2007年07月30日 05時00分 公開
特集/連載

マルウェア解析に威力を発揮するVMware仮想解析ラボの構築とそのポイント

マルウェアがファイルシステムやレジストリ、ネットワークに、どのような作用を及ぼすかを観察するには、VMwareのような仮想化ソフトウェアでラボ環境を作るのが手軽だ。

[Lenny Zeltser,TechTarget]

 マルウェア解析の専門家でなくても、自分のマシンに侵入しようとしてきた未知の悪意ある実行可能コードについて、正体を突き止めてやろうと思うことがあるかもしれない。挙動解析により、その代物がファイルシステムやレジストリやネットワークに、どのような作用を及ぼすかを観察することから調査を始めると、すぐに有益な成果が得られる。VMwareのような仮想化ソフトウェアは、このプロセスに実に役立つ。

VMwareを使ったマルウェア解析のメリット

 VMwareを使えば、1台の物理システム上で同時に複数のコンピュータを稼働させ、マルウェアの挙動をシミュレートできる。マルウェアの挙動解析のためのこのアプローチには、複数の別個の物理インフラ要素を使ってラボ環境を作る方法と比べて、幾つかのメリットがある。

  • 解析用のラボ環境では、インターネットをシミュレートしたネットワークのさまざまな要素にマルウェアが作用を及ぼすことができるように、複数のシステムを用意しておくことが有益な場合が多い。VMwareでは、大量の物理マシンがなくても、多数の要素を持つラボ環境を構築できる
  • マルウェアが感染する前のシステム状態のスナップショットを作成し、解析期間を通じて定期的にスナップショットを作成できれば、時間の節約になる。スナップショットにより、システムをほぼ瞬時に目的の状態に簡単に戻せるからだ。VMwareはこのスナップショット機能を備えており、便利だ。商用製品のVMware Workstationでは、複数のスナップショットを作成できる。無料のVMware Serverではスナップショットを1つだけ作成でき、無料のVMware Playerでは作成できない
  • VMwareのホストオンリーモードのネットワーキングオプションは、ハードウェアを追加することなく、シミュレートされたネットワークを使って、仮想システムを相互接続できるという点で便利だ。また、このオプションのおかげで、アナリストにとって、ラボ環境を実運用ネットワークに接続するという選択肢は、ほとんど不要になる。ホストオンリーネットワークでは、どの仮想システムも、プロミスキャスモードで動作させれば、シミュレートされたネットワーク上のすべてのトラフィックを見ることができる。このため、ネットワークに対するマルウェアの作用を簡単に監視できる

VMwareを使ったマルウェア解析の開始

ITmedia マーケティング新着記事

news103.jpg

脱Cookie時代にデジタル広告が取り戻すべきものとは?
インターネット黎明期からデジタル広告の市場創造に携わってきた著者が今、気象データの...

news017.jpg

「ECプラットフォーム」 売れ筋TOP10(2022年8月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news052.jpg

メタバースが新たな戦場? コカ・コーラとペプシのライバル関係のこれからを占う
長年の間ライバル関係にある2つのブランドが、メタバースにおいて新たな局面を迎えている...