マルウェア解析に威力を発揮するVMware仮想解析ラボの構築とそのポイント

マルウェアがファイルシステムやレジストリ、ネットワークに、どのような作用を及ぼすかを観察するには、VMwareのような仮想化ソフトウェアでラボ環境を作るのが手軽だ。

2007年07月30日 05時00分 公開
[Lenny Zeltser,TechTarget]

 マルウェア解析の専門家でなくても、自分のマシンに侵入しようとしてきた未知の悪意ある実行可能コードについて、正体を突き止めてやろうと思うことがあるかもしれない。挙動解析により、その代物がファイルシステムやレジストリやネットワークに、どのような作用を及ぼすかを観察することから調査を始めると、すぐに有益な成果が得られる。VMwareのような仮想化ソフトウェアは、このプロセスに実に役立つ。

VMwareを使ったマルウェア解析のメリット

 VMwareを使えば、1台の物理システム上で同時に複数のコンピュータを稼働させ、マルウェアの挙動をシミュレートできる。マルウェアの挙動解析のためのこのアプローチには、複数の別個の物理インフラ要素を使ってラボ環境を作る方法と比べて、幾つかのメリットがある。

  • 解析用のラボ環境では、インターネットをシミュレートしたネットワークのさまざまな要素にマルウェアが作用を及ぼすことができるように、複数のシステムを用意しておくことが有益な場合が多い。VMwareでは、大量の物理マシンがなくても、多数の要素を持つラボ環境を構築できる
  • マルウェアが感染する前のシステム状態のスナップショットを作成し、解析期間を通じて定期的にスナップショットを作成できれば、時間の節約になる。スナップショットにより、システムをほぼ瞬時に目的の状態に簡単に戻せるからだ。VMwareはこのスナップショット機能を備えており、便利だ。商用製品のVMware Workstationでは、複数のスナップショットを作成できる。無料のVMware Serverではスナップショットを1つだけ作成でき、無料のVMware Playerでは作成できない
  • VMwareのホストオンリーモードのネットワーキングオプションは、ハードウェアを追加することなく、シミュレートされたネットワークを使って、仮想システムを相互接続できるという点で便利だ。また、このオプションのおかげで、アナリストにとって、ラボ環境を実運用ネットワークに接続するという選択肢は、ほとんど不要になる。ホストオンリーネットワークでは、どの仮想システムも、プロミスキャスモードで動作させれば、シミュレートされたネットワーク上のすべてのトラフィックを見ることができる。このため、ネットワークに対するマルウェアの作用を簡単に監視できる

VMwareを使ったマルウェア解析の開始

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news055.jpg

トランプ大統領にすり寄ってMetaが期待する「ごほうび」とは?
Metaが米国内でファクトチェックを廃止し、コミュニティノート方式へ移行する。その背景...

news121.jpg

「ファクトチェック廃止」の波紋 Metaにこれから起きること
Metaがファクトチェックの廃止など、コンテンツに関するいくつかの重要なルール変更を行...

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年1月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...