建立一个恶意代码分析实验室

Share

|

让我们首先将我们的注意力转向建立一个恶意代码分析实验室的niyour很自己。 人们经常问我关于设备，他们需要做的恶意软件分析，在办公室或家中。 正如你下载并测试各种防御性和进攻性的节目，你需要坚实的环境，以便进行这些残酷的实验你自己的。 超越单纯的自由实验，你可能会遇到各种各样的恶意软件标本，是用来对付你自己的生产系统在野外。 利用该实验室的结构，我们将描述在本节中，你将能拨开，并prod恶意软件的时候，你发现，那你便可以得到更深入的了解如何恶意软件标本工作，并损害他们可能造成的。 一个良好的恶意代码分析实验室，你已经为此做好了准备，当恶劣的软件来通话。

注意事项：利用球坛系统及下榻过的互联网

首先，确定你创建了你的实验室使用额外的计算机，你不要依靠生产的目的。 如果你和我一样，你将安装一些漂亮的有毒恶意软件对这些箱子，所以你需要把空气间隙将它们赶走，你的生产网络。 这些机器应该不会连接到你的实际网络或互联网上，直到所有的软件对他们是彻底摧毁了一个彻底改组的硬盘中。 此外，想都不要想存储任何敏感的数据，对这些系统中，由于一些恶意软件类型会偷这个数据或舞弊的，它彻底。 这些箱子应该是一个恶意代码分析实验室及游乐场只。 任何使用这些饭盒的生产环境中，只能造成大量的麻烦。 永远，永远连接这些机器到互联网。 你已经警告！

此外，你就会想要有你的实验室准备轧辊在一个时刻的公告，在发生紧急情况下，例如作为一种快速传播的蠕虫病毒，需要快速分析。 你不想有长达约在实时在这样的一个危机，目前生产箱用在你的实验室。 相反，拨出适当的制度和建立劳顾会提前，让你可以进行分析，对飞。

整体建筑实验室

这些变数列的方式，好消息是，你可以建立一个恶意代码分析实验室在相当低的成本。 你不需要最新哎呀-奇才硬件为你的实验室。 迅速处理器和采空区的内存都不错，但并不要求。 相反，旧的剩余设备从你的公司或轻便的互联网拍卖会就够了。 这里的目标只是为了获得机器将举行的操作系统，专责数应用，以及恶意代码必须加以分析。 这种有限度的要求，可以很容易地填补长毛绒电脑系统。

我的恶意软件分析实验室建筑的，我用四个系统连接在一起。 我建议你建立你的，由实验室的机器至少有350兆赫处理器， 64 mb内存，和一个5 gb的硬盘。 每个系统将需要一个网路卡的，当然是的，但一个简单的10 mbps以太网就够了。 按今天的标准来看，这些怀旧1997箱，应该丰富和便宜。 再次，如果你可以做的比这更好的基线，你将会得到一个spiffier实验室，但不要摧毁你的预算在获得这些制度。 我只是飞身到我最喜欢的对在线拍卖网站，看到桌面系统的硬件简介供少于美国$ 250.00 。 笔记本电脑的这种性质，可以荣登左右美国$ 400.00 。

现在，让我们讨论操作系统，硬件和服务组合。 大家可以看到，我的实验室包含视窗2000系统运行微软的iis web服务器。 许多企业依靠windows 2000和iis服务器是一个最喜欢的恶意软件的目标。 因此，我可以用这个系统来评价许多蠕虫和rootkit攻击，旨在为windows机器。 当然， windows 2000是一个商业操作系统，所以你需要一个合法的执照，这是有可能被列入你的购买硬件本身。

