YU-Ming 以及校对正在编辑和校对这份文件,该文件正在一份注中重复。
如果您想要建立自己的恶意软件分析实验室,通常需要知道如何下载和安装 Windows 虚拟机器进行恶意软件分析:
第1步:安装虚拟程序。
步骤2:进入Windows虚拟计算机。
步骤3:升级虚拟机器,安装恶意软件分析工具。
第四步:断开虚拟分析器 关闭Windows Defense 抗病毒系统
步骤5:恶意分析
安装虚拟化软件
安装适合您的虚拟软件 。虚拟Box和超V都是极好的免费解决方案。如果你想为实验室设置一个无头服务器,请遵循这些步骤。因此,VMware vSphere Hepervisor(以前称为ESXi)可能是一个很好的选择。它也是免费的。
如果您想使用VMwareWorkstation,请到这里。需要商业版本:Windows和Linux WorldPro或Marcos Fusion Pro。免费版本中不支持抓图 。但是在恶意软件评估期间需要一份快照才能恢复虚拟机器的地位,以便开始新的调查或回顾性分析活动。VMware提供免费的30天审判。
获得 Windows 虚拟机
如果您不购买 Windows 的核定版本,微软提供免费 Windows 10 虚拟机器下载。将 https://devoper.org 的 https://devoper.org 输入 Microsoft 边缘, 下载虚拟机器页面。 对不起, 微软。 "MSEdge on Windows 10 (x64),"然后选择一个与您安装的虚拟平台相对应的平台。
如果您使用 Mac OS, 在获得“ unargister” 等免费程序之前, 您可能无法压缩文件的内容 。
数据下载和压缩后,虚拟机器将按适当程序启动。例如,VMware,您应该将文件压缩成一个特定文件夹,以 " MSEGE-Win10 " 的名称打开。File vmx。
这个虚拟机器的视窗操作系统在90天后失效。 微软建议 : “ 当您最初安装虚拟机器时, 请按下一个快照 ; 您可以稍后返回到这个快照 。 ” 我不知道我该怎么办 。
微软的虚拟机器密码是“ Passw0rd!! ” 您不需要输入密码来启动虚拟机器, 虚拟机器会自动登录; 但是, 您可能需要输入密码来定制操作系统或安装应用程序 。
刷新虚拟机器,安装病毒检测软件。
当您首次启动虚拟机器时,如果您的实体主机可以访问互联网,它将能够连接到互联网上。您可以使用这个连接将操作系统更新到最新的补丁级别,并安装恶意软件分析工具。
下一步是安装恶意软件分析工具。在恶意软件实验室分析中,推荐的免费 Windows 应用程序很少。
行为分析工具包括程序监测、ProcDOT、程序黑客和Wiresark。
代码分析工具包括PeStudio、IDA Freeware、x64dbg和Scylla。
也可以使用FLARE VM分布,自动安装许多免费病毒分析工具。
虚拟机器也可以用来安装有用的工具。VMware工具就是这样。这些装置与虚拟软件相连。此外,剪贴板和文件的内容也可以在实际主机和虚拟机之间随时交换。然而,他们的存在将产生一种可能性,即危险的软件将识别虚拟化和试图逃跑。
如果您不使用通过虚拟化软件实现的文件共享技术,您就可以使用它。有必要确定档案如何在虚拟计算机内外运输。从虚拟计算机上访问USB驱动器是一个可行的办法。另一种方法是SFTP,它能够使用Windows的内部SSH服务器。然后使用实际主机或另一台虚拟机器使用SFTP客户端(如WinsSCP)。
断开分析虚拟机器 关闭Windows Defense防病毒系统
首先 关掉你的虚拟电脑
可以禁用虚拟机的共享文件夹,以使恶意软件更难逃脱。例如,在VMware Workstation Pro中,进入虚拟机>设置...>选项>共享文件夹,然后点击禁用。
改变虚拟机的网络设置,使其没有任何网络访问。例如,在VMware Workstation Pro中,你可以通过进入虚拟机>设置...>硬件>网络适配器并选择 "仅主机",将其放入 "仅主机 "模式。
在限于主机网络的网络中,实体主机的虚拟网络适应器连通性也可用。为了更好地隔离,一种选择是为虚拟机器建立一个专门的虚拟网络。然后设置虚拟计算机连接到自定义网络。不过如此操作,SFTP 工具无法在虚拟主机和实体主机之间传输文件 。
下一步,重新启动您的虚拟计算机, 它现在与物理网络断开 。
在虚拟计算机中,使Windows Defense反病毒功能失效。这样,防火墙就不会妨碍恶意软件调查。建议采用集体战术来达到这一目的。避免Windows防火墙定期重新出现。您也可以使用组合策略禁用 Windows 更新 。
等虚拟机器按照你喜欢的方式设置后 我们拍个快照吧
在分析恶意软件时,要小心不要感染错误的机器。并减少“物种”(恶意软件分析师)通过虚拟飞行孔感染主机的可能性。大力考虑使用主机进行这种研究;该系统将不用于其他工作。它们也不应与生产网络挂钩。
分析恶意软件
所以,你准备调查 一些恶意软件!
下文提供了用于学习恶意软件分析的免费资源选择。
有害软件反向工程手册。
https://zeltser.com/malware-analysis-cheat-sheet/
..恶性文件分析的速度测试。
zeltser.com/analyzing-malicious-documents/
恶意代码反向工程的标志
zeltser.com/reverse-engineering-malicious-code-tips/
恶意软件分析分为四个阶段。
zeltser.com/mastering-4-stages-of-malware-analysis/
恶意软件分析视频YouTube简要概要
zeltser.com/malware-analysis-webcast
https://zeltser.com/free-malware-analysis-windows-vm/
参考链接:
https://www.sans.org/course/reverse-engineering-malware-malware-analysis-tools-techniques
https://zeltser.com/malware-analysis-cheat-sheet/
https://zeltser.com/analyzing-malicious-documents/
https://zeltser.com/reverse-engineering-malicious-code-tips/
https://zeltser.com/mastering-4-stages-of-malware-analysis/
https://zeltser.com/malware-analysis-webca