ВVMware также есть захват видеовывода, но функция записи/воспроизведения

вто же время выполняет процессорные инструкции ОС и программ. В отличие от видеорежима, вы можете в любой момент вмешаться в процесс выполнения и начать взаимодействовать с компьютером, внося изменения внутри виртуальной машины. Например, если вы сделали ошибку в программе, у которой нет функции отмены, вы можете вернуть виртуальную машину к состоянию, предшествовавшему ошибке, и все исправить.

По мере знакомства с новыми инструментами вы изучите множество разных действенных способов применения записи/воспроизведения. Мы еще вернемся к этой функции в главе 8.

Итоги главы

Выполнение и анализ вредоносного ПО с помощью VMware и виртуальных машин состоит из следующих этапов.

1.Все начинается с исходного снимка, не содержащего вредоносных программ.

2.Вредонос переносится в виртуальную машину.

3.В рамках виртуальной машины выполняется анализ.

4.Мы делаем заметки, снимки экрана и переносим данные из виртуальной системы в основную.

5.Виртуальная машина возвращается к исходному снимку.

С выходом новых и обновлением существующих инструментов для анализа вредоносного ПО вам придется обновлять свой базовый снимок. Просто установите новые инструменты и обновления и затем сохраните текущее состояние.

Чтобы проанализировать поведение вредоноса, его необходимо запустить. При этом следует быть осторожными, чтобы не заразить собственные компьютеры или сети. VMware позволяет запускать вредоносные программы в безопасной, управляемой среде и предоставляет инструменты, необходимые для уничтожения вредоносов после завершения анализа.

Обсуждая в этой книге запуск вредоносного ПО, мы будем полагать, что этот процесс происходит внутри виртуальной машины.