日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何量身打造惡意軟件分析環(huán)境(上篇)

概述

對于每個(gè)惡意軟件研究人員來說,通常第一件事情就是搭建得心應(yīng)手的惡意軟件分析環(huán)境。當(dāng)所有的系統(tǒng)配置和軟件安裝完成后,就可以正確地分析和研究惡意軟件了。在這篇文章中,將為讀者分享我們自己的分析環(huán)境搭建經(jīng)驗(yàn)和所需腳本,以幫助大家少走些彎路。

在這篇文章中,將為大家介紹:

· 下載、安裝和配置一個(gè)免費(fèi)的Windows 10和一個(gè)免費(fèi)的REMnux Linux虛擬機(jī)。

· 建立虛擬專用網(wǎng)絡(luò),以便在虛擬機(jī)之間進(jìn)行通信。

· 使用SentinelLabs RevCore Tools搭建自定義的Windows惡意軟件環(huán)境。

· 學(xué)習(xí)如何從Windows 10虛擬機(jī)中捕獲網(wǎng)絡(luò)流量。

安裝虛擬機(jī)

當(dāng)運(yùn)行多個(gè)虛擬機(jī)時(shí),主機(jī)操作系統(tǒng)會開始變慢,所以設(shè)置每個(gè)虛擬機(jī)的最佳需求來優(yōu)化其性能至關(guān)重要。在設(shè)置本篇文章中的虛擬機(jī)時(shí),筆者建議至少為Windows 10虛擬機(jī)分配兩個(gè)處理器核心與4GB內(nèi)存,為Linux虛擬機(jī)分配兩個(gè)處理器核心與2GB內(nèi)存。

下載免費(fèi)的Windows 10安裝包

實(shí)際上,微軟為用戶提供了一個(gè)免費(fèi)的虛擬機(jī),來測試IE和Edge網(wǎng)頁瀏覽器。要下載微軟的虛擬機(jī),請導(dǎo)航至https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,下載MSEdge on Windows 10 zip文件,然后,選擇自己喜歡的虛擬機(jī)平臺,目前我使用的是VM Fusion。

下載REMnux Linux

接下來,我們要下載的虛擬機(jī)是REMnux Linux。REMnux發(fā)行版是一個(gè)基于Ubuntu的Linux發(fā)行版。它為探索網(wǎng)絡(luò)交互行為和研究惡意軟件的系統(tǒng)級交互提供了許多非常棒的工具。要下載REMnux,請導(dǎo)航至https://docs.remnux.org/install-distro/get-virtual-appliance,并下載相應(yīng)的虛擬機(jī)平臺。

安裝和配置專用隔離自定義網(wǎng)絡(luò)。

在分析惡意軟件時(shí),搭建一個(gè)隔離的、受控的網(wǎng)絡(luò)環(huán)境是極其重要的,因?yàn)樗c惡意軟件的交互級別很高。VMware Fusion允許我們修改關(guān)鍵的網(wǎng)絡(luò)設(shè)置并添加虛擬專用網(wǎng)絡(luò)配置以用于主機(jī)之間的分析。在這個(gè)實(shí)驗(yàn)室環(huán)境中,我們只添加了兩臺虛擬機(jī),但實(shí)際上,您可以根據(jù)自己的需要,在這個(gè)網(wǎng)絡(luò)中添加更多虛擬機(jī)。這個(gè)網(wǎng)絡(luò)的創(chuàng)建給出如下所示:

· 選擇選項(xiàng)卡VMware Fusion->Preferences->Network,并點(diǎn)擊鎖形圖標(biāo)進(jìn)行修改。

· 選擇“+”按鈕,以便在“Custom”窗口中創(chuàng)建一個(gè)vmnet#。

· 不要選擇“Allow Virtual machines on this network to connect to external networks (using NAT)”選項(xiàng)。

· 添加子網(wǎng)IP,這里輸入的是10.1.2.0。

· 點(diǎn)擊Apply按鈕

安裝Windows 10

創(chuàng)建好自定義網(wǎng)絡(luò),并下載兩個(gè)虛擬機(jī)后,接下來要做的就是解壓MSEdge Windows 10。由于我使用的是VMware Fusion,因此,這里將介紹如何導(dǎo)入其虛擬映像;不過,其他平臺導(dǎo)入虛擬機(jī)的過程與此類似,這里就不做介紹了。

打開VMware Fusion,并執(zhí)行以下操作:

· 解壓zip文件后,進(jìn)入MSEdge-Win10-VMware文件夾。

· 通過File->Import MSEdge_Win10_VMware選中VMware Fusion,點(diǎn)擊Continue按鈕,并保存虛擬機(jī);注意,導(dǎo)入鏡像可能需要幾分鐘時(shí)間。

· 導(dǎo)入鏡像后,點(diǎn)擊Customize Settings按鈕。

· 點(diǎn)擊進(jìn)入Processors & Memory選項(xiàng)卡,確認(rèn)配置為兩個(gè)處理器核心,內(nèi)存為4096MB。

· 在啟動MSEdge Win10虛擬機(jī)之前,先為其建立一個(gè)“快照”,并起一個(gè)類似“VM Clean Import”之類的名字。

· 啟動虛擬機(jī)時(shí),如果提示要升級虛擬機(jī)以獲得更大的功能兼容性支持,選擇升級Upgrade。

· 虛擬機(jī)的密碼是Passw0rd!

