搭建虚拟恶意软件分析环境
前言
在分析样本的时,有时会发现样本连接的恶意IP已经失活,需要伪装恶意IP来查看其网络行为,又或者由于样本有扫描等行为,需要获取网络流量,就可以设置这样的分析环境,将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量,又可以避免扫描到内网的其他机器。
创建虚拟机
需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu,Kali有些问题),一个Windows的受害机。
分析机的设置:INetSim
INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。
安装INetSim的方法有多种,最简单的方法就是运行以下命令来安装(在服务器中)。
```
$ sudo su
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ wget -O - http://www.inetsim.org/inetsim-archive-signing-key.asc | apt-key add -
$ apt update
$ apt install inetsim
```
注意:想要在服务器中复制粘贴这些命令,请选择 设备>共享剪贴板>双向 进行设置