我今天将详细介绍的第一步是虚拟实验室的设置。对于硬件,我使用了旧的游戏计算机。它不再擅长运行游戏,但非常适合进行恶意软件分析。我已经用Debian Linux发行版安装了它,还安装了VirtualBox。
使用虚拟化进行恶意软件分析有优缺点。优点包括创建工作环境快照的能力以及创建虚拟网络的能力。我稍后会解释。我已经了解到的一个缺点是,如果某些恶意软件发现其在虚拟环境中运行,它们的行为就会有所不同。唯一的目的是防止对其进行分析。
因此,在我的设置中,我使用VirtualBox创建虚拟机。我正在使用Windows XP Professional计算机。装有我可能需要的任何工具。以及用作DNS /邮件/ IRC服务器的Debian机器。某些恶意软件将尝试以某种方式与Internet上的某些内容进行通信。通过IRC,简单的DNS请求或通过邮件协议进行处理。在安装了这些服务的虚拟Debian机器上,我可以接收请求并更详细地了解它们在做什么。
从下面的屏幕快照中可以看到,我已经创建了两个虚拟机的克隆。这使我可以轻松地重新开始,而不必再次重新安装所有工具。两台机器都处于“仅主机”模式,并连接到名为vboxnet0的虚拟网络。这样可以防止恶意软件从虚拟机逃逸并在整个网络中传播。我也极度偏执,在执行分析时会从计算机上拔下网络电缆。
我将在Debian上首先安装的唯一软件是DNS服务器。这将使我能够将恶意软件可能进行的任何DNS查询重定向到我选择的计算机(矿井)。我决定将Dnsmasq用于此目的,因为其设置非常简单。
我只是使用以下命令安装了D