악성코드 분석을 위한 첫단계, VMWare 설치후 가상머신을 실행하기까지 큰 고비를 겪었다..
설치 버전은 VMware16 버전에, 로컬 환경은 다음과 같다.
os : win11 pro
cpu : i5-12800k
vmware 설치는 무난했으나,, win7x32 및 win10x32 ios 를 임포트하고, 머신을 power on 하면,, vcpu-0 에러가 발생하며 바로 종료되던가, 부팅까지 됐으나, 스냅샷을 찍으면 동일한 에러가 뜨며 종료되는 현상.
인터넷에 검색된 에러 해결방법은 모두 시도하였지만 해결되지 않았고, 3일 고생끝에 새로운 방법을 발견하였다.
시도했던 방법들을 나열하면 다음과 같다.
1. 하이퍼바이져 관련 모두 off
ㄴ vmware와 충돌문제로 off시켜 준다
2. 메모리무결성 off
ㄴ보안관련 기능 off
3. 바이어스 VT-x on
ㄴ 인텔가상화기술로 vm이 cpu 자원을 빠르게 사용할 수 있게 만들어준 기술
4. vm 하드웨어옵션 VT-x 체크
ㄴ vmware에서 VT-x 옵션제어 *에러발생
5. 가상머신 메모리 사양 조정
ㄴ Memory, Processor, cores 수 조정 ..
6. intel cpu Ecore 비활성화
ㄴ Ecore 활성화되면 성능저하 될수 있다하여..
7. Vm 버젼 다운/업그레이드 (업그레이드 시도 전에 새로 발견한 방법으로 문제 해결)
등등...
위 과정을 수행하는 도중 포인트는, vm 하드웨어옵션에서 VT-x 를 체크하는 부분에서 발생했다.
분명, 체크까지는 되는데, 체크후 vm을 켜면 VT-x를 활성화 할수 없다고 뜬다.. 분명 바이어스에서 VT-x를 활성화 했는데... 이상해서 윈도우즈 시스템 정보를 통해 VT-x 관련 상태를 확인해 보았다.
cmd창에서 msinfo32 > 윈도우즈 시스템 정보 도구가 뜬다.
시스템 요약 페이지에서 하드웨어 가상화(VT-x)는 사용중임을 확인, 그런데 VBS 가상화 기반 보안이 사용중임을 발견하였다.
이 기능이 활성화, 또는 사용중이면, VMware가 VT-x를 사용하지 못한다고..
해결방법 : 그룹 정책 편집기에서 VBS 비활성화
- Win + R → gpedit.msc 실행
- 아래 경로로 이동:
- 오른쪽에서 "가상화 기반 보안 사용" 더블 클릭
- **"사용 안 함"**으로 설정 후 적용
- 재부팅
==> 보통 메모리 무결성 을 끄면 VBS가 꺼지는 경우가 많다고 한다.. 그러나 내 PC에서는 그룹정책 편집기까지 들어가서 옵션을 제어 해 줬었어야만 했다..
'정보보안 > 악성코드 분석가' 카테고리의 다른 글
| [PE파일 분석 실습] 악성 데이터를 리소스섹션에 임베드한 MW분 (0) | 2025.04.29 |
|---|---|
| [PE파일 분석 실습] 프로세스 인젝션을 수행하는 MW 분석 (0) | 2025.04.28 |
| 악성코드(Malware) 주요 행위 분석 및 개념 (0) | 2025.04.06 |
| PE 파일 분석 개요 (1) | 2025.03.30 |
| 악성코드 유형 (0) | 2025.03.16 |
