V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
peeves
V2EX  ›  Windows

怎么“安全”地运行带有恶意行为的程序?

  •  
  •   peeves · 135 天前 · 2734 次点击
    这是一个创建于 135 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情的起因是家属玩 MMO 手游,需要在电脑上多开挂机,并已管理员权限运行一些挂机脚本。这些脚本程序我丢到线上的分析引擎一看,第一件事就是检测当前运行环境是否在虚拟机,第二件事就直奔 Cookie 去了,后面还有一堆的可疑行为。
    劝说家属无果后开始想办法。先是在 Hyper-V 开了个虚拟机并开启了嵌套虚拟化,结果游戏显示不允许运行在虚拟机环境。后又尝试了 VMWare 虚拟机,按照网上能搜到的一些去虚拟化特征的教程做了处理,结果还是被游戏厂商检测出在虚拟机环境运行。考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测,遂来网上求助。

    我自己能想到的方案就只有:

    1. 沙盒同时运行游戏和脚本;
    2. 想办法给脚本程序降权运行(可能会导致程序拒绝正常运行);
    3. 搞一个廉价机器专门多开挂机用。
    第 1 条附言  ·  135 天前

    沙盒验证过也会导致游戏运行失败,那么其实剩下的选择不多。目前心里倾向于方案 3。因为不管是继续找虚拟机过检测方案还是约束恶意程序都涉及到与 “人” 的长期对抗,但是计算机安全不是我的兴趣也不是我的本业,在这里死磕有点不划算。

    19 条回复    2024-07-10 23:07:56 +08:00
    povsister
        1
    povsister  
       135 天前 via iPhone
    mmo 那堆东西现在老古董很多啊,随便配台二奶机,内网隔离下随便造
    ysc3839
        2
    ysc3839  
       135 天前
    检测虚拟机的话那没啥办法,单独买台机子跑吧。
    沙盒的话,Sandboxie 之前的版本是不限制读取数据的,只是限制写入,安全性不足。新版本是否支持限制读取我不知道。
    drymonfidelia
        3
    drymonfidelia  
       135 天前
    只有 3 ,还要隔离好内网
    这些脚本有可能虚拟化逃逸,别低估黑产的技术,钱够多什么买不到
    0o0O0o0O0o
        4
    0o0O0o0O0o  
       135 天前
    先说结论:无解

    > 1. 沙盒同时运行游戏和脚本;
    > 3. 搞一个廉价机器专门多开挂机用。

    没有安全意识的人,也许不会搜索学习怎么开启保护措施,但搜索学习怎么关闭保护措施那叫一个熟练,机器隔离也一定会给这些人带来各种不便利,为了方便这些人会主动破坏隔离;

    > 考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测
    > 2. 想办法给脚本程序降权运行(可能会导致程序拒绝正常运行);

    虽然你一直说是脚本程序,但我估计也是有编译好的 PE 文件,别人加个壳,你想到的 2 未必就比你无力对抗的虚拟机检测简单;

    简单说就是技术上肯定有解,结合到个人,无解,要怪就怪 Windows 吧
    levelworm
        5
    levelworm  
       135 天前
    能不能分享一下脚本?好奇是什么。
    kneo
        6
    kneo  
       135 天前
    手游在电脑上多开?电脑上运行的是 Windows 还是安卓程序?
    dode
        7
    dode  
       135 天前
    安装双系统,你的重要系统作为次启动,默认不进去
    VwEI
        8
    VwEI  
       135 天前
    试试那种能跑 CF 的虚拟机镜像,TP 能过这个应该也行吧
    peeves
        9
    peeves  
    OP
       135 天前
    @levelworm 就是天刀手游的自动挂机脚本,是一个 exe 可执行文件,有点不好传。
    peeves
        10
    peeves  
    OP
       135 天前
    @kneo 不好说,看着像是 Windows 程序,也可能是安卓虚拟机套壳套得不是十分明显。
    peeves
        11
    peeves  
    OP
       135 天前
    @dode 也是一个方法,那我估计还要写个脚本让重要系统的硬盘在启动后自动脱机。
    peeves
        12
    peeves  
    OP
       135 天前
    @VwEI 我找个试试
    paopjian
        13
    paopjian  
       135 天前
    1000 块买个 n 手电脑挂着去玩呗,都知道不安全了还敢用那就是无视风险继续访问, 哪天卡被人刷走了就开心了
    dode
        14
    dode  
       135 天前
    @peeves 设备管理器禁用就行了
    aladd
        15
    aladd  
       135 天前
    廉价的机器最安心,毒窝、养蛊都不怕
    keepRun
        16
    keepRun  
       134 天前
    闲鱼买二手电脑吧
    hgert
        17
    hgert  
       134 天前
    二手电脑装好系统后镜像一下方便日后重装
    cheese
        18
    cheese  
       133 天前
    二手电脑
    Kenshiro
        19
    Kenshiro  
       126 天前
    买个服务器
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5105 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:54 · PVG 11:54 · LAX 19:54 · JFK 22:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.