2007年07月30日 05時00分 公開
特集/連載

マルウェア解析に威力を発揮するVMware仮想解析ラボの構築とそのポイント

マルウェアがファイルシステムやレジストリ、ネットワークに、どのような作用を及ぼすかを観察するには、VMwareのような仮想化ソフトウェアでラボ環境を作るのが手軽だ。

[Lenny Zeltser,TechTarget]

 マルウェア解析の専門家でなくても、自分のマシンに侵入しようとしてきた未知の悪意ある実行可能コードについて、正体を突き止めてやろうと思うことがあるかもしれない。挙動解析により、その代物がファイルシステムやレジストリやネットワークに、どのような作用を及ぼすかを観察することから調査を始めると、すぐに有益な成果が得られる。VMwareのような仮想化ソフトウェアは、このプロセスに実に役立つ。

VMwareを使ったマルウェア解析のメリット

 VMwareを使えば、1台の物理システム上で同時に複数のコンピュータを稼働させ、マルウェアの挙動をシミュレートできる。マルウェアの挙動解析のためのこのアプローチには、複数の別個の物理インフラ要素を使ってラボ環境を作る方法と比べて、幾つかのメリットがある。

  • 解析用のラボ環境では、インターネットをシミュレートしたネットワークのさまざまな要素にマルウェアが作用を及ぼすことができるように、複数のシステムを用意しておくことが有益な場合が多い。VMwareでは、大量の物理マシンがなくても、多数の要素を持つラボ環境を構築できる
  • マルウェアが感染する前のシステム状態のスナップショットを作成し、解析期間を通じて定期的にスナップショットを作成できれば、時間の節約になる。スナップショットにより、システムをほぼ瞬時に目的の状態に簡単に戻せるからだ。VMwareはこのスナップショット機能を備えており、便利だ。商用製品のVMware Workstationでは、複数のスナップショットを作成できる。無料のVMware Serverではスナップショットを1つだけ作成でき、無料のVMware Playerでは作成できない
  • VMwareのホストオンリーモードのネットワーキングオプションは、ハードウェアを追加することなく、シミュレートされたネットワークを使って、仮想システムを相互接続できるという点で便利だ。また、このオプションのおかげで、アナリストにとって、ラボ環境を実運用ネットワークに接続するという選択肢は、ほとんど不要になる。ホストオンリーネットワークでは、どの仮想システムも、プロミスキャスモードで動作させれば、シミュレートされたネットワーク上のすべてのトラフィックを見ることができる。このため、ネットワークに対するマルウェアの作用を簡単に監視できる

VMwareを使ったマルウェア解析の開始

ITmedia マーケティング新着記事

news030.jpg

コンテンツSEOでやらかしてしまいがちな3つの勘違い
ITmedia マーケティングで2021年3月に連載して多くの反響をいただいた「勘違いだらけのEC...

news158.jpg

「リベンジ消費」は限定的、コロナ禍以前の状態に完全に戻ると考える人はわずか25%――野村総合研究所調査
コロナ禍が収束した場合の生活者の消費価値観や生活行動はどうなるのか。野村総合研究所...

news176.jpg

Teslaが成長率1位、LVMHグループ5ブランドがランクイン 「Best Global Brands 2021」
毎年恒例の世界のブランド価値評価ランキング。首位のAppleから10位のDisneyまでは前年と...