我的下一个系统是一个linux机器，运行一个ftp服务器和apache服务器。 如以往一样，窗户及非法入境者，许多恶意软件标本，特别针对弱势ftp和阿帕奇装置，所以，我想，随时分析。 我的第三个制度是一个windows xp的盒子，配置，以分享文件使用内置的windows文件共享机制。 由于windows xp是一个共同的桌面环境，为家庭和企业用户，我可以测试恶意软件针对这些流行的用户环境。 最后，对于品种，我已经包括了一台openbsd的操作系统。 openbsd是得到更多的关注，由于其显着的内置的安全特性。 i测试这些功能通过运行一个网络文件系统（ nfs的）服务器这个盒子。

对每一项制度，在我的实验室，我已经安装了各种杀毒工具，可以帮助识别各知名恶意软件例子，因为它们装上该系统。 此外，我安装文件完整性检测软件对每台机器监测关键文件和系统设置在一旦恶意软件进行分析尝试作出改变。 虽然我分析了邪恶critters ，我可能会禁用防病毒和文件完整性检查工具暂时获得更多的洞察力，让我过足了该软件的刹车。 不过，我的默认立场，是让这些防御性工具，在运作中，以控制任何污染，在我的实验室，直到我决定让恶意代码运行松散。

我连接所有这些箱子一起用廉价集线器或交换机。 其实，我宁愿用一个枢纽，为我的实验室，因为集线器复制包到所有系统连接到局域网。 这样，我可以运行嗅探器对任何我的实验室连接的机器，并看到邮包送到任何其他系统实验室网络。 如果我用一个开关吧，我需要配置了一个大港口，这是一个单一连接上交换机接收所有数据，从局域网。 有些便宜开关甚至不用一种选择跨度港口。 因此，你最好的赌注，为你的网络病毒分析实验室，是卑微的枢纽。 我已经配置了网络的每一个我的实验室箱，使他们都在同一局域网，使用未经注册的大片的ip地址在10.x.y.z网络范围。 我用10.10.10.z特别简单，因为它的方便型。 我也用的netmask 255.255.255.0 ，这将允许我了，以254不同的机器上对这个网络。 现在，我有很多的电脑，在我的实验室，但我尚未失控地址。

应该指出的是灵活性和务实性是有帮助的特点，你的实验室。 如果一个崭新的恶意软件标本，是释放这违背了一个目标环境，我并没有已经建成，我会很快改变我的实验室，以支持新类型的指标。 举例来说，如果有人发布了一个打击一个apache服务器上运行的窗口，而不是我的默认iis服务器吧，我简单地安装apache对我的一个窗口机，以测试新的病原。 通过营造默认基线实验室基础设施，可以很容易地适应其他环境中，我已经准备好开始，在分析了近什么坏人释放。

另外，请大家不要觉得你要效仿此样本在实验室的确切细节。 觉得自由，以更改它，以适应自己的环境和分析技术。 如果您的雇主使用大量的solaris的机器，丢了一个旧的sparc系统纳入进来，如廉价的sparc五日系统（少于美国$ 100.00在网上拍卖房子在你附近） 。 如果您想检查出马力ux ，即可获得一个老惠普盒，其中包括它在实验室中。 不要用我的实验室规格作为引发骚乱，以限制你的实验室;用我的规格，以此为出发点，你自己的探索和定制。

最后，一定要记住，你不必为了落实这个实验室在其所有的荣耀。 不要担心，如果您不能负担几台电脑;你仍然能够在分析恶意软件。 如果你没有资金，你可以创造一个初级版本，这个实验室只有一台电脑。 建立一个双开机windows与linux机器，安装两个操作系统上的一个单一的票房，所以你可以改用两国之间的一个简单的开机。 这样，您就可以分析恶意代码就至少有一个系统。 你甚至可以带你的实验室进一步下降。 如果你想只集中于windows恶意软件分析，你也可以配置只是一个单一窗口机后，它已经做好了准备，你的分析。

