恶意代码分析实战 安装INetSim在CentOS 7上

最新推荐文章于 2024-04-28 04:33:13 发布
最新推荐文章于 2024-04-28 04:33:13 发布
阅读量3.2k 收藏 4
点赞数 2
分类专栏: 安全 文章标签: 代码分析 inetsim
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isinstance/article/details/77718485
版权

CentOS 7安装INetSim

注: 博主对Perl不太熟,所以搜狗了半天(拒绝百度,从我做起)

官方安装步骤

inetsim documentation

不过写的比较笼统,可以参考参考

1.下载安装文件

从这里下载一个源文件

http://www.inetsim.org/downloads.html

然后放入centos里面,解压,然后用root运行setup.sh

发现报错

Group 'inetsim' does not exist! Aborting

缺少了一个组叫inetsim

我们执行命令

groupadd inetsim

然后再执行,就不会报错了

然后现在这是我们的软件的根目录

[root@localhost inetsim-1.2.6]# ls -il
total 68
 4557160 -rw-r--r--.  1 nobody   65534  4353 Aug 29  2016 CHANGES
 4557159 -rwxr-xr-x.  1 nobody   65534  1116 Aug 29  2016 cleanup.sh
12959504 drwxr-xr-x.  2 nobody   65534    26 Aug 29 20:08 conf
 4557161 drwxr-xr-x.  2 nobody   65534   162 Aug 29  2016 contrib
 4557169 -rw-r--r--.  1 nobody   65534 17982 Aug 29  2016 COPYING
  408925 drwxr-xr-x. 10 nobody inetsim   105 Aug 29  2016 data
 4557151 -rw-r--r--.  1 nobody   65534  1236 Aug 29  2016 DISCLAIMER
12993996 drwxr-xr-x.  2 nobody   65534   104 Aug 29  2016 doc
 4557158 -rwxr-xr-x.  1 nobody   65534   552 Aug 29  2016 inetsim #启动inetsim
 8452339 drwxr-xr-x.  3 nobody   65534    39 Aug 29  2016 lib
 4557157 -rw-r--r--.  1 nobody   65534 12172 Aug 29  2016 LIESMICH
 8944999 drwxrwx---.  2 nobody inetsim     6 Aug 29  2016 log
  408987 drwxr-xr-x.  5 nobody   65534    40 Aug 29  2016 man
 4557156 -rw-r--r--.  1 nobody   65534 10652 Aug 29  2016 README
  442180 drwxrwx---.  2 nobody inetsim     6 Aug 29  2016 report
 4557143 -rwxr-xr-x.  1 nobody   65534  1197 Aug 29  2016 setup.sh

但是启动之后我们会发现报错

[root@localhost inetsim-1.2.6]# ./inetsim 
Can't locate IPC/Shareable.pm in @INC (@INC contains: ./lib /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5) at lib/INetSim/Config.pm line 18.
BEGIN failed--compilation aborted at lib/INetSim/Config.pm line 18.
Compilation failed in require at lib/INetSim.pm line 20.
BEGIN failed--compilation aborted at lib/INetSim.pm line 20.
Compilation failed in require at ./inetsim line 20.
BEGIN failed--compilation aborted at ./inetsim line 20.

大概意思就是我们缺了一个Shareable.pm文件,然后一查,这是个perl的运行库

那我们就安装这个库吧,用perl的安装方式

先进入交互模式

perl -MCPAN -e shell
但是这里也会报错
Can't locate CPAN.pm in @INC (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 .).
BEGIN failed--compilation aborted.

我们检查一下这个包有没有在系统里面了

rpm -q perl-CPAN

显示

package perl-CPAN is not installed

OK,那我们就装呗

yum install perl-CPAN

大概要装这么多依赖包

Installed:
  perl-CPAN.noarch 0:1.9800-291.el7                                                                                                                                                           

Dependency Installed:
  gdbm-devel.x86_64 0:1.10-8.el7                 glibc-devel.x86_64 0:2.17-157.el7_3.5          glibc-headers.x86_64 0:2.17-157.el7_3.5         kernel-headers.x86_64 0:3.10.0-514.26.2.el7   
  libdb-devel.x86_64 0:5.3.21-19.el7             perl-Data-Dumper.x86_64 0:2.145-3.el7          perl-Digest.noarch 0:1.17-245.el7               perl-Digest-SHA.x86_64 1:5.85-3.el7           
  perl-ExtUtils-Install.noarch 0:1.58-291.el7    perl-ExtUtils-MakeMaker.noarch 0:6.68-3.el7    perl-ExtUtils-Manifest.noarch 0:1.61-244.el7    perl-ExtUtils-ParseXS.noarch 1:3.18-2.el7     
  perl-Test-Harness.noarch 0:3.28-3.el7          perl-devel.x86_64 4:5.16.3-291.el7             perl-local-lib.noarch 0:1.008010-3.el7          pyparsing.noarch 0:1.5.6-9.el7                
  systemtap-sdt-devel.x86_64 0:3.0-7.el7        

Complete!

