挺好玩的。

原文：https://blog.csdn.net/deux/article/details/199757?utm_source=blogxgwz0

包子@鄭州大學網路安全園 
http://secu.zzu.edu.cn 

搭建一個基於*nix系統的蜜罐網路相對說來需要比較多系統維護和網路安全知識的基礎，但是做一個windows系統的蜜罐(下面簡稱winpot)的門檻就比較低，而且大部分朋友都會M$的select & click :)，今天我們就一起嘗試搭建一個windows下的蜜罐系統 

由於win和*nix系統不一樣，我們很難使用有效的工具來完整的追蹤入侵者的行為，因為win下有各式各樣的遠端管理軟體(VNC,remote-anything)，而對於這些軟體，大部分防毒軟體是不查殺他們的，而我們也沒有象LIDS那樣強大的工具來控制Administrator的許可權，相對而言，winpot的風險稍微大了點，而且需要花更加多的時間和精力去看管他，沒辦法，門檻低了，風險當然就會相對高了。 

OK，開始 
先介紹一下我們需要的軟體 

vpc Virtual pc，他是一個虛擬作業系統的軟體，當然你也可以選擇vmware. 

ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器 

evtsys_exe.zip 一個把系統日誌傳送到log伺服器的程式 

comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程式，不會在程序列表中顯示，因為入侵者執行的的確是cmd.exe :) 

Kiwi_Syslog_Daemon_7 一個很專業的日誌伺服器軟體 

norton antivirus enterprise client 我最喜歡的防毒軟體，支援win2k server。當然，如果你覺得其他的更加適合你，你有權選擇 

ethereal-setup-0.9.8.exe Ethereal的windows版本，Ethereal是*nix下一個很出名的sniffer，當然，如果你已經在你的honeynet中佈置好了 
sniffer,這個大可不必了，但是本文主要還是針對Dvldr 蠕蟲的，而且ethereal的decode功能很強，用他來獲取irc MSG很不錯的 
WinPcap_3_0_beta.exe ethereal需要他的支援。 
md5sum.exe windows下用來進行md5sum校驗的工具 

綠色警戒防火牆 對入侵者做限制 

windows 2000 professional的ISO鏡象 用vpc虛擬作業系統的時候需要用到他 

除了windows 2000 professional的ISO鏡象，本文涉及的所有程式都可以在鄭州大學網路安全園下載的到 
http://secu.zzu.edu.cn 

Dvldr蠕蟲簡介 
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器，如果成功，則感染機器，並植入VNC修改版 
本，並向一個irc列表彙報已經感染主機的資訊，同時繼續向其他機器感染。可以訪問鄭州大學網路安全園或者關於他更詳細的資訊。 

一：使用VPC安裝一個win2k pro，具體的安裝方法本文就省略了，打上所有的補丁，只留一個漏洞，就是dvldr蠕蟲需要的administrator的空 
密碼。 

二：安裝norton antivirus enterprise client，升級到最新的病毒庫，並啟動實時監控 

三：用cmdlog替換cmd.exe程式,把comlog101.zip解壓縮後有五個檔案cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和 
readme.txt都是說明檔案，md5.txt包含這五個檔案的md5校驗和的值，我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改 
D:comlog101>md5sum.exe * 
md5sum.exe: .: Permission denied 
md5sum.exe: ..: Permission denied 
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe 
484c4708c17b5a120cb08e40498fea5f *com101.pl 
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt 
121bf60bc53999c90c6405440567064b *md5.txt 
eb574b236133e60c989c6f472f07827b *md5sum.exe 
42605ecfa6fe0f446c915a41396a7266 *README.TXT 
把這些數字和md5.txt的數字對比，如果出現不一致，就證明程式遭受修改，請勿使用並通知我 

