浅谈病毒分析中的虚拟网络环境配置
本帖最后由 domine 于 2015-2-14 02:39 编辑【前言】
刚刚看了@ioio_jy大大的病毒木马查杀第001篇:基本查杀理论与实验环境配置,我觉得讲得十分有道理。作为一个病毒分析的新手,我也想谈谈我的心得。也算对之前文章的一个小小补充 ……… ^.^
【网络环境的配置】
在做分析前,我们肯定要搭建一个安全的运行环境如虚拟机从而将病毒与外界完全隔离开来。但很多病毒需要链接网络才能触发特定的行为。在断网模式下,病毒很可能保持静默或者做一些无关紧要的事来迷惑我们。然而在不了解病毒之前直接把病毒接入互联网是非常危险的。原因有 1. 自己的主机以及网内的设备都会暴露在感染中。2.该虚拟机可能变成黑客所操控的僵尸机来执行DOS(Denial-of-service)攻击或干脆进行spamming。3. 我们不想让黑客知道我们在解剖他的病毒。 因此我们需要在虚拟机之间搭建一个假的网络环境来骗骗病毒。本文用VMware Workstation做示范。
下图是我做病毒分析的一组虚拟机。虚拟机之间互相连接但不连主机和因特网。其中Ubuntu和Windows Server 2008用作服务器。
配置步骤如下:
一、 在VMware Workstation中的菜单栏里选 编辑 -> 虚拟网络编辑器 -> 添加网络 然后选一个没用过的网络点确定,我选的是7。
二、 注意对照下图的选项,DHCP的设置根据需求可以调成自己喜欢的我这里用默认的。
三、把每个虚拟机的网络都设置为刚刚自定义的网路。
四、服务器的配置:打开安装好的Ubuntu并用ifconfig命令在terminal中查看并记住该机的IP地址
五、安装inetsim. inetsim是专门为病毒分析开发的一个服务器。它可以提供大部分的网络协议和服务并且将它们很真实的模拟出来。 安装及配置请移步这里https://techanarchy.net/2013/08/installing-and-configuring-inetsim/ 注意下 1. inetsim的安装、配置和运行都需要root权限 2. 安装完要把默认的回传地址改为本机的IP(教程里都有)
六、装完后运行一下。我们的假服务器开始监听端口咯~
七、现在我们来配置客户端. 首先我们来设置DNS. 首选DNS设置成回传地址,备用DNS设置成刚Ubuntu服务器的IP。PS: Win7下本地DNS服务器软件ApateDNS运行正常但在XP下就不兼容了不过还好强大的inetsim提供DNS服务 (有哪位大大有xp版的麻烦发下 T.T )
八、在ApteDNS里设置解析后的IP为我们Ubuntu服务器的IP然后运行它。这样病毒都会去连接我们的假服务器。网址打不开的同学请戳这里下载
九、到这里就基本上大功告成啦。 接下来我们到浏览器里随便输入个URL
诺,假服务器会返回给我们一个假的文件~
Thanks for watching!
本帖最后由 L_world 于 2015-4-29 17:30 编辑
apatedns 需要.net 环境 感谢大神的分析~ 很好,我之前对于需要访问网络的,都把访问指向了另一个虚拟机,但是没有安装服务。大神的这个思路很好,等网速好的时候下载个Ubantu和inetsim,不行就直接装kali上了 Ubuntu安装inetsim不成功,求指导啊求指导..求私信.. 根据3L的提示,发现在xp里运行apdateDNS需要安装.net3.5, 4.0不行。 MOran46 发表于 2015-10-17 11:02
Ubuntu安装inetsim不成功,求指导啊求指导..求私信..
https://techanarchy.net/2013/08/installing-and-configuring-inetsim
这里面说的很清楚了 danieltsing 发表于 2015-11-13 16:49
根据3L的提示,发现在xp里运行apdateDNS需要安装.net3.5, 4.0不行。
谢谢补充 :)
页:
[1]