Docker化自动采集&模拟恶意软件环境

最新推荐文章于 2024-03-17 09:42:12 发布
最新推荐文章于 2024-03-17 09:42:12 发布
阅读量444 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/110206701
版权

概述

一个真实的Linux恶意软件入侵环境,往往包含有病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,若我们只获得单一的病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析,以及产品安全能力测试。下面,介绍一种基于Docker的方法,可以自动化地采集及还原恶意软件的整个攻击场景,以最大程度地模拟主机中毒的环境,方便后续对恶意软件进行研究与分析。

该方法的原理是,使用bash脚本自动化收集中毒主机上的病毒项,然后打包成容器环境,最后通过Docker在本地模拟运行这时生成的Docker容器就包含了完整的恶意软件环境。

Docker化自动采集&模拟恶意软件环境

详细步骤

如下,以StartMiner(8220挖矿家族)的中毒环境作为演示,通过命令可以看到主机中包含有恶意定时任务、病毒文件、奇热病毒进程等信息。

Docker化自动采集&模拟恶意软件环境

采集脚本具体的代码如下,主要采集以下目录的文件

<
最低0.47元/天 解锁文章
systemino
关注
网络安全方向相关课题和材料
学-> 思->用
10-30 1170
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
基于深度学习的入侵检测系统设计与实现
最新发布
程序员光剑
08-06 1245
基于深度学习的入侵检测系统在提高检测精度和效率方面展现出了巨大的潜力,然而,它仍然面临着一些挑战,例如数据标准、模型解释性、攻击的多样性等。未来,我们需要在这些方面进行更深入的研究,并开发出更强大的入侵检测系统。
syslog日志工具
08-07
专门提取udp以及tcp协议写的日志传输及收集信息,第三方工具
Docker自动模拟恶意软件环境
安全杂货铺
12-15 621
概述 一个真实的Linux恶意软件入侵环境,往往包含有病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,若我们只获得单一的病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析,以及产品安全能力测试。下面,介绍一种基于Docker的方法,可以自动模拟主机中毒的环境,一键搭建恶意软件靶机环境,方便后续对恶意软件进行研究与分析。 项目地址:https://github.com/G4rb3n/Malbox 使用方法 使用命令docker-compose up -d即可一键部署容器
恶意软件就在Docker容器中?
weixin_33816300的博客
08-03 167
研究人员们警告称,Docker容器很可能成为恶意软件感染的完美掩饰环境。 在本届于拉斯维加斯召开的2017美国黑帽大会上,Aqu Security公司研究人员Michael Cherny与Sagie Dulce指出,Docker API可被用于实现远程代码执行与安全机制回避等目的。 作为开发人员群体当中人气极高的代码测试方案,Docker能够建立起一套完...
SysLog - 轻量级的日志收集与分析系统
gitblog_00012的博客
03-17 596
SysLog - 轻量级的日志收集与分析系统 SysLogA tool to grab Android system and kernel logs项目地址:https://gitcode.com/gh_mirrors/sy/SysLog 是一个轻量级的日志收集与分析系统,可以帮助开发者快速地收集、存储、查询和分析应用程序产生的日志数据。 什么是 SysLog? SysLog 是一种广泛应用于网...
Docker centos 安装syslog
weixin_34116110的博客
08-01 343
  在通常的Linux服务器中,有一些服务本身没有日志,只能通过 tail -f /var/log/messages来查看其运行日志,比如nrpe server。但是,如果想在docker容器中实现这个功能就需要费点事了。具体步骤如下:   1、安装rsyslog # yum -y install rsyslog     2、启动syslog服务 # rsyslogd ...
Python自动脚本编写技巧:提升日常工作效率的必备技能
Python自动脚本能够提高效率,减少重复劳动,它们可以用于数据分析、网站爬取、系统管理、测试自动等多个方面。掌握Python自动脚本的基础,对于提高工作效率和质量,以及推动技术团队的生产力具有重要意义。 ...
专家有料 | 李中文:美团软件成分安全分析(SCA)能力的建设与演进
Anprou的博客
04-29 1629
本文主要探讨的范围是利用SCA技术实现对开源组件风险治理相关能力的建设与落地
syslog模拟工具
09-21
Syslog模拟生成工具Kiwi_SyslogGen,Windows系统可用,免费无需注册
python实现syslog模拟
03-06
模拟发送syslog的过程,向指定ip的514(默认syslog)端口发送文本信息,实现syslog模拟,代码可以帮你理解标准syslog信息的构成,理解facility和level信息以什么样的格式包含在报文内。更详细内容可查看http://areyouok.iteye.com/blog/251590
syslog工具
07-11
对于采集第三方syslog日志进行分析,你需要这么一个工具,快速模拟出各种数据提供你采集入库分析。
Logstash:实用 Logstash 收集 Syslog 日志指南
Elastic 中国社区官方博客
02-09 1万+
Syslog 是一种流行的标准,用于集中和格式网络设备生成的日志数据。 它提供了一种生成和收集日志信息的标准方式,例如程序错误、通知、警告、状态消息等。 几乎所有类 Unix 操作系统,例如基于 Linux 或 BSD 内核的操作系统,都使用负责收集和存储日志信息的 Syslog 守护进程。 它们通常存储在本地,但如果管理员希望能够从一个位置访问所有日志,它们也可以流式传输到中央服务器。 默认情况下,端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats:使用 Linux 系统
[linux]-通过loki采集syslog中某个模块的日志
爷来辣的博客
01-31 1199
linux
Windows系统日志配置远程Syslog采集
热门推荐
leizi191110211的专栏
06-06 2万+
Windows系统没有自带的功能支持系统日志进行syslog发送,因此需要依赖第三方工具。这里我们推荐一款非常好用的轻量级日志采集模块:Nxlog,在Windows下部署和配置均十分便捷。 本文将指引你:如何对Windows的系统日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理。 第一步:安装日志采集工具Nxlog 从Sourcefor
ELK(日志系统)——logstash数据采集+Syslog输入插件+grok/多行过滤插件
qq_46089299的博客
06-13 2138
一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、数据存储以及各种 AWS
开源 syslog 日志系统 scribe
qu6zhi
04-03 4845
开源 syslog 日志系统 scribe Scribe 是 facebook 开源的日志收集系统,在 facebook 内部已经得到大量的应用。 它能够从各种日志源上收集日志,存储到一个中央存储系统 (可以是 NFS,分布式文件系统等)上,以便于进行集中统计分析处理。它为日志的“分布式收集,统一处理”提供了一个可扩展的,高容错的方案。 它最重要的特点是容错性好。当后端的存储系统 cr...
使用Docker部署Selenium Web自动测试环境
"docker+seleniumweb自动测试环境的部署" 在自动测试领域,Docker与Selenium Web Driver的结合提供了一种高效且可复用的测试环境解决方案。本资源主要介绍了如何利用Docker来部署Selenium Web自动测试环境,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值