這次比特幣勒索事件之后，樣本很快就在網(wǎng)絡(luò)上放出了。

有很多人想在自己電腦或是在虛擬機(jī)測(cè)試這個(gè)勒索程序，然而由于這些用戶疏忽了一些問(wèn)題，最終還讓自己宿主機(jī)的文件被加密了，實(shí)在是得不償失。

雖說(shuō)絕大多數(shù)病毒都不會(huì)穿透虛擬機(jī)感染宿主機(jī)，但是有些病毒畢竟會(huì)通過(guò)局域網(wǎng)傳染出去，所以這方面也必須要控制。

那么，這篇文章就是寫(xiě)給那些想測(cè)試病毒的吃瓜群眾的，專業(yè)人員可以繞行。

前提是你的宿主機(jī)是Windows系統(tǒng)，如果宿主機(jī)是macOS或Linux的話，那么僅僅需要保證不要和其它Windows電腦在一個(gè)局域網(wǎng)內(nèi)。

本教程使用VMware虛擬機(jī)來(lái)介紹如何建立一個(gè)足夠安全的惡意軟件測(cè)試環(huán)境。如果你使用的是其它的虛擬機(jī)，我無(wú)法給出對(duì)應(yīng)的操作方法，歡迎各位在評(píng)論區(qū)補(bǔ)充。

如果哪個(gè)步驟操作存在疏忽，輕則無(wú)法測(cè)試，重則會(huì)導(dǎo)致宿主機(jī)的重要文件全部加密，由此產(chǎn)生的風(fēng)險(xiǎn)和損失作者并不承擔(dān)責(zé)任。請(qǐng)各位在測(cè)試的時(shí)候一定要小心謹(jǐn)慎，避免發(fā)生意外。

打開(kāi)網(wǎng)絡(luò)連接，禁用VMware Network Adapter VMnet8這個(gè)網(wǎng)絡(luò)連接。

VMnet8的用途是，如果虛擬機(jī)采用的是NAT方式網(wǎng)絡(luò)連接，通過(guò)VMnet8這個(gè)網(wǎng)絡(luò)連接可以將宿主機(jī)和虛擬機(jī)劃入一個(gè)局域網(wǎng)里。如果禁用了VMnet8，虛擬機(jī)仍然能連接外網(wǎng)，但無(wú)法再和宿主機(jī)直接通過(guò)局域網(wǎng)聯(lián)系了。

相關(guān)內(nèi)容可以參考這篇VMware官網(wǎng)對(duì)此的介紹：https://www.vmware.com/support/ws3/doc/ws32_network8.html（雖然是很古老的VMware 3.2但對(duì)現(xiàn)在的VMware Workstation 12一樣適用）

然后就是在虛擬機(jī)內(nèi)安裝系統(tǒng)。

為了避免在后續(xù)測(cè)試出現(xiàn)不必要的問(wèn)題，請(qǐng)勿安裝來(lái)路不明的Ghost裝機(jī)版Windows系統(tǒng)。

請(qǐng)只使用來(lái)自可靠來(lái)源（比如MSDN）的Windows安裝鏡像文件。

虛擬機(jī)內(nèi)的網(wǎng)絡(luò)連接請(qǐng)?jiān)O(shè)置成NAT。

至于如何在虛擬機(jī)內(nèi)安裝系統(tǒng)，相信玩過(guò)虛擬機(jī)的人應(yīng)該都會(huì)，這里不做詳細(xì)介紹。但是，請(qǐng)不要使用VMware的簡(jiǎn)易安裝功能，也不要在裝完系統(tǒng)之后安裝虛擬機(jī)增強(qiáng)插件（如VMware Tools）。至于原因，后面會(huì)做詳細(xì)說(shuō)明。

裝完系統(tǒng)之后，你并不需要去激活系統(tǒng)，畢竟你只是用來(lái)測(cè)試，測(cè)試完成之后你就可以銷(xiāo)毀整個(gè)虛擬機(jī)了。