OK,我们执行安装

perl -MCPAN -e shell

然后就开始第一次的配置

安装

一直回车默认配置就行了

然后他会查找最近的镜像,这个过程有点慢感觉

Mirrors

你也可以手动配置这么几个Mirrors

Final

最后它会出现这么一个交互界面

我们输入

install IPC::Shareable

完成

这样就算安装完成了

然后我们再启动INetSim看看

还是报错
Base class package "Net::Server" is empty.
    (Perhaps you need to 'use' the module which defines that package first,
    or make that module available in @INC (@INC contains: ./lib /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5).

安照上面的方法再装一个试试

perl -MCPAN -e shell
install Net::Server
还有个包没装
Can't locate Net/DNS.pm in @INC (@INC contains: ./lib /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5) at lib/INetSim/DNS.pm line 19.

一样的

install Net::DNS

something error

这是这个模块的依赖(dependency)没有好,我们安装提示安装这两个包

install Digest::MD5

无

这个失败了

但是我们可以通过YUM的方式来安装

yum安装

yum install perl-Digest-MD5

这里有个小技巧,聪明的同学应该看出来了,module名和yum仓库的包名对应关系

install Digest::HMAC

这个成功了

然后我们再去修复那个DNS的问题

install Net::DNS

然后现在安装就可以安装上了,再看看还缺了什么依赖

然后我再启动

启动

可以看出这里有个logfile打不开的问题

在配置文件(如果把安装包直接丢/root/下面了,因为运行时候会用不是root的账号去运行,所以会出现Permission denied)

/home/inetsim/inetsim-1.2.6/conf/inetsim.conf

里面,有这么一行配置文件

#########################################
# service_run_as_user
#
# User to run services
#
# Syntax: service_run_as_user <username>
#
# Default: nobody
#
#service_run_as_user     inetsim

把下面这个注释去掉,用inetsim这个用户来运行这个软件,之前Default: nobody

这个nobody用户不在组inetsim里面

所以会报错

改完配置之后,我们添加用户inetsim

useradd inetsim -g inetsim

然后回到目录

/home/inetsim/
chown -R inetsim:inetsim inetsim-1.2.6

为了保证运行时所需的任何权限,我们也加上这步骤(虽然这会存在很大的安全问题,但是我们又不挂在公网上面,只是内网虚拟机分析,可以容忍,如果不这样做,启动的时候会一堆的缺少写或者读(r/w)权限问题

chmod 777 -R inetsim-1.2.6

这样

就像这样的

1

2

然后就可以运行了
这个smtp启动失败不知道是什么原因…(玄学问题吧)

配置

配置inetsim

这里我只是说一下我的配置方式,不一定非要安装我的来配,仅供参考

service_bind_address    127.0.0.1

然后这个刚刚说过了

service_run_as_user     inetsim

然后这里按照你分析的恶意代码需求来配

dns_static      www.foo.com     10.10.10.10
dns_static      ns1.foo.com     10.70.50.30
dns_static      ftp.bar.net     10.10.20.30

也可以用ApateDNS来做这个DNS

不过要注意就是ApateDNS只能在Windows机器上使用

这里不要使用Default的版本号,就怕恶意代码作者会做一些反逆向分析措施

dns_version "9.2.4"

然后这里也是一样的

http_version            "Microsoft-IIS/4.0"

然后这里安装你的需求来设置欺骗路径

http_fakefile           txt     sample.txt      text/plain
http_fakefile           htm     sample.html     text/html
http_fakefile           html    sample.html     text/html
http_fakefile           php     sample.html     text/html
http_fakefile           gif     sample.gif      image/gif
http_fakefile           jpg     sample.jpg      image/jpeg
http_fakefile           jpeg    sample.jpg      image/jpeg
http_fakefile           png     sample.png      image/png
http_fakefile           bmp     sample.bmp      image/x-ms-bmp
http_fakefile           ico     favicon.ico     image/x-icon
http_fakefile           exe     sample_gui.exe  x-msdos-program
http_fakefile           com     sample_gui.exe  x-msdos-program

