恶意代码分析环境搭建(恶意代码分析实战第二章学习)

Vmware Player和Vmware Workstation的区别

Vmware提供了流行的桌面虚拟化系列产品,可用于在虚拟机中分析恶意代码。 Vmware Player是免费的,并且可以用来创建和运行虛拟机,但它缺少一些进行有效的恶意代码分析所必需的功能。Vmware Workstation软件的成本在200美元以下,一般是恶意代码分析师更好的选择。它包含了快照等强大的功能,允许你保存当前虚拟机的状态,并具有克隆或复制现有虚拟机的能力。(恶意代码分析实战)

参考计算机病毒实践汇总五:搭建虚拟网络环境,搭建记录如下:

1.下载VMware-workstation-full-15.5.0-14665864.exe,安装虚拟机主机Win7,虚拟机服务器Kali-Linux-2019.1-vm-amd64。

2.开始配置。

vmware新建host-only网络(这里是VMnet3),下面我选的是默认配置。

 

将win7和kali均选择该网络。

kali

kali上无需安装inetsim,root下运行即可。

这里需要修改inetsim.conf配置文件。路径如上图所示,每个版本可能有所不同。

修改之前需要ifconfig知道kali的IP。后面的修改都是将回传地址修改为该IP。

修改一:service_bind_address(去掉注释+修改)

修改二:dns_default_ip(去掉注释+修改)

修改三:redirect_enabled(去掉注释+修改)


修改四:redirect_external_address(修改IP)

修改五:redirect_exclude_port (去注释)

以上即为kali的网络配置。

win7

win7上的配置 直接修改即可。或者使用ApdateDNS。

 

运行

在kali上打开inetsim会出现(下图来源动态分析基础技术 - Hvnt3r的博客 - CSDN博客

windows访问网络会出现

 

 

在你安装完操作系统之后,你可以安装任何所需的应用程序。当然你也可以以后随时安装所需的应用程序,但通常在刚开始时创建一个比较完备的环境,是个很好的主意。我们在附录B中给出了个推荐使用的恶意代码分析应用程序列表。

断开外接设备 

 Vmware的界面允许你连接和断开外部设备。如果你将一个USB设备连接到一台机器,而同时一虚拟机窗口正处于活跃状态, Vmware将会把USB设备连接到虚拟机中,而不是宿主机,有些时候这是非预期的,比如日益流行的通过USB存储设备进行传播的蠕虫病毒。想要避免这种情况发生,需要修改虚拟机的配置,选择VM→ Settings→USB Controller菜单项,取消选中“ Automatically connectnew USB devices”复选框,就可以防止USB设备被自动连接到虚拟机。

 从虚拟机传输文件:VMware 拖放功能(安装VMware tools)或者共享文件夹的方式。

记录/重放功能+视频捕捉

参考文献

1.佚名. 恶意代码分析实战[M]. 2014.

2.计算机病毒实践汇总五:搭建虚拟网络环境 - 20135317 - 博客园
https://www.cnblogs.com/hyq20135317/p/5515675.html

©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页