怎么“安全”地运行带有恶意行为的程序?

查看 54|回复 4
作者:peeves   
事情的起因是家属玩 MMO 手游,需要在电脑上多开挂机,并已管理员权限运行一些挂机脚本。这些脚本程序我丢到线上的分析引擎一看,第一件事就是检测当前运行环境是否在虚拟机,第二件事就直奔 Cookie 去了,后面还有一堆的可疑行为。
劝说家属无果后开始想办法。先是在 Hyper-V 开了个虚拟机并开启了嵌套虚拟化,结果游戏显示不允许运行在虚拟机环境。后又尝试了 VMWare 虚拟机,按照网上能搜到的一些去虚拟化特征的教程做了处理,结果还是被游戏厂商检测出在虚拟机环境运行。考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测,遂来网上求助。
我自己能想到的方案就只有:
[ol]
  • 沙盒同时运行游戏和脚本;
  • 想办法给脚本程序降权运行(可能会导致程序拒绝正常运行);
  • 搞一个廉价机器专门多开挂机用。
    [/ol]
  • povsister   
    mmo 那堆东西现在老古董很多啊,随便配台二奶机,内网隔离下随便造
    ysc3839   
    检测虚拟机的话那没啥办法,单独买台机子跑吧。
    沙盒的话,Sandboxie 之前的版本是不限制读取数据的,只是限制写入,安全性不足。新版本是否支持限制读取我不知道。
    drymonfidelia   
    只有 3 ,还要隔离好内网
    这些脚本有可能虚拟化逃逸,别低估黑产的技术,钱够多什么买不到
    0o0O0o0O0o   
    先说结论:无解
    > 1. 沙盒同时运行游戏和脚本;
    > 3. 搞一个廉价机器专门多开挂机用。
    没有安全意识的人,也许不会搜索学习怎么开启保护措施,但搜索学习怎么关闭保护措施那叫一个熟练,机器隔离也一定会给这些人带来各种不便利,为了方便这些人会主动破坏隔离;
    > 考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测
    > 2. 想办法给脚本程序降权运行(可能会导致程序拒绝正常运行);
    虽然你一直说是脚本程序,但我估计也是有编译好的 PE 文件,别人加个壳,你想到的 2 未必就比你无力对抗的虚拟机检测简单;
    简单说就是技术上肯定有解,结合到个人,无解,要怪就怪 Windows 吧
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部