使用其它高級(jí)的文本編輯器（不要用記事本，可以用寫(xiě)字板）打開(kāi)你的虛擬機(jī)的vmx文件，在任意處加上這兩行：

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

然后保存。

然后虛擬機(jī)設(shè)置里勾上“虛擬化Intel VT-x/EPT或AMD-V/RVI”。這還要求你的主板BIOS設(shè)置里開(kāi)啟了相關(guān)的虛擬化技術(shù)，能否開(kāi)啟隨廠商決定，近年的電腦一般都能開(kāi)啟。

因?yàn)橛行┸浖驉阂獬绦蛉绻l(fā)現(xiàn)是在虛擬機(jī)內(nèi)運(yùn)行或是檢測(cè)到虛擬機(jī)增強(qiáng)插件相關(guān)進(jìn)程會(huì)拒絕啟動(dòng)，這么處理之后就可以在虛擬機(jī)內(nèi)運(yùn)行本不允許在虛擬機(jī)內(nèi)運(yùn)行的程序。（雖然WannaCry并不會(huì)檢測(cè)這個(gè)）

然后是把你想要放進(jìn)虛擬機(jī)的東西復(fù)制進(jìn)虛擬機(jī)。在沒(méi)有虛擬機(jī)增強(qiáng)插件的前提下，你有三種方法：

使用UltraISO之類的軟件將你想復(fù)制進(jìn)去的文件做成ISO鏡像，然后加載進(jìn)虛擬機(jī)；

將你想復(fù)制進(jìn)去的東西復(fù)制進(jìn)一個(gè)U盤(pán)，然后用虛擬機(jī)加載U盤(pán)（不是所有虛擬機(jī)軟件都支持U盤(pán)）；

關(guān)閉虛擬機(jī)，使用能編輯虛擬硬盤(pán)鏡像的工具將文件復(fù)制進(jìn)硬盤(pán)鏡像。

總而言之，復(fù)制進(jìn)來(lái)之后，我們就可以準(zhǔn)備測(cè)試了。如果你使用的是VMware Workstation Pro的話，你可以在測(cè)試之前做一個(gè)快照，以便為了測(cè)試下一個(gè)病毒之前還原回之前的狀態(tài)。我這里用的是Player，這里就只好關(guān)機(jī)備份虛擬硬盤(pán)鏡像了。

這里我測(cè)試的正是WannaCrypt勒索程序樣本。為了確保各位不去輕易作死，這里恕不提供樣本的下載，也請(qǐng)各位不要在評(píng)論區(qū)分享這個(gè)樣本。

桌面上的Malware Defender是一款HIPS防御軟件，在高強(qiáng)度保護(hù)下會(huì)攔截一切操作，并會(huì)向用戶告知軟件執(zhí)行了什么樣的操作且詢問(wèn)是否允許。很遺憾的是，該軟件僅支持32位Windows系統(tǒng)，且這樣的軟件并不適合日常的安全防護(hù)。你們可以根據(jù)你們的需要選擇是否要在虛擬機(jī)安裝這樣的軟件來(lái)分析惡意軟件的工作流程。

全部準(zhǔn)備好之后，打開(kāi)Malware Defender，調(diào)成正常模式。

然后打開(kāi)惡意程序樣本（如果這個(gè)時(shí)候你插上了U盤(pán)，請(qǐng)立即將U盤(pán)拔出虛擬機(jī)），就會(huì)問(wèn)你是否要確定運(yùn)行，并且會(huì)逐步分析每個(gè)步驟發(fā)生了什么。

 

 

回答了是否放行之后，你可以觀察到文件是不是被跟著加密了。

但無(wú)論如何，不會(huì)穿透出虛擬機(jī)。

這就是在虛擬機(jī)內(nèi)測(cè)試一個(gè)惡意程序的基本方法，但同時(shí)完全不會(huì)影響到宿主機(jī)本身的正常運(yùn)作。

在虛擬機(jī)內(nèi)操作惡意軟件，就像是嘗試拆定時(shí)炸彈一樣，稍有不慎就會(huì)爆炸，波及到不必要的部分。所以請(qǐng)各位在測(cè)試之前，做好充分的防護(hù)工作。

對(duì)于一些想試圖研究出解決方案的人來(lái)講，還可以配合很多更強(qiáng)大的調(diào)試工具來(lái)進(jìn)行破解。由于能力和精力有限，作者無(wú)法給出任何指導(dǎo)。