Инструментарий хакера

Крис Касперски аkа мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-080-2

Объем физического жесткого диска в общем-то некритичен. Виртуальные машины создаются отнюдь не для накопления данных и за редким исключениям не содержат ничего, кроме операционной системы в типичном варианте поставки и джентльменского набора сопутствующих ей приложений, что в совокупности отнимает не более гигабайта дискового пространства. Причем ни один из известных мне эмуляторов не требует непосредственного доступа к физическому жесткому диску. Вместо этого образ виртуального винчестера размещается в обыкновенном файле, полностью подчиняющемся хозяйской операционной системе.

Виртуальные диски бывают, по меньшей мере, двух типов: фиксированные и динамические. При создании фиксированного диска эмулятор сразу же "растягивает" файл-образ на весь требуемый объем, даже если тот не содержит никакой полезной информации. Динамические диски, напротив, хранят в образе лишь реально задействованные виртуальные сектора, увеличивая объем образа по мере его заполнения актуальными данными. Вместо того чтобы поровну дробить свой физический жесткий диск между виртуальными машинами, можно выделить каждой из них практически все свободное физическое пространство. Но это кажущаяся простота. Производительность динамических дисков намного ниже, чем фиксированных! Также они подвержены внутренней фрагментации (не путать с фрагментацией файла-образа и фрагментацией эмулируемой файловой системы). И хотя некоторые из эмуляторов, в частности VMWare, содержат встроенные дефрагментаторы, это не решает проблемы. К тому же, формат динамических дисков не стандартизован и образы различных эмуляторов категорически не совместимы друг с другом.

Остальное оборудование может быть любым – это на скорость эмуляции практически никак не влияет.

Эмулятор для себя

При выборе подходящего эмулятора хакеры обычно руководствуются следующими критериями: защищенностью, расширяемостью, открытостью исходных текстов, качеством и скоростью эмуляции, наличием встроенного отладчика и гибкостью механизмов работы со snap-shot'ами.

Защищенность

Запуская агрессивную программу на эмуляторе, очень сложно отделаться от мысли, что в любой момент она может выйти из-под контроля, оставляя за собой длинный шлейф разрушений. Эти опасения вполне обоснованны. Многие из эмуляторов (DOS-BOX, Virtual PC) содержат "дыры", позволяющие эмулируемому коду напрямую обращаться к памяти самого эмулятора. Например, вызывать от его имени и с его привилегиями произвольные API-функции хозяйской операционной системы :). Однако "пробить" эмулятор может только специальным образом спроектированная программа, так что при всей теоретической обоснованности угрозы вероятность ее практической реализации близка к нулю – эмуляторы не настолько популярны, чтобы агрессоры взялись за них всерьез.