虚拟化一切

劳顾会的架构，我们已经讨论过，所以，现阶段主要集中在购买四个单独的机器和一个枢纽，而是一个甚至niftier执行涉及利用一个虚拟的环境，运行多种不同的操作系统，同时在一个单一的硬件设备。 实施虚拟系统，让我安装主机操作系统对单一台式电脑或笔记本电脑，然后运行几个操作系统在它之上。 东道国只是一个正常的作业系统，运行于我的硬件。 客人操作系统，不过，都只是对运行的程序再加上我的主机操作系统。 这些客人是真正的操作系统运行，同时对所在国家，在这方面他们可以运行程序本身和沟通跨越一个虚拟网络连接，所有这些虚拟系统在一起。 每个住客经营制度实施后，通过一个仿真程序运行在主机上，并包括了数档的东道国。 客人系统甚至根本不知道，他们不是真正的！ 他们认为他们是单独的系统上运行他们自己的硬件，但他们真的只是共享一个处理器。 用这种办法，我建有三个或三个以上不同的虚拟系统和开办这些学校在同一时间，就一台计算机。

用一个虚拟的环境，为恶意软件分析，是不是一个新思路。 事实上，研究人员研发了一些极具前瞻性的工作，对恶意软件的分析中的应用虚拟机环境早在2000年。 我用类似的概念在我自己的实验室。

各种节目，可说让你把一台机器变成东道国举办几个不同的操作系统。 商业工具，如vmware的（可在www.vmware.com ） ，虚拟光驱（可在www.connectix.com ） ，以及其他效仿的x86处理器，在软件，使您可以安装和运行的虚拟电脑，再加上一套单一的硬件。 甚至还有免费软件工具，这样做的，如以plex86虚拟机项目，在http://plex86.sourceforge.net和bochs工程http://bochs.sourceforge.net 。 此外，如果你想仅在linux ， uml的项目，可以运行多重的，独立的linux内核里面linux的过程对一个单一的linux机器。 uml是供免费http://user-mode-linux.sourceforge.net 。

美，在这个虚拟的实施，是因为我可以携带我的整个恶意软件分析实验室，我就一个单一的笔记本电脑，并考验恶意软件就行。 此外，大多数的这些虚拟系统管理工具，使你击退任何改动一个虚拟机没有重建一个系统，立即恢复了住客操作系统，其原有配置。 如果有人恶意礼遇餐厅了我的一个虚拟机器吧，我只是瞬间定它退回到原来的状态。 因此，我可以安全地观看恶意软件的影响，对我的（纯属虚拟）网络，使我的思维正常，同时与一些非常恶劣和漏洞攻击代码。 这个回复的特点是大大有益的。 我什至可以冻结住客的作业系统，其原理是，停止所有行动，而我的分析是什么讨厌的软件所做的。

当然，为了运行所有这些虚拟机器在同一时间，所在计算机硬件必须买到比相对瘦弱的系统描述，在最后一节。 事实上，有足够的内存和cpu马力，你可以虚拟地接近任何事情。 如果你打算运行一个虚拟的恶意软件分析实验室，我建议至少2千兆赫处理器，其中至少有64 mb内存，为每一个客人操作系统，你打算上运行。 因此，如果你想办一个单一的主机操作系统及三位客人，你应该有256 mb或更多的内存。 舒适起见，你可能要到未来一倍内存数字到512 m ，使你的系统可以运行在一个比较合理的速度。 与虚拟的操作系统，内存是氧气，可以让机器呼吸。

为我自己的便携式虚拟实验室，我用vmware的产品。 这是一个商业的工具，但我发现它会更稳定和更灵活的比一些免费的虚拟系统产品。 ' ve的成立vmware的关于我的windows 2000的主机操作系统进行一群不同住客的作业系统，包括windows xp ，各种incarnations红帽linux操作系统， freebsd操作系统，和windows 2000 server 。 我可以运行任何或所有这些操作系统在同一时间，或暂停，为下一步分析。 一个虚拟的环境，并不需要为执行一项恶意代码分析实验室，但可以肯定，使分析过程有很多更容易和更便携！