在校驗無誤之後,我們開始覆蓋系統的cmd.exe。先開啟資源管理器-->工具-->資料夾選項-->檢視，把"隱藏受保護的作業系統檔案"的鉤去掉， 
並選擇"顯示所有檔案和資料夾"-->確定 
然後去到C:WINNTsystem32dllcache目錄，並找到cmd.exe,並把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl複製到這裡,並把C 
:WINNTsystem32下的cmd.exe也改成cm_.exe，同樣把comlog101目錄下的cmd.exe和com101.pl複製到這裡。在這段時間，系統會提醒你係統 
檔案遭到修改，問你是否修復，選擇取消就可以了。然後在C:WINNTHelp目錄下建一個叫"Tutor"的目錄，這裡是用來放cmd.exe的命令記錄的地方，當然你同樣可以修改com101.pl來選擇日誌的存放位置。 

現在我們執行cmd.exe,你會發現視窗一閃而過，這是因為我們還沒裝perl解析器。執行ActivePerl-5.8.0.805-MSWin32-x86.msi，一路next就OK了。 

現在我們執行cmd.exe,這回我們可愛的cmd視窗就跳出來了，隨便敲幾個東西進去，然後去到C:WINNTHelpTutor目錄下，你就可以看到記錄了。為了避免記錄自己在cmd.exe的操作，我們可以把原來的cmd.exe改成另外一個名字來執行。 

四：安裝日誌伺服器，我們選擇Kiwi的Syslog Daemon 7是因為他夠專業並且有很多統計資訊和支援產品，一路next並啟動服務即可。 
netstat -an我們可以看到514埠 

UDP  0.0.0.0:514      *:* 

五：安裝evtsys_exe,解壓縮之後有兩個程式evtsys.exe和evtsys.dll，同樣需要檢測檔案是否被修改 
D:evtsys_exe>md5sum.exe * 
md5sum.exe: .: Permission denied 
md5sum.exe: ..: Permission denied 
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll 
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe 
eb574b236133e60c989c6f472f07827b *md5sum.exe 
如果一切正常的話，執行evtsys.exe /? 
D:evtsys_exe>evtsys.exe /? 
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char] 
-i      Install service (安裝服務) 
-u      Uninstall service (解除安裝服務) 
-d      Debug: run as console program (以debug模式執行) 
-h host   Name of log host (日誌伺服器IP地址) 
-p port   Port number of syslogd (日誌伺服器埠，預設是514) 
-q char   Quote messages with character 

Default port: 514 

我們執行D:evtsys_exe>evtsys.exe -h 日誌伺服器IP -i來安裝服務 
這樣你係統的應用程式日誌，系統日誌，安全日誌都會發到日誌伺服器去了，這樣我們就可以更加真實的瞭解到系統的執行情況。 

六：安裝WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe 
下面針對本案例大概的說說ethereal的使用 

先啟動ethereal 
capture->start 

capture packets in promiscuous mode 
不選這個，因為我們只需要得到本機的資訊，不需要以混雜模式執行 

filter 
filter name:irc 
string:ip host urip and tcp port 6667 
只能有一條規則，但是可以使用邏輯符號 
否定(`!' or `not') 
交集(`&&' or `and') 
並集(`||' or `or') 
還有=,>=,+,&等等 
更加詳細的設定請檢視ethereal的manual 
先自己測試一下sniffer是否工作 
連線上IRC，併發言，我們可以看到一些結果 

然後選擇一個記錄，並且按”follow tcp stream”就可以檢視IRC的聊天內容了 

七：安裝設定綠色警戒防火牆 關閉“進入請求通知”，開放共享，把所有的入侵檢測對策的“攔截”都改成“警告”，警告級別都改成“記錄”，我們主要是想了解一下大概的攻擊情況 

接著打掃戰場，把你下載的軟體，臨時檔案，歷史記錄，文件的記錄全部刪除，並再次開啟ethereal 

現在剩下的就是等蠕蟲感染來了………………

唉…………
悲哀的人，這幾天買了本《加密和解密》回來啃，程式設計方面偶真的是太爛了，非計算機專業搞計算機的悲哀……
什麼IDA，WIN32DASM都8懂~~~~

上面的文章補充一下，在一切安裝完畢之後用regsnap做個snap會比較好的