Иногда при изучении компьютерных вирусов требуется отключить синхронизацию времени. Дело в том что некоторые экземпляры malware работают в пределах небольшого промежутка времени, к примеру 3 недели. Нам бы хотелось перед выпуском лекарства суметь за это время изучить работу файла достаточно хорошо, иногда этого промежутка времени может быть мало.
Для этого нужно выполнить несколько действий:
Процесс "заморозки" виртуалки сводится к след. действиям:
- Найти в папке с виртуалке *.vmx файл и поправить его(см. ниже)
- Запустить VmWare открыть виртуалку и в ее настройках сменить тип сети на Host-Only
- Стартовать виртуалку, но зайти в ее BIOS и поменять на требуемую дату
Вот требуемые данные, которые должны быть в vmx-файле:
tools.syncTime = "FALSE"
time.synchronize.continue = "FALSE"
time.synchronize.restore = "FALSE"
time.synchronize.resume.disk = "FALSE"
time.synchronize.shrink = "FALSE"
time.synchronize.tools.startup = "FALSE"
time.synchronize.tools.enable = "FALSE"
time.synchronize.resume.host = "FALSE"
NB: Настройка "tools.syncTime" возможно уже будет в vmx-файле и нужно будет убедиться что она задана как FALSE.
Если уже имеется виртуалка, но неизвестно на какую дату нужно откатиться, то можно предпринять следующее:
- Сделайте копию виртуалки. Не потеряйте оригинал виртуалки!
- Запустите копию виртуалки
- Запомнить\Записать на листочке время последнего доступа к системным файлам
- Убедиться что разница между временем последнего доступа к системным файлам и временем установки файлов продукта не выходит за рамки триального срока
- Удалите копию виртуалки.
- Начните замораживать виртуалку работая с оригиналом виртулки.
- Откатывайтесь на время последнего доступа к системным файлам
P.S.:
Сообщения
Комментариев нет:
Отправить комментарий