Практический анализ вредоносных программ: введение

Первоначально опубликовано на https://pranavc.tech/.

Введение

Ранее в этом году я хотел заняться анализом вредоносных программ, я предпочитаю изучать вещи на практике, поэтому я попросил одного из своих профессоров порекомендовать подходящие ресурсы, он сказал мне проверить Практический анализ вредоносных программ Эндрю Хонига и Майкла Сикорски.

Мой опыт

Лично я получил массу удовольствия от этой книги, хотя книга довольно старая, я считаю, что представленная информация (в рамках этого блога) является основополагающей и обеспечивает хорошую ступеньку на пути к вредоносным программам.

Книга довольно интересная и практичная, однако при прочтении книги у меня иногда возникали проблемы с правильной настройкой лабораторных работ и поиском нужных ресурсов, поэтому я пишу этот блог поэтапно. пошаговые инструкции по настройке лабораторных работ вплоть до главы 3 в книге.

Виртуальные машины

При анализе вредоносных программ предполагается, что необходимо использовать виртуальную машину, здесь я буду использовать VMware Workstation для управления машинами.

Настройка виртуальных машин

Здесь мы используем 2 виртуальные машины, виртуальную машину Windows XP и виртуальную машину Debian. Для начала пройдемся по настройке VMware, установить его можно здесь, перед установкой потребуется создать учетную запись. После завершения настройки вы должны увидеть экран, подобный этому,

Теперь загрузите виртуальную машину Windows XP, Microsoft больше не поддерживает официальную загрузку для этого, но я немного осмотрелся и нашел кого-то, кто размещает ее на Github. После загрузки файла .ova вы можете просто выбрать параметр Open a Virtual Machine и открыть файл ova. файл, теперь у вас есть работающая виртуальная машина Windows XP. Здесь вредоносное ПО будет анализироваться.

Для виртуальной машины Windows выберите Edit virtual machine settings под Hardware, выберите Network Adapter и установите для него значение Host-Only, большинству вредоносных программ требуются сетевые возможности, поэтому это делается для того, чтобы вредоносные программы не могли атаковать вашу реальную сеть.

Виртуальная машина Debian будет использоваться для имитации сети для базового динамического анализа, файл .vmdk можно найти здесь. Я бы посоветовал выбрать 64-битную версию для настольных компьютеров.

Чтобы создать виртуальную машину Debian, выберите Create a New Virtual Machine, для операционной системы выберите I will install the operating system later, для типа операционной системы выберите Linux и Debian 10.x, остальные параметры на ваше усмотрение, вы можете оставить настройки по умолчанию.

После этого выберите Edit virtual machine settings для виртуальной машины Debian, под Hardware удалите Hard Disk, затем в самом низу выберите параметр Add, добавив новый жесткий диск, выберите рекомендуемый тип диска, когда будет предложено выбрать диск, используйте существующий диск и перейдите к загруженному файлу Debian .vmdk, сохраните его как новый жесткий диск.

Теперь вы можете загрузить виртуальную машину, имя пользователя и пароль для этой виртуальной машины — osboxes.org.

Настройка лабораторий

Теперь, когда виртуальные машины установлены, давайте приступим к лабораторным работам, вы можете скачать бинарники здесь, но пока не распаковывайте их. Поскольку это книга для начинающих, многие из этих двоичных файлов устарели и поэтому автоматически удаляются при обнаружении на новых компьютерах. Вы не можете загрузить его напрямую на виртуальную машину Windows из-за настроек сети.

Что вы должны сделать, это использовать USB для передачи файлов между виртуальной машиной и основным компьютером, именно так я также установил большинство необходимых инструментов. Распаковка файлов на виртуальной машине Windows должна оставить все лабораторные работы нетронутыми, чтобы вы могли поиграть с ними.

Инструменты

Наконец, инструменты, большинство из которых довольно легко найти в Интернете, и их назначение объясняется на протяжении всей книги. Я скомпилировал заархивированную версию инструментов, необходимых для глав 0–3, файлы здесь INETSIM предназначены для использования на виртуальной машине Debian, остальные должны быть установлены на виртуальной машине Windows. Скачать инструменты здесь.

Вывод

Вы все готовы к практическому анализу вредоносных программ, это руководство поможет вам настроиться, и (надеюсь) вам не придется лазить по Интернету, чтобы загружать что-то. Надеюсь, вы получили такое же удовольствие, как и я, от этой книги!