前言
学习恶意代码分析的第一步就是配置网络环境,网络环境配置好以后才能放心的运行恶意代码进行分析。
分析恶意代码首先要运行恶意代码,但是我们需要一个安全的环境里运行恶意代码,某些恶意代码需要网络环境,如果我们单纯的将恶意代码放置在一个什么服务都没有的环境里,那么我们将无法分析恶意代码运行时的网络行为,也就达不到分析的目的。
因此,为了完整的分析恶意代码的行为,我们通常需要使用linux下的InetSim软件,该软件是一款模拟常见网络服务的免费软件,运行在linux环境下,通常配置在一个linux虚拟机中作为网络的服务器。
我们需要两个虚拟机环境,一个是windows xp虚拟机(或其它windows版本虚拟机环境)作为分析机,用来运行和分析恶意代码的行为,另一个是linux虚拟机作为服务器(我使用的是kali),用来运行InetSim软件,提供恶意代码运行需要的网络环境。
为了防止恶意代码逃逸到本机,同时又要成功连接linux虚拟机中的服务器,我们需要配置的网络环境为,两个虚拟机之间可以相互连接,同时两个虚拟机不能连接到本机。
本篇文章详细讲述了vmware如何配置虚拟机网络环境。主要包括以下几点:
- 配置两台可以相互连接的虚拟机,一台作为服务机,一台作为分析机,同时这两台虚拟机不能连接到主机。
- InetSim服务配置
- ApateDNS配置
本文参考了52破解的网络环境配置一文
网络环境配置
-
打开vmware,点击
编辑-->虚拟网络编辑器,出现网络编辑器的对话框,点击添加网络,选择一项没有使用过的虚拟网络名称,添加。我这里使用的是VMnet3,如图:
添加网络.png -
去掉
将主机虚拟适配器连接到此网络的选项,该选项去掉以后该虚拟机网络将连不上主机,DHCP可以自己设置,这里使用的是默认配置。然后点击确定,如图:
去除主机虚拟适配器.png -
点击
虚拟机-->设置-->网络适配器,将两个虚拟机的网络设置成刚刚自定义的网络,如图所示:
虚拟机网络设置.png -
进入kali虚拟机,查看虚拟机的IP地址,并记下来,比如ip地址为 192.168.1.1,然后打开win xp虚拟机,打开网络属性,设置备用DNS服务器地址为刚刚的IP地址:192.168.1.1,首选DNS服务器设置为127.0.0.1,如图所示:
win xpDNS配置.png 在linux虚拟机中安装并配置InetSim,kali已经自带该软件,因此我不需要安装,其他linux版本可看InetSim安装及配置这篇文章进行InetSim的安装和配置。安装好该软件后,需要对该软件进行设置,打开
/etc/inetsim/inetsim.conf文件,对inetconf进行配置,因为可能不同的环境需要配置不同的环境,建议先对该文件进行备份,在进行修改。-
InetSim具体配置:修改服务器绑定地址,该地址默认为127.0.0.1,我们将该地址修改为linux的ip地址,然后修改dns回传地址,同样修改为本机linux地址,如图所示:
服务器地址.png
-
配置好InetSim后,在终端打开InetSim,我们的假服务器开始运行和监听,InetSim可以模拟常见的网络服务,如图所示:
InetSim启动.png -
在win xp中安装并打开ApateDNS软件,在win xp中安装该软件会提示安装.net framework,要安装2版本的,3版本的不能使用。打开该软件后,设置DNS回传地址为linux ip地址,即192.168.1.1,这样win xp上的网络服务会使用Linux的虚假服务去响应DNS请求,可以查看恶意代码的DNS请求,设置好以后,点击启动服务器,然后等待网络活动即可,如图所示:
ApateDNS设置.png -
至此我们的虚拟机网络环境以及配置成功!我们来检查一下成果,打开浏览器随意输入一个域名,可以看到我们得到了InetSim提供的虚假网页,我们也可以下载文件,InetSim也会提供虚假文件供我们下载,返回看ApateDNS软件,可以看到捕捉到了win xp虚拟机的网络请求,如图所示:
虚拟网页.png
- 用
ctrl+C关掉InetSim软件,会提示我们网络报告存储在哪里,查看网络报告,可以看到刚刚的网络连接,如图所示:
InetSim报告存放位置.png
- 完工!!接下来就可以在我们设置的虚拟网络环境里放心的分析恶意软件啦~
无意中发现,有篇文章讲述了各种安装过程中的问题和解决方法,比较详细,放上来以作参考。
计算机病毒实践汇总五:搭建虚拟网络环境
