发布于sigma

恶意代码分析学习

使用ubuntu作为模拟服务,使用win7进行分析

ubuntu

下载地址:http://releases.Ubuntu.com

一、更新软件

1.软件包

$ sudo apt-get update
$ sudo apt-get install python-pip
$ pip install --upgrade pip
$ sudo apt-get install python-magic
$ sudo apt-get install upx
$ sudo pip install pefile
$ sudo apt-get install yara
$ sudo pip install yara-python
$ sudo ape-get install ssdeep
$ sudo apt-get install build-essential libffi-dev python python-dex libfuzzy-dev
$ sudo pip install ssdeep
$ sudo apt-get install wireshark
$ sudo apt-get install tshark


2.安装INetSIm:用于模拟服务,比如DNS和HTTP服务
$ echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list
$ echo "deb-src http://www.inetsim.org/debian/ source/" >> /etc/apt/sources.list.d/inetsim.list
$ wget -O - https://www.inetsim.org/inetsim-archive-signing-key.asc --no-check-certificate | apt-key add -
$ apt update
$ apt install inetsim

inetsim的默认监听端口为127.0.0.1,现在要修改为监听192.168.1.100.
打开位于 /etc/inetsim/inetsim.conf 的配置文件,使用以下命令进行编辑

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
$ sudo gedit /etc/inetsim/inetsim.conf
然后到 service_bind_address 中的下一行加入192.168.1.100然后保存
然后到 dns_default_ip 中的下一行加入 192.168.1.100然后保存
然后运行 inetsim ,如果显示pid已经存在,使用命令 cat /var/run/inetsim.pid查看占用的pid,使用命令
kill 9 pid 关闭该进程,然后再重启服务,查看到监听为192.168.1.100。注意正常情况下不应该出现红色的fail告警
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3.隔离主机。将ubuntu16的网络模式改为仅主机模式 hots-only

4.查看网卡信息
$ ifconfig
我的网卡为 ens33

5.配置网卡将ip地址固定为192.168.1.100

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
$ sudo gedit /etc/network/interfaces
增加以下内容:
$ suto ens33
$ iface ens33 inet static
$ address 192.168.1.100
$ netmask 255.255.255.0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

然后重启ubuntu

ubuntu算是配置好了

WIN7

修改静态ip 192.168.1.50

网关:192.168.1.100

DNS:192.168.1.100

win+r gpedit.msc -> 计算机配置 ->管理模板->windows 组件->找到win defender 双击->双击关闭d->开启“关闭defender”->应用

样本获取

Hybrid Analysis:https://www.hybrid-analysis.com/
KernelMode.info:https://www.kernelmode.info/forum/viewforum.php?f=16
VirusBay:https://beta.virusbay.io/
Contagio malware dump:http://contagiodump.blogspot.com/
AVCaesar:https://avcaesar.malware.lu/
Malwr:https://malwr.com/
VirusShare:https://virusshare.com
theZOO:https://thezoo.morirt.com/
下面的链接可以找到更多的样本

Free Malware Sample Sources for Researchers

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注