой ОС, начиная с XP и заканчивая 10 в обеих версиях: 32- и 64-битной. Но раньше я отдавал предпочтение<strong>Windows 7 Ultimate Edition</strong>(32-битной) для работы с обычными вредоносными ПО (я использую Ultimate для функции удалённого рабочего стола, но, если вас устраивает VNC, то с Home Edition проблем не возникнет).</p>
25
<p>Я - счастливый обладатель мощного стоечного сервера в моём подвале (любезно предоставленный моим работодателем), поэтому у меня есть ВМ каждой ОС, начиная с XP и заканчивая 10 в обеих версиях: 32- и 64-битной. Но раньше я отдавал предпочтение<strong>Windows 7 Ultimate Edition</strong>(32-битной) для работы с обычными вредоносными ПО (я использую Ultimate для функции удалённого рабочего стола, но, если вас устраивает VNC, то с Home Edition проблем не возникнет).</p>
26
<p>Также стоит помнить о том, что<strong>ВМ</strong>будет использоваться для запуска и анализа вредоносной программы, поэтому игнорировать старые операционные системы по причине их “небезопасности против хакеров/вредоносного ПО” контрпродуктивно, ведь вы пытаетесь заразить систему вредоносным ПО.</p>
26
<p>Также стоит помнить о том, что<strong>ВМ</strong>будет использоваться для запуска и анализа вредоносной программы, поэтому игнорировать старые операционные системы по причине их “небезопасности против хакеров/вредоносного ПО” контрпродуктивно, ведь вы пытаетесь заразить систему вредоносным ПО.</p>
27
<p><em>В<a>следующей части</a>нашей статьи поговорим о подробных настройках ВМ и среды. Следите за новостями и оставляйте комментарии!</em></p>
27
<p><em>В<a>следующей части</a>нашей статьи поговорим о подробных настройках ВМ и среды. Следите за новостями и оставляйте комментарии!</em></p>
28
28