这里看你分析的恶意代码有没有下载exe文件的需求了,如果有,随便丢一个小程序放在你自己的某个目录下,然后编辑这里来使起生效

#http_static_fakefile   /path/                  sample_gui.exe  x-msdos-program
#http_static_fakefile   /path/to/file.exe       sample_gui.exe  x-msdos-program

然后这个https的pem文件,最偷懒的办法就是复制原来的default_*.pem文件为新的这个文件,如https_key.pem等等,然后取消相应的注释就行了(这些文件在data/cert/下面)

https_ssl_keyfile      https_key.pem

然后我们可以通过下面这个命令生成https_dh1024.pem

openssl gendh -5 -out https_dh1024.pem 1024

然后取消注释

https_ssl_dhfile        https_dh1024.pem

下面的smtp_ssl也是照这个思路来

然后改完之后记得增加perl的这个模块
yum install openssl-devel openssl-libs
perl -MCPAN -e shell
install IO::Socket::SSL

如果安装完上面这些这个还不行,不过还是建议你用下面这种方法
试试这个

yum install perl-IO-Socket-SSL

这个

然后可以看见现在没有not SSL support了,支持SSL了

然后还有就是注意这个(尽量CentOS 7 不要使能这个选项,因为CentOS 7没有iptableslibipq.h这个头文件,没法支持)

#redirect_enabled        yes

把重定向地址改成自己

redirect_external_address       127.0.0.1

然后记得安装这几个库如果想开重定向的话

perl -MCPAN -e shell
install IPTables::IPv4::IPQueue

为了安装上这些东西,你还需要

yum install gcc iptables-devel

但是这个我没安装成功,建议还是不要重定向了

然后到此位置,你的INetSim已经安装完成(但是我的smtp没法启动是什么鬼)

(2017-8-30)事后查明是配置文件中这里不要用127.0.0.1,smtp就可以很好启动了

配置

smtp

下一步就是开放需要的端口

这个因为是我是centos7,所以就不说了,其他发行版的都有自己的方法

Forking services...
  * dummy_1_tcp - started (PID 2718)
  * ident_113_tcp - started (PID 2704)
  * syslog_514_udp - started (PID 2705)
  * echo_7_tcp - started (PID 2710)
  * discard_9_udp - started (PID 2713)
  * quotd_17_tcp - started (PID 2714)
  * finger_79_tcp - started (PID 2703)
  * discard_9_tcp - started (PID 2712)
  * ntp_123_udp - started (PID 2702)
  * time_37_tcp - started (PID 2706)
  * daytime_13_tcp - started (PID 2708)
  * echo_7_udp - started (PID 2711)
  * chargen_19_tcp - started (PID 2716)
  * chargen_19_udp - started (PID 2717)
  * dummy_1_udp - started (PID 2719)
  * irc_6667_tcp - started (PID 2701)
  * time_37_udp - started (PID 2707)
  * quotd_17_udp - started (PID 2715)
  * tftp_69_udp - started (PID 2700)
  * daytime_13_udp - started (PID 2709)
  * dns_53_tcp_udp - started (PID 2691)
  * smtps_465_tcp - started (PID 2695)
  * ftps_990_tcp - started (PID 2699)
  * ftp_21_tcp - started (PID 2698)
  * pop3_110_tcp - started (PID 2696)
  * smtp_25_tcp - started (PID 2694)
  * https_443_tcp - started (PID 2693)
  * pop3s_995_tcp - started (PID 2697)
  * http_80_tcp - started (PID 2692)

我做好了一个centos7版本的INetSim镜像,为了方便其他的恶意代码分析,在百度云上,下载地址在这里

链接: http://pan.baidu.com/s/1c6NqqU 密码: gj4i

镜像是VirtualBox 导出的ovf1.0版本,不保证VMware能导入成功,但保证VirtualBox能导入成功

系统的默认IP是192.168.0.107(记得在/home/inetsim/inetsim-xx/conf/inetsim.conf里面更改一下ip地址,改成你现在机器DHCP所得的IP

用户名root
密码test

/root/目录下有个一个inetsim启动的软链接(这个后来我发现没法用,因为是在/root/的目录下,然后程序用inetsim这个用户运行的时候会报错,但是导都导了,传都传了,大家就去/home/inetsim/inetsim-1.2.6/下,执行inetsim这个可执行文件就可以启动,和一个打开所有端口的脚本openport.sh(这个可以正常用)

