好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 domine 于 2015-2-14 02:39 编辑
【前言】
刚刚看了@ioio_jy大大的病毒木马查杀第001篇:基本查杀理论与实验环境配置,我觉得讲得十分有道理。作为一个病毒分析的新手,我也想谈谈我的心得。也算对之前文章的一个小小补充 ……… ^.^
【网络环境的配置】
在做分析前,我们肯定要搭建一个安全的运行环境如虚拟机从而将病毒与外界完全隔离开来。但很多病毒需要链接网络才能触发特定的行为。在断网模式下,病毒很可能保持静默或者做一些无关紧要的事来迷惑我们。然而在不了解病毒之前直接把病毒接入互联网是非常危险的。原因有 1. 自己的主机以及网内的设备都会暴露在感染中。2.该虚拟机可能变成黑客所操控的僵尸机来执行DOS(Denial-of-service)攻击或干脆进行spamming。3. 我们不想让黑客知道我们在解剖他的病毒。 因此我们需要在虚拟机之间搭建一个假的网络环境来骗骗病毒。本文用VMware Workstation做示范。
下图是我做病毒分析的一组虚拟机。虚拟机之间互相连接但不连主机和因特网。其中Ubuntu和Windows Server 2008用作服务器。
VMs
配置步骤如下:
一、 在VMware Workstation中的菜单栏里选 编辑 -> 虚拟网络编辑器 -> 添加网络 然后选一个没用过的网络点确定,我选的是7。
二、 注意对照下图的选项,DHCP的设置根据需求可以调成自己喜欢的我这里用默认的。
三、把每个虚拟机的网络都设置为刚刚自定义的网路。
四、服务器的配置:打开安装好的Ubuntu并用ifconfig命令在terminal中查看并记住该机的IP地址
linuxIP
五、安装inetsim. inetsim是专门为病毒分析开发的一个服务器。它可以提供大部分的网络协议和服务并且将它们很真实的模拟出来。 安装及配置请移步这里https://techanarchy.net/2013/08/installing-and-configuring-inetsim/ 注意下 1. inetsim的安装、配置和运行都需要root权限 2. 安装完要把默认的回传地址改为本机的IP(教程里都有)
六、装完后运行一下。我们的假服务器开始监听端口咯~
inetsim
七、现在我们来配置客户端. 首先我们来设置DNS. 首选DNS设置成回传地址,备用DNS设置成刚Ubuntu服务器的IP。PS: Win7下本地DNS服务器软件ApateDNS运行正常但在XP下就不兼容了不过还好强大的inetsim提供DNS服务 (有哪位大大有xp版的麻烦发下 T.T )
winIPconfig
八、在ApteDNS里设置解析后的IP为我们Ubuntu服务器的IP然后运行它。这样病毒都会去连接我们的假服务器。网址打不开的同学请戳这里下载
ApateDNS.zip
(238.76 KB, 下载次数: 99)
ApateDNS
九、到这里就基本上大功告成啦。 接下来我们到浏览器里随便输入个URL
诺,假服务器会返回给我们一个假的文件~
Thanks for watching!
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2015-2-14 10:26
|
发表于 2015-11-17 20:48
