Содержание
Как настроить лабораторию анализа вредоносных программ
Гипервизоры
- VMware
- VirtualBox
Мы будем использовать VirtualBox, потому что его проще всего настроить.
Вы можете скачать VirtualBox отсюда.
Важные заметки
- Не используйте ваш основной компьютер, случайные инфекции могут быть очень опасными.
- Используйте другой сегмент сети / подсеть, чтобы избежать случайного заражения других компьютеров в вашей сети.
- Большинство современных вредоносных программ разработаны с учетом анти-анализа.
- Они поставляются с функциями анализа и проверки
- Они также поставляются с функциями анти-виртуальной машины, которые не позволяют ей работать как задумано, когда она обнаруживает, что она работает в виртуализированной среде.
Как избежать проверок на наличие вредоносных программ и виртуализаций
- Сделайте систему максимально реалистичной.
- Используйте общие спецификации оборудования
- 2-4 ГБ ОЗУ
- Более 80 ГБ места на жестком диске
- 2 или более процессоров
- Установите часто используемое программное обеспечение
- VLC
- Adobe
- Firefox, Chrome и др.
- Вы также можете открыть и просмотреть несколько документов.
- Не устанавливайте гостевые дополнения VirtualBox – это снизит производительность и общее удобство, но это очень важно.
- Обманите вредоносное ПО, заставив его думать, что оно в сети. Обычно вредоносное ПО проверяет, может ли оно подключиться к обычным сайтам, и вы можете использовать FakeNet, чтобы избежать этого. И следите за тем, какие сайты смотрит вредоносная программа.
Начало работы – Настройка базового экземпляра
- Технические характеристики системы
- Установите все инструменты, которые вы будете использовать (инструменты анализа и другие)
- Обновите вашу систему до нужной версии.
- Отключите обновления, защиту от вредоносных программ и брандмауэр.
Теперь сделайте снимок базовой системы, это будет снэпшот, к которому вы вернетесь, когда захотите проанализировать новое или другое вредоносное ПО.
Настройка экземпляра анализа
- Настройка хост-адаптера
- Удалите гостевые дополнения VirtualBox
- Настройка FakeNet
FakeNet: https://sourceforge.net/projects/fakenet/
Примечание. Если вы хотите перенести файлы на виртуальную машину, вы можете создать общую папку.