安装文件在/root/下有个原版压缩包,解压后放在了/home/inetsim/下、

本文完

isinstance
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
dhcpstatus-开源
05-02
DHCPStatus是用于浏览存储在DHCPD的.conf和.leases文件中的信息的查询工具。 它将.conf文件中的子网详细信息与DHCPD的.lease记录相关联。 它既可以作为CGI程序运行,也可以作为基于文本的命令行实用程序运行。
恶意代码分析实战 Lab 3-1 习题笔记
isinstance的博客
08-29 5324
Lab 3-1问题1.找出这个恶意代码的导入函数于字符串列表。解答: (动态分析建议用winxp pro 32bit,下面你就知道为什么这么建议了)我们用Dependency Walker会发现这个程序只有很少的导入函数,第一是怀疑是不是加壳了然后我们PEiD来看,的确是加壳了然后就开始尝试脱壳了万能脱壳这次不是万能的了目前我们知道的唯一个导入函数就是ExitProcess然后查看一下字符串 前面
CentOS7详细安装教程--图文介绍超详细_服务器centos7安装详细图解
最新发布
2401_84281698的博客
04-28 1837
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!很难做到真正的技术提升。**需要这份系统化资料的朋友,可以点击这里获取一个人可以走的很快,但一群人才能走的更远!
inetsim安装
ACdream
05-12 675
linux下的权限管理做得是很好的,经常会有需要管理员权限才能安装或者修改的东西第一种姿势:sudo ***(然后输入的是当前用户的密码)第二种姿势:su以root权限来登陆但是这里会出现的情况是:当你一直没有设置过root密码的时候,会一直验证失败的需要:sudo passwd root然后输入当前用户密码,再设置root密码如图:...
恶意代码分析:虚拟网络环境配置
weixin_30920513的博客
08-31 5418
创建主机网络模式: 主机模式(Host-only)网络,可以在宿主操作系统和客户操作系统之间创建一个隔离的私有局域网,在进行恶意代码分析时,这是通常采用的联网方式。主机模式的局域网并不会连接到互联网,这意味着恶意代码会被包含在虚拟机里,同时也允许某些网络连接。 自定义配置: 让两个虚拟机相互连接。一个虚拟机可以同来运行恶意代码,而第二个虚拟机则提供一些必要的网络服务。两个虚拟机都被...
linux perl 报错 Can‘t locate CPAN.pm in @INC (@INC contains: inc /usr/local/lib64/perl5 /usr.... 解决方法
whatday的专栏
12-30 3285
环境:CentOS release 6.5 错误情况:部署mysql 5.6 MHA执行到perl Makefile.PL的时候,报错Can't locate ExtUtils/Embed.pm in @INC (@INC contains: /usr/local/lib64/perl5...... 解决办法: yum install cpan perl-ExtUtils-CBuilder perl-ExtUtils-MakeMaker -y cpan ExtUtils::Install
在VMware上安装CentOS7操作系统
11-22
安装CentOS7操作系统之前,需要准备好虚拟机环境。这里我们使用VMware作为虚拟机软件。首先,需要下载并安装VMware,然后创建一个新的虚拟机。 创建虚拟机 在VMware中,点击创建新的虚拟机,选择自定义(高级)...
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB是指在Centos7操作系统中安装和配置MongoDB数据库的过程。MongoDB是一个基于分布式文件存储的NoSQL数据库,由C++语言编写,运行稳定,性能高旨在为 WEB 应用提供可扩展的高性能数据存储解决方案...
snmp在centos7上离线安装手册.docx
07-23
centos7下针对内网离线安装snmp手册,snmp版本为V3,python脚本通过snmp监控服务器各项参数,配合定时任务,能定期监控服务器各项参数。
Centos7上安装greenplum 6
03-21
centos7.*安装greenplum6.*的详细过程 注意: 1、仅适用于centos7,其他操作系统版本,本文档可能执行出问题 2、按照操作步骤说明,严格在master上执行或是segment上执行 3、过程中如果中断退出,继续执行是出现...
clamav杀毒软件在centos7安装教程.docx
02-25
**ClamAV杀毒软件在CentOS7安装...总结来说,安装和使用ClamAV在CentOS7上是通过YUM安装、验证安装、扫描文件、更新数据库、配置开机启动以及自定义设置等步骤完成的。掌握这些操作对于保护Linux系统的安全至关重要。
虚拟服务器INetSim安装,以及配置
yellow的博客
07-04 3737
