吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 22708|回复: 35
收起左侧

Windows+VM安装zerowine

[复制链接]
roxiel 发表于 2009-12-28 18:25
本帖最后由 roxiel 于 2009-12-29 08:45 编辑

它是用来进行可疑行为分析的

一个封装好的Debian系统,我不藏私,这篇文章作为第二课

首先下载ZEROWINE的包,不要管是何种格式的 ,一般都是TAR.GZ

http://sourceforge.net/projects/zerowine


然后我们下载QEMU on Windows

下面的必须下载:

QEMU
http://www.h6.dion.ne.jp/~kazuw/qemu-win/qemu-0.9.0-windows.zip
KQEMU加速器
http://www.h6.dion.ne.jp/~kazuw/qemu-win/Kqemu-1.3.0pre11-install.exe


这俩直接在WINDOWS下安装,然后我们把ZEROWINE解压到C盘

1.jpg

我们这次是纯用WINDOWS下安装,所以只需要这个IMG文件



开始-运行-CMD下运行

qemu-img.exe convert c:\zerowine_vm\zerowine.img -O vmdk c:\zerowine_vm\zerowine.vmdk
转换成VMDK文件

然后我们创建虚拟机

2.JPG
3.JPG
4.JPG
Snap2.jpg
6.JPG
下图我只是举个例子。。千万别只是32MB啊,不然白装了,建议128MB-300MB,我家里装的是128MB的,暂时没有发现无法分析的状况
7.JPG
8.JPG

必须使用NAT,硬盘类型默认

下面使用已有的ZEROWINE.VMDK
Snap4.jpg
然后KEEP EXISTING FOMAT,保持格式
然后FINISH,打开电源


Snap5.jpg
哪个模式都可以 第二个是单用户

第一次会提示检查磁盘,用不了多久

就进去了,它自动启动ZEROWINE的服务

我们需要登录,
Snap6.jpg
用户名ROOT,密码zerowine
然后输入命令 dhclient
输入ifconfig,显示它的IP



最后切出虚拟机,打开浏览器输入 它的IP:8000访问
Snap7.jpg

上传可疑文件吧

结果分为四个部分

REPORT 值得仔细一读,当然值得忽略部分也比较多
这里是收集应用程序调用的API

Strings当然是我们最熟悉的字符串了



一般的可疑文件会有Signature ,

总之结果的4部分都可以深入的参考

8.jpg


但是网页有时候有点问题,多点几次就可以了



下一课,我们讲如何在UBuntu中安装zerowine,这样我们可以更安全地进行分析

这里留下一个作业:ZEROWINE安装完毕,    默认问号下面的斜杠“ /  ”,敲出来却是 “ -  ”  ,请更改键盘布局~~~~~

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

2051314 发表于 2009-12-28 18:48
zerowine是啥。。不懂
huzhao23 发表于 2009-12-28 19:11
cokago 发表于 2009-12-28 19:21
hhyy540 发表于 2009-12-28 20:10
zerowine是啥
Squn 发表于 2009-12-29 18:18
zerowine 行为分析的
忉子 发表于 2010-1-3 23:07
行为分析软件有时真的很有用
xgqxyz 发表于 2010-1-7 13:00
不知是什么软件。
dmyyc 发表于 2010-1-9 22:39
zerowine是啥。。不懂
我爱破解888 发表于 2010-1-12 23:21
不懂也没用过
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-23 13:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表