· 打開命令提示符激活虛擬機(jī),輸入slmgr.vbs /ato。

· 按照提示安裝VMware的“Virtual Tools”并重啟虛擬機(jī)。

· 虛擬機(jī)重啟后,登錄并立即建一個(gè)快照,并給它一個(gè)描述性的名稱,例如“Activation and VM Tools Install”。

安裝REMnux

我們下載的REMnux虛擬機(jī)的安裝文件為.ova格式。在這里,我們建議您瀏覽docs.REMnux.org網(wǎng)站,并確認(rèn)下載的OVA文件的哈希值是否正確。

如果您使用的是VirtualBox,則可以直接導(dǎo)入REMnux;如果您使用的是VMware Fusion或VMware Workstation,請按照以下說明導(dǎo)入REMnux:

· 選擇File->Import->Choose File… ,然后選擇remnux-v7,點(diǎn)擊Continue按鈕,然后繼續(xù)單擊Save按鈕。

· 導(dǎo)入完成后,點(diǎn)擊“Customize Settings”選項(xiàng)。

· 點(diǎn)擊進(jìn)入“System Settings”下的“Processors & Memory”窗格,保持兩個(gè)處理器核心的設(shè)置不變,并將內(nèi)存容量從4096MB減少為2048MB。

· 對于REMnux網(wǎng)絡(luò)配置,設(shè)置略有不同:我們要添加一個(gè)網(wǎng)絡(luò)適配器。

注意:我這樣配置這個(gè)虛擬機(jī)是處于多種考慮:首先,如果需要更新或下載其他軟件,網(wǎng)絡(luò)適配器配置可以節(jié)省時(shí)間;其次,這里考慮到了是否允許惡意軟件callout。

一旦導(dǎo)入完成,請進(jìn)入“Settings”菜單,選擇Network Adapter。之后,請點(diǎn)擊Add Device… 選項(xiàng),然后選擇Network Adapter和Add…選項(xiàng)。注意,一定要選中“Share with my Mac”單選按鈕。接著,返回“Settings”主面板,選擇“Network Adapter 2”。此后,點(diǎn)擊vmnet2單選按鈕,并選擇“Show All”。

啟動REMnux虛擬機(jī)時(shí),如果提示要升級虛擬機(jī)以獲得更大的功能兼容性支持,請選擇升級。

REMnux啟動后,需要輸入相關(guān)憑證,其中,用戶名為remnux,密碼為malware。

最好修改虛擬機(jī)的密碼,相關(guān)命令如下所示:

 
 
 
 
    
  
  
  
  
  1. $passwd
    2. 
  
  
  
  
  2.       UNIX password: malware
    3. 
  
  
  
  
  3.       Enter new UNIX password: (your choice)
    4.

 下一步是配置網(wǎng)絡(luò)設(shè)置。如果您輸入ifconfig -a,應(yīng)該會看到兩個(gè)網(wǎng)絡(luò)適配器。

為第一個(gè)網(wǎng)絡(luò)適配器選擇NAT。這樣,虛擬機(jī)將從VMware虛擬DHCP服務(wù)器獲得該網(wǎng)絡(luò)的地址。這時(shí),可以ping一下google,看看能夠正常連接,或者打開Firefox瀏覽器,連接到任何網(wǎng)站,以確認(rèn)能否訪問互聯(lián)網(wǎng)。如果遇到問題,那么,可以在終端輸入命令:$ sudo dhclient -r ,以便獲取一個(gè)IP。

對于第二個(gè)適配器ens37,請輸入下列命令:

 
 
 
 
    
  
  
  
  
  1. $ sudo ifconfig ens37 10.1.2.1 netmask 255.255.255.0
    2.

點(diǎn)擊“Snapshot”按鈕,并將其命名為“Clean Snapshot”。

更新并升級REMnux:

 
 
 
 
    
  
  
  
  
  1. $ sudo apt-get update; sudo apt-get upgrade
    2.