INetSim官网给出的安装方法:http://www.inetsim.org/packages.html总结一下是4条指令:1、# echo "deb http://www.inetsim.org/debian/ binary/" &gt; /etc/apt/sources.list.d/inetsim.list2、# wget -O - http://www.inetsim.org/inets...
使用CPAN安装perl模块
开往春天的地铁
04-30 2627
CPAN可以通过网络或本地的方式安装perl的模块。 网络安装:从指定ftp下载perl模块包进行安装。与python的eazy_install和RHEL的yum用途类似,但功能较弱,不能自动解决依赖关系。 本地安装cpan下载的模块包的默认目录是/root/.cpan/sources/ ,如果没有网络连接,可以将模块包放到这个目录再运行cpan安装。 1. 配置CPAN的资源...
inetsim虚拟网络服务器,[原创]搭建网络虚拟环境
weixin_39611340的博客
08-06 1546
搭建虚拟恶意软件分析环境前言在分析样本的时,有时会发现样本连接的恶意IP已经失活,需要伪装恶意IP来查看其网络行为,又或者由于样本有扫描等行为,需要获取网络流量,就可以设置这样的分析环境,将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量,又可以避免扫描到内网的其他机器。创建虚拟机需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu,Kali有些问题),一个...
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境
妙蛙种子吃了都会妙妙秒的妙脆角的博客
10-13 5827
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境 注:本次实验主要是《恶意代码分析实战》一书中进入动态恶意代码分析篇章的开始,主要通过Apatedns以及Inetsim来模拟为恶意代码提供其需要的网络环境,本次实验以Lab01-03.exe为例。 一、实验环境及工具。 Vmware虚拟机:win10(win7)、kali 主要工具:Apatedns、Inetsim 二、工具的安装下载 1、Apatedns:需安装至windows虚拟机客户端(win10,win7均可) 下载地址:http
在Ubuntu20.04使用INetSim搭建虚拟机局域网详细步骤
qq_45722813的博客
04-09 1145
在Ubuntu20.04使用INetSim搭建虚拟机局域网 平台: VMware16.1 ubuntu20.04虚拟机 windows7虚拟机 一、配置虚拟网卡 首先在VMware中点击【编辑】–>选择虚拟网络编辑器 点击【更改设置】,弹出的windows提示选择【是】 选择【添加网络】 然后选择VMnet2,我这里已经配置过了,下面这张截图只是为了演示 选择【仅主机模式】,取消勾选将主机虚拟适配器连接到此网络 其他默认即可,然后点击【应用】和【确定】 二、安装INetSim INetSim
通过dhcpstatus监视DHCP服务ip地址分配情况
weixin_34252090的博客
05-27 839
最近公司运维人员有时候要查看DHCP服务ip地址分配情况,通常情况下需要登录到服务器上查看dhcpd.leases文件,由于此服务器关系到整个公司的网络状况,重要性可想而知。于是就想能不能通过分析dhcpd.leases文件,然后在WEB端展示,刚开始还想自己写perl脚本来实现,后来搜索的时候发现一个相关软件,于是就下载回来试用下,呵呵,感觉非常棒!那就是dhcpstatu...
在Linux操作系统下建立DHCP服务器
夕阳帆的专栏
03-10 1381
 DHCP是Dynamic Host Configuration Protocol的英文缩写,翻译过来就是动态主机配置通讯协议。它的功能就是为网络连接动态分配IP地址,它允许客户端计算机向网络服务器自动获取网络设置。DHCP服务器使得网络管理员在管理网络中在网络中增加、删除网络节点或者重新配置网络时,工作变得非常简单,无须手工的分配IP地址。采用Linux主机建立DHCP服务器,比Window
Linux安装openssl出现Can‘t locate IPC/Cmd.pm in @INC
热门推荐
qq_41977843的博客
06-29 1万+
Linux安装openssl,执行配置命令 出现错误如下: 解决办法: 这是安装相关依赖,再次执行: 接着出现下列错误: 解决办法: 第一步:安装gcc 第二步:安装perl正则表达式库 第三步:安装zlib 再次执行...
CentOS 7在VMware上的详细安装步骤
在本教程中,我们将详细讲解如何在VMwareWorkstation上安装CentOS 7操作系统。以下是整个过程的详细步骤: 1. 准备工作: - 需要的软件:VMwareWorkstation - 镜像文件:CentOS-7-x86_64-bin-DVD1.iso 2. 创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值