即使恶意软件分析不是你的第一职业，你偶尔也会想知道你桌面上不熟悉的恶意可执行软件的属性。行为分析观察与文件系统、注册表和网络相合的样本。使用行为分析开始调查可以快速产生有用的结果。Vmware等虚拟化软件在这个过程中可以起到不可思议的作用。

　　使用Vmware分析恶意软件的优势

　　Vmware允许模仿多个电脑在单个物理系统上同时运行。和使用清晰物理架构组件的实验室相比，使用这种方法进行恶意软件行为分析存在以下优势：

• 在分析实验室中有几个系统非常有很多好处，这样恶意软件可以和模拟互联网的组件相互作用。有了VMware，就可以建立多组件的实验室，而不需要笨重的多个物理计算机。
• 可以在感染之前，对系统转态进行快照，并在分析中进行定期快照，这样可以节约时间。这种功能提供了一种简单的方式，可以几乎马上恢复到想要的系统状态。VMware使用整合的快照功能简化了这项特征。VMware Server是一种免费产品，只支持一种快照。VMware Player也是免费的，就完全不可以使用快照。
• VMware的主机网络很方面和使用没有硬件的模拟网络的虚拟系统互相连接。这种设置也可以降低分析师被引诱把实验环境连接到产品网络的可能性。在混乱的情况下，主机网络允许任何虚拟系统查看所有模拟网络上的流量。这样对样本的网络活动的监控就很容易。

　　开始VMware恶意软件分析

　　准备VMware分析实验室很简单。需要带有足够RAM和磁盘空间的系统作为物理主机。还需要必备的软件：VMware Workstation或者Server，以及在实验室中配置操作系统的安装媒体。

　　VMware可以模拟电脑硬件，所以必须在每个虚拟主机上安装操作系统，而这些虚拟主机都是使用VMware的新型Virtual Machine Wizard创建的。一旦创建了操作系统，就可以安装VMware工具包，它可以在VMware内部优化系统操作。然后安装合适的恶意软件分析软件。

　　我建议在实验室中使用不用操作系统的虚拟机，每个都代码恶意软件可能会攻击的操作系统。这样可以观察本地环境中的恶意项目。如果使用VMware Workstation。就需要在安全更新安装过程中，在虚拟系统的不同点进行快照，这样就可以在想要的补丁层分析恶意软件

　　保护产品系统的安全

　　当处理恶意软件的时候，采取一些预防措施，不要影响到产品系统。这样的泄漏可能在恶意软件处理不合适或者样本攻击VMware设置或者从电脑中逃逸的时候发生。在VMware中已经公布了一些漏洞，而这些漏洞在理论上可以允许恶意代码从虚拟系统中找到进入物理主机的方法（PDF）。

　　下面是减轻这些风险的方法：

• 保持VMware安全补丁的及时更新。
• 把物理主机完全用于VMware实验室；不要用于其它目的。
• 不要把物理实验室系统和产品网络连接。
• 使用主机软件检测软件（IDS）监控物理主机，例如文件完整性检查器。
• 定期使用纯系化软件重新给物理主机作图，例如Norton Ghost。如果这种选择太慢，查看硬盘模块，例如Core Restore，取消对系统转态的改变。

　　使用VMware进行恶意软件的分析的挑战之一恶意代码可以检测到是否是在虚拟机中运行，这将表明样本已经被分析了。如果不能修改样本代码，排除这项功能，就需要重新配置VMware，使其更稳定。去年，Tom Liston和Ed Skoudis提供了一些VMware .vmx文件设置，可以插入帮助完善。这些设置的最大问题是他们可能降低虚拟系统的性能。还需要注意他们不是VMware所支持的。

　　虚拟化选择和策略

　　当然，Vmware不是可以用于分析恶意软件的虚拟软件的唯一选择。常见的替代品包括Microsoft Virtual PC和Parallels Workstation。

　　虚拟化软件提供了一种简便省时的建立恶意软件分析环境的机制。只要确保建立必须的控制，阻止恶意软件从实验环境中逃逸。在调整良好的实验室中，可以最大程度的使用你的恶意软件分析技巧。