安裝SentinelLabs RevCore Tools

之所以要?jiǎng)?chuàng)建一個(gè)SentinelLabs VM Bare Bones惡意軟件分析工具包,原因之一是在安裝FlareVM時(shí),發(fā)現(xiàn)其中含有許多我用不到的工具,而且安裝時(shí)間需要至少40分鐘。所以,我們打算創(chuàng)建一個(gè)只包含核心工具和系統(tǒng)配置的腳本,只要能夠滿足分析惡意軟件的最低需求即可。

為此,可以按照下面的步驟在MSEdge WIndows 10上安裝SentinelLabs RevCore Tools:

導(dǎo)航至SentinelLabs RevCore Tools的github頁面并下載zip安裝文件。

解壓,并將SentinelLabs_RevCore_Tools_codeSnippet.ps1 腳本拖到桌面上。

如果您使用的是上面提到的免費(fèi)下載的Windows 10虛擬機(jī),請進(jìn)入步驟4;如果您使用的是自己的Windows虛擬機(jī),請繼續(xù)這些子步驟:

· 不要只拖動SentinelLabs_RevCore_Tools_codeSnippet.ps1,而是將整個(gè)文件夾拖到虛擬機(jī)桌面上。

· 打開SentinelLabs_RevCore_Tools_codeSnpippet.ps1文件,修改-PackageName之后的第4行,修改url并將其改為桌面上的目錄位置。例如,將“https://raw.githubusercontent.com/SentineLabs/SentinelLabs_RevCore_Tools/master/SentinelLabs_RevCore_Tools.ps1”改為“c:\Users\yourUsername\Desktop\SentinelLabs_RevCore_Tools-main\SentinelLabRevCoreTools.ps1”。

最后,修改SentinelLabsRevCoreTools.ps1。在第105-117行,將IEUser替換為您使用的用戶配置文件名稱。保存所有文件,并運(yùn)行腳本:

· Install-ChocolateyShortcut -ShortcutFilePath "C:\Users\IEUser\Desktop\HxD.lnk" -TargetPath "C:\Program Files\HxD\HxD.exe"

· Install-ChocolateyShortcut -ShortcutFilePath "C:\Users\YourUser Profile\Desktop\HxD.lnk" -TargetPath "C:\Program Files\HxD\HxD.exe"

轉(zhuǎn)到第5步。

在Windows 10搜索欄中,鍵入powershell,右鍵單擊并以管理員身份運(yùn)行。導(dǎo)航至Powershell腳本SentinelLabs_RevCore_Tools_codeSnippet.ps1所在位置,然后運(yùn)行該腳本:

.\SentinelLabs_RevCore_Tools_codeSnippet.ps1

該腳本將導(dǎo)致兩次自動重新啟動,每次重啟后您都需要通過用戶密碼進(jìn)行登錄。第一次重新啟動將繼續(xù)禁用各種系統(tǒng)服務(wù),否則這些服務(wù)可能會阻止惡意軟件分析并繼續(xù)安裝核心工具。第二次重啟后,腳本將結(jié)束運(yùn)行,并確認(rèn)所有配置和安裝。

下面列出了已安裝的工具和修改的系統(tǒng)配置。當(dāng)看到提示“Type ENTER to exit”時(shí),不要忘了建立一個(gè)快照。

工具:

Checksum, 7zip, Process Explorer, Autoruns, TCPview, Sysmon, HxD, PEbear, PEStudio, PEsieve, Cmder, NXlog, X64dbg, X32dbg, Ollydbg, IDA-Free, Cutter, Ghidra, Openjdk11, Python3, PIP, PIP pefile, PIP Yara。

· 我經(jīng)常使用的一款工具是Hiew,但是Chocolatey并沒有將其收錄進(jìn)來。我的建議是下載并試用免費(fèi)版本。

系統(tǒng)配置:

· 禁用下列功能:Bing搜索,游戲欄提示,計(jì)算機(jī)還原,UAC,系統(tǒng)更新,防火墻,Windows Defender,操作中心

· 設(shè)置窗口主題,設(shè)置墻紙,創(chuàng)建工具快捷方式

小結(jié)

對于每個(gè)惡意軟件研究人員來說,通常第一件事情就是搭建得心應(yīng)手的惡意軟件分析環(huán)境。當(dāng)所有的系統(tǒng)配置和軟件安裝完成后,就可以正確地分析和研究惡意軟件了。在這篇文章中,將為讀者分享我們自己的分析環(huán)境搭建經(jīng)驗(yàn)和所需腳本,由于篇幅過大,我們將分為上下兩篇進(jìn)行解釋。更多精彩內(nèi)容,敬請期待!

(未完待續(xù))

本文翻譯自:https://labs.sentinelone.com/building-a-custom-malware-analysis-lab-environment/如若轉(zhuǎn)載,請注明原文地址。


當(dāng)前名稱:如何量身打造惡意軟件分析環(huán)境(上篇)
新聞來源:http://www.dlmjj.cn/article/djiiogc.html