吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11378|回复: 7
收起左侧

[PC样本分析] 浅谈病毒分析中的虚拟网络环境配置

  [复制链接]
domine 发表于 2015-2-14 10:26
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 domine 于 2015-2-14 02:39 编辑

【前言】
刚刚看了@ioio_jy大大的病毒木马查杀第001篇:基本查杀理论与实验环境配置,我觉得讲得十分有道理。作为一个病毒分析的新手,我也想谈谈我的心得。也算对之前文章的一个小小补充 ………   ^.^


【网络环境的配置】

在做分析前,我们肯定要搭建一个安全的运行环境如虚拟机从而将病毒与外界完全隔离开来。但很多病毒需要链接网络才能触发特定的行为。在断网模式下,病毒很可能保持静默或者做一些无关紧要的事来迷惑我们。然而在不了解病毒之前直接把病毒接入互联网是非常危险的。原因有 1. 自己的主机以及网内的设备都会暴露在感染中。2.该虚拟机可能变成黑客所操控的僵尸机来执行DOS(Denial-of-service)攻击或干脆进行spamming。3. 我们不想让黑客知道我们在解剖他的病毒。 因此我们需要在虚拟机之间搭建一个假的网络环境来骗骗病毒。本文用VMware Workstation做示范。


下图是我做病毒分析的一组虚拟机。虚拟机之间互相连接但不连主机和因特网。其中Ubuntu和Windows Server 2008用作服务器。

VMs

VMs


配置步骤如下:

一、 在VMware Workstation中的菜单栏里选 编辑 -> 虚拟网络编辑器 -> 添加网络 然后选一个没用过的网络点确定,我选的是7。
QQ截圖20150214005633.png


二、 注意对照下图的选项,DHCP的设置根据需求可以调成自己喜欢的我这里用默认的。
QQ截圖20150214005633.png


三、把每个虚拟机的网络都设置为刚刚自定义的网路。
QQ截圖20150214005633.png


四、服务器的配置:打开安装好的Ubuntu并用ifconfig命令在terminal中查看并记住该机的IP地址

linuxIP

linuxIP


五、安装inetsim. inetsim是专门为病毒分析开发的一个服务器。它可以提供大部分的网络协议和服务并且将它们很真实的模拟出来。 安装及配置请移步这里https://techanarchy.net/2013/08/installing-and-configuring-inetsim/ 注意下 1. inetsim的安装、配置和运行都需要root权限 2. 安装完要把默认的回传地址改为本机的IP(教程里都有)

六、装完后运行一下。我们的假服务器开始监听端口咯~

inetsim

inetsim


七、现在我们来配置客户端. 首先我们来设置DNS. 首选DNS设置成回传地址,备用DNS设置成刚Ubuntu服务器的IP。PS: Win7下本地DNS服务器软件ApateDNS运行正常但在XP下就不兼容了不过还好强大的inetsim提供DNS服务 (有哪位大大有xp版的麻烦发下 T.T )

winIPconfig

winIPconfig


八、在ApteDNS里设置解析后的IP为我们Ubuntu服务器的IP然后运行它。这样病毒都会去连接我们的假服务器。网址打不开的同学请戳这里下载 ApateDNS.zip (238.76 KB, 下载次数: 99)

ApateDNS

ApateDNS


九、到这里就基本上大功告成啦。 接下来我们到浏览器里随便输入个URL

QQ截圖20150214005633.png


诺,假服务器会返回给我们一个假的文件~


Thanks for watching!

免费评分

参与人数 4热心值 +4 收起 理由
danieltsing + 1 我很赞同!
willJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
blland + 1 谢谢@Thanks!
william2568 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

L_world 发表于 2015-4-29 16:55
本帖最后由 L_world 于 2015-4-29 17:30 编辑

apatedns 需要.net 环境
william2568 发表于 2015-2-14 10:46
dingk 发表于 2015-3-26 21:46
很好,我之前对于需要访问网络的,都把访问指向了另一个虚拟机,但是没有安装服务。大神的这个思路很好,等网速好的时候下载个Ubantu和inetsim,不行就直接装kali上了
MOran46 发表于 2015-10-17 19:02
Ubuntu安装inetsim不成功,求指导啊求指导..求私信..
danieltsing 发表于 2015-11-14 00:49
根据3L的提示,发现在xp里运行apdateDNS需要安装.net3.5, 4.0不行。
 楼主| domine 发表于 2015-11-17 20:48
MOran46 发表于 2015-10-17 11:02
Ubuntu安装inetsim不成功,求指导啊求指导..求私信..

https://techanarchy.net/2013/08/installing-and-configuring-inetsim
这里面说的很清楚了
 楼主| domine 发表于 2015-11-17 20:49
danieltsing 发表于 2015-11-13 16:49
根据3L的提示,发现在xp里运行apdateDNS需要安装.net3.5, 4.0不行。

谢谢补充 :)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 03:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表