用自己的身体试毒,沙盒保护
很多时候,我们知道有些网站或软件含有病毒,就不得不去访问。例如,测试病毒或特洛伊木马,或分析某些网站的恶意代码。对于这种“用自己的身体测试毒药”的操作,我们现在可以使用一些“沙盒”环境进行测试。
但需要注意的是,虽然以下保护方式可以保证关机后病毒不会残留在当前硬盘上,但在测试过程中病毒的实际功效并不会消失。比如盗日木马还是会盗号,如果此时登录游戏,游戏账号信息还是有可能被盗。因此,在测试过程中不要进行敏感操作,并采取相应的保护措施。
1.使用虚拟内存环境测试病毒
如果要在计算机上测试被感染的程序,为了避免病毒攻击当前系统,可以使用微软提供的UWF系统,类似于常见的影子系统。保护开启后,所有当前操作都会映射到内存,重启后,所有写操作都可以自动清除。
下载后,根据自己的系统类型进行选择,然后以管理员身份运行“Install.cmd”完成安装。然后,作为管理员,运行“打开UWF并添加分区保护”,打开本地c盘的保护措施。
图1打开驱动器保护
以上操作只是为了打开c盘的保护。如果您需要完全保护它,请使用UWF命令行来保护它。打开上述保护措施后,以管理员身份继续运行“查看状态”脚本,查看当前受保护的分区。
图2查看分区保护状态
上述操作完成后,所有当前操作写入都将映射到本地内存。比如安装的恶意软件看似安装在C:Program Files中,实际写入的数据却在内存中。由于内存中的数据在断电后无法保存,所有安装的恶意软件只有在重启后才能删除,不会对当前系统造成任何损害。
2.使用沙盒测试受感染的网站
UWF保护操作非常简单,但是因为当前写操作是针对当前内存的,所以需要很高的内存容量,更适合恶意程序的安装和测试。对于内存小的用户,如果要测试被感染的网站,我们也可以使用沙盒沙盒进行保护。沙盒模拟当前系统中对应的目录,当前写操作指向虚拟目录。这样恶意代码只在模拟的沙箱环境中加载,退出沙箱后可以恢复正常。
启动程序后点击“沙盒→默认框→在沙盒中运行→运行网页浏览器”,让启动的IE浏览器在沙盒中运行。
图3将一个程序添加到沙箱中运行
启动IE浏览器后,可以切换到沙盒,点击“文件→检查窗口是否在沙盒中运行”,在弹出窗口中将十字图标移动到IE的标题栏。此时会显示当前程序在沙盒中运行,说明IE已经在沙盒保护下了。
图4检查程序是否是沙箱化的
比如你现在访问IE中有恶意代码的网页,下载的木马和恶意代码会保存在沙盒虚拟目录中。测试完成后随时点击“文件→终止所有程序”,这样沙箱中存储的所有恶意代码都会被自动清除。
3.致力于创建一个专门的测试系统进行测试
虽然UWF和沙盒保护很简单,但它们也有许多缺点。前者对内存要求高,后者与很多程序存在兼容性问题。对于经常需要检测的疾病,也可以利用VHD创建一个差分系统,为当前系统创建一个子系统,这样在检测后删除该子系统后,病毒就可以被完全删除。VHD差动系统是一个完整的系统,可以有效地解决上述两种保护方式的缺点。
首先启动VHDX_OneKey,点击“创建VHD→VHDX”,按照提示创建VHD系统。完成VHD系统的创建后,切换到“差异→VHD/VHDX”,选择“创建差异磁盘,添加差异磁盘并快速恢复到BCD”,并根据提示创建差异系统。
