病毒分析:虛擬網絡環境配置
創建主機網絡模式:
主機模式(Host-only)網絡,可以在宿主操作系統和客戶操作系統之間創建一個隔離的私有局域網,在進行惡意代碼分析時,這是通常采用的聯網方式。主機模式的局域網並不會連接到互聯網,這意味著惡意代碼會被包含在虛擬機裏,同時也允許某些網絡連接。
自定義配置:
讓兩個虛擬機相互連接。一個虛擬機可以同來運行惡意代碼,而第二個虛擬機則提供一些必要的網絡服務。兩個虛擬機都被連接到同一個VMNet虛擬交換機上。
我這裏使用WIN7進行分析惡意代碼,Kali進行提供網絡服務。
一、在VMware Workstation菜單欄 ==> 編輯 ==> 虛擬網絡編輯器 ==> 添加網絡 ,這裏選擇一個沒用過的網絡(我這裏選的是2)。 確定後將下面的選成僅主機模式。
二、將WIN7和Kali的網絡連接都改成 自定義:特定虛擬網絡,選擇上一步添加的這個VMnet。(我這裏是2)
三、提供網絡服務的虛擬機的設置:
1、查看本臺機器的ip:
2、配置INetSim
編輯INetSim的配置文件:inetsim.conf 。這個文件路徑 /etc/inetsim/inetsim.conf
1)
#service_bind_address 10.10.10.1 取消註釋並改為Kali的IP
2)
#dns_default_ip 10.10.10.1 取消註釋該行並改為Kali的IP
3)將重定向地址改成Kali的ip
配置好了後運行INetSim
四、分析病毒的虛擬機的配置:
DNS服務器、網關都必須是INetSim綁定的IP。
配置好了後,隨便輸一個url
五、使用ApateaDNS
查看惡意代碼發出的DNS請求。
在運行惡意代碼的虛擬機的裏使用ApateDNS,打開後將DNS Reply IP設置成提供網絡服務的虛擬機的IP。
參考:
《惡意代碼分析實戰》
https://www.cnblogs.com/hyq20135317/p/5515675.html
https://www.52pojie.cn/thread-330528-1-1.html
https://techanarchy.net/2013/08/installing-and-configuring-inetsim/
病毒分析:虛擬網絡環境配置