3.2 创建虚拟机慕课视频播放-计算机病毒分析（慕课）-MOOC慕课视频教程-柠檬大学

3.2知识点：创建恶意代码分析机

在使用一个虚拟机进行恶意代码分析之前，你首先需要创建一个虚拟机。VMware提供了流行的虚拟化产品系列，可用于在虚拟机中分析代码。当面临一些选项时，最好的做法是选择默认的硬件配置。在选择磁盘驱动大小时，需要根据自己的需求。

VMware软件会智能地使用磁盘空间，并且会根据你的存储需求，动态调整虚拟磁盘的大小。例如，若你创建了一个20GB的硬盘，但只在上面存储了4GB数据，VMware会相应地缩小虚拟硬盘文件的大小。开始时，一个20GB大小的虚拟驱动器就可以了。这一数额应该足以存放客户机操作系统和任何在恶意代码分析过程中可能用到的工具。’VMware将为你做出很多的选择，在大多数情况下，这些选择都能正常工作。

接下来，你将需要安装操作系统和应用程序。大多数恶意代码与恶意代码分析工具都在Windows上运行，所以你很可能需要安装一个虚拟的Windows操作系统。截至撰写本书时，Windows XP仍然(令人惊讶)是最流行的操作系统和大多数恶意代码的目标。因此我们将以Windows XP作为平台进行探索。

在你安装完操作系统之后，你可以安装任何所需的应用程序。当然你也可以以后随时安装所需的应用程序，但通常在刚开始时创建一个比较完备的环境，是个很好的主意。我们在附录B中给出了一个推荐使用的恶意代码分析应用程序列表。如OllyDbg，Process Monitor，RegShot。

再接下来，你需要安装VMware tools。从VMware菜单中，选择虚拟机（VM）→安装VMware tools（Install Vmware Tools）。VMware tools会让鼠标和键盘的响应变得更敏捷。还允许访问共享文件夹，进行拖放式文件传输。

2. 断开网络

当需要断开虚拟机的网络连接时，可以从虚拟机中移除网络适配器，或者选择虚拟机（VM）→移除设备（removable devices），将网络适配器从网络上断开。

在虚拟机启动的时候，通过勾选配置对话框中的Connect at power on 复选框来控制网络适配器是否自动连接。

2.1．让恶意代码连接到互联网

将VMware虚拟机连接到互联网最普遍的方式，是使用桥接模式网络适配器，他允许虚拟机与物理机器一样连接到相同的物理网卡上。

另一种将虚拟机连接到互联网的方法是使用VMware的网络地址转换（NET）模式。NET模式会共享宿主机与互联网之间的IP连接。宿主机像是一个路由器，负责对所有来自虚拟机的连接进行翻译，让他们看起来就是从宿主机的IP地址发出的一样。这种模式在宿主机连接网络而虚拟机难以获得配置连接到同一网络的场景下非常有用。

3.创建主机模式网络

主机模式（Host-only）网络，可以在宿主操作系统和客户操作系统之间创建一个隔离的私有局域网，在进行恶意代码分析时，这是通常采取的联网方式。主机模式的局域网并不会连接到互联网，这意味着恶意代码会被包含在你的虚拟机里，同时也允许某些网络连接。

下图展示了主机模式的网络配置情况。当启用主机模式网络时，VMware将在宿主计算机和虚拟机中都创建一个虚拟网络适配器，然后将他们进行连接，而与宿主的物理网络适配器没有任何关联。宿主计算机的物理网络适配器仍然连接到互联网或其他外部网络。

使用多个虚拟机

这种配置要求多个虚拟机通过一个私有局域网进行连接，但是断开这个局域网和互联网以及宿主主机的连接，这样恶意代码可以连接到网络，但这个网络不会连接到任何业务主机。

一个虚拟机可以用来运行恶意代码，第二个虚拟机用来提供一些必要的网络服务。两个虚拟机被连接到同一个VMNet虚拟交换机上，在这种情况下，宿主主机仍然连接到外部网络，但并没有连接恶意代码运行的虚拟机。

将多个虚拟机进行分组。将虚拟机加入分组后，可以统一地管理他们的电源和联网设置。要创建一个新的虚拟机分组，只需要选择File→New→Team菜单项。