本文详细介绍了如何设置虚拟实验室进行恶意软件分析,包括选用旧电脑安装Debian Linux和VirtualBox创建虚拟机,利用VirtualBox的快照和虚拟网络功能。作者通过Windows XP虚拟机安装各种分析工具,如Dnsmasq进行DNS重定向,以便监控恶意软件的网络行为。此外,还提到了Regshot、Process Explorer、Wireshark等实用工具,以及分析过程中的安全措施,如拔掉网络电缆以防止恶意软件扩散。
我今天将详细介绍的第一步是虚拟实验室的设置。对于硬件,我使用了旧的游戏计算机。它不再擅长运行游戏,但非常适合进行恶意软件分析。我已经用Debian Linux发行版安装了它,还安装了VirtualBox。
使用虚拟化进行恶意软件分析有优缺点。优点包括创建工作环境快照的能力以及创建虚拟网络的能力。我稍后会解释。我已经了解到的一个缺点是,如果某些恶意软件发现其在虚拟环境中运行,它们的行为就会有所不同。唯一的目的是防止对其进行分析。
因此,在我的设置中,我使用VirtualBox创建虚拟机。我正在使用Windows XP Professional计算机。装有我可能需要的任何工具。以及用作DNS /邮件/ IRC服务器的Debian机器。某些恶意软件将尝试以某种方式与Internet上的某些内容进行通信。通过IRC,简单的DNS请求或通过邮件协议进行处理。在安装了这些服务的虚拟Debian机器上,我可以接收请求并更详细地了解它们在做什么。
从下面的屏幕快照中可以看到,我已经创建了两个虚拟机的克隆。这使我可以轻松地重新开始,而不必再次重新安装所有工具。两台机器都处于“仅主机”模式,并连接到名为vboxnet0的虚拟网络。这样可以防止恶意软件从虚拟机逃逸并在整个网络中传播。我也极度偏执,在执行分析时会从计算机上拔下网络电缆。
我将在Debian上首先安装的唯一软件是DNS服务器。这将使我能够将恶意软件可能进行的任何DNS查询重定向到我选择的计算机(矿井)。我决定将Dnsmasq用于此目的,因为其设置非常简单。
我只是使用以下命令安装了D
最低0.47元/天 解锁文章
扫一扫
369
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
