구축하는 악성 프로그램 분석 실험실


  Share  
|


먼저 우리의 관심을 돌려 봅시다 구축하는 악성 프로그램 분석 실험실의 niyour 매우 자체입니다. 사람들이 자주 물어 나를 내용은 장비들이 필요로하지 악성 프로그램 분석을 집에서 또는 사무실에서입니다. 를 다운로드 및 테스트를 다양한 방어 및 공격적인 프로그램이 필요합니다 탄탄한 환경을 더욱 이러한 freakish 실험을 자신합니다. 를 넘어 불과 프리랜서 실험을 할 수있습니다 표본에서 발생하는 각종 악성 프로그램에 대해 자신의 생산 체제에서 사용 야생합니다. 실험실 구조를 사용하여이 섹션에 대해 설명 드리겠습니다하실 수있습니다 및 생산성을 포크 악성 소프트웨어를 찾는 깊은 이해를 얻을 수 있도록 사용자의 표본하는 방법에 악성 프로그램이 작동하고 그 피해 그들 인해 발생했을 수도있습니다. 와 함께하는 좋은 악성 프로그램 분석 실험실을하실 수있습니다 싸 준비가되면 소프트웨어가 온다 호출합니다.

주의 사항 : 인터넷의 사용 nonproduction 시스템 및 체류 해제

먼저, 여분의 컴퓨터를 사용했는지 확인하십시오 건립하여 실험실에 대한 생산 목적에 의존하지 않는 것이있습니다. 나 같은 경우가됩니다 일부 예쁜 유해 악성 프로그램을 설치에서 이러한 박스, 그래서 그들을 해제해야합니다 공기 격차의 생산 네트워크를합니다. 이 기계는 안 사상으로 연결됩니다 여러분의 실제 네트워크 또는 인터넷까지 모든 소프트웨어에 대한 그들이 완전히 파괴는 철저한 포맷은 하드 드라이브입니다. 또한, 모든 중요한 데이터를 저장하지 않는다 생각조차 이러한 시스템에서, 일부 악성 프로그램 종류 수 도용이 데이터를하거나 손상된 것이 철저하게합니다. 이러한 박스이어야 악성 프로그램 분석 실험실과 운동장 전용입니다. 프로덕션 환경에서 이러한 상자를 사용할 수없습니다 방대한 양의 문제가 발생할 수있다 불과합니다. 결코, 사상 이러한 기계를 인터넷에 연결합니다. 되셨습니다을 경고합니다!

또한, 귀하는 귀하의 실험실하려면 준비가 롤 한 순간의 통지, 비상 등에서 이벤트의 속도가 빠른 - 확산 웜이 필요한 간략한 분석을합니다. 풀과를 해결하지 않으려는가 실시간으로 현재의 생산 과정이 같은 위기 상황에 대한 귀하의 실험실에서 상자를 사용합니다. 대신, 할당에 적절한 시스템과 빌드를 실험실에 미리 볼 수있습니다를 즉시 분석을 실시합니다.

전반적인 실험실 아키텍처

이러한주의 사항과 함께 밖의 방법으로 할 수있는 좋은 소식은 빌드하는 악성 프로그램 분석을 실험실에서 꽤 낮은 비용입니다. 하실 필요가없습니다의 최신 저런 - 천재 하드웨어에 대한 귀하의 실험실입니다. 가하는 빠른 프로세서와 gobs의 램이 멋집을 갖고 있지만 필요가없습니다. 대신, 기존 잉여 장비에서 귀하의 회사를하거나 편리한 인터넷 경매하면 충분할 것입니다. 목표가 다음은 단순히 기계가 개최하는 운영 체제를 구하려는 몇 응용 프로그램을 선택하고 악성 프로그램을 분석합니다. 이러한 제한 요건을하실 수있습니다 plush 컴퓨터 시스템을 쉽게 기입하지 않고있습니다.

에 대한 내 악성 프로그램 분석 실험실 건축, 나는 네 개의 시스템에 연결을 함께 사용합니다. 저는 귀하의 실험실에서 기계를 사용하여 작성하는 것이 좋습니다 최소한 한 350 mhz 프로세서, 64 mb의 램, 그리고 5 영국 하드 드라이브가있습니다. 각각의 시스템은 네트워크 카드가 필요합니다, 물론, 그러나 간단한 10 - mbps 이더넷하면 충분할 것입니다. 오늘날의 기준에 의해, 이러한 구형 - 1997 상자를해야한다 풍부한와 값싼. 만약이 기준보다 나은 작업을 수행할 수있습니다하실 수있는 spiffier 연구실하지만, 귀하의 예산을 찾아 이러한 시스템하지 않는 길이다. 방금 확대된 이상을 내가 좋아하는 일 - 라인 경매 사이트, 그리고 보니 데스크탑 시스템과 함께이 하드웨어 프로필을 사용할 수있습니다 미국 250.00달러 각각에 대한 미만입니다. 이러한 성격의 노트북 컴퓨터를 해결하실 수있습니다 수비에 대한 미국 400.00달러 각합니다.

이제는 운영 체제로 이동합시다 하드웨어와 서비스를 혼합합니다. 볼 수 있듯이, 나의 연구실을 포함 windows 2000 시스템을 실행 마이크로 소프트의 iis 웹 서버를합니다. 많은 기업에 의존 windows 2000, iis 서버가 좋아하는 악성 프로그램 대상입니다. 따라서, 나는이 시스템을 사용할 수있습니다 평가 수많은 웜, rootkits을 위해 설계 windows 기계입니다. 물론, windows 2000은 상업적인 운영 체제, 이렇게해야 합법적인 라이센스를 그냥되었을 수에 포함 구매의 하드웨어 자체입니다.

내 다음 시스템이 리눅스 시스템을 실행하는 ftp 서버와 아파치 웹 서버를합니다. 단지와 같이 창 및 iis, 많은 악성 프로그램 표본 특별히 타겟으로 취약 ftp, 아파치 설치, 그래서 그들이되고 싶은가 준비를 분석할 수있습니다. 제 3 차 시스템은 windows xp 상자에서 파일을 공유하도록 구성되어 windows 파일 공유 메커니즘을 사용하여 구축 -에서입니다. windows xp는 것은 일반적인 데스크탑 환경을위한 있기 때문에 모두가 정 및 기업 사용자, 나는 이러한 인기를 사용자 환경을 타겟으로하는 악성 프로그램을 테스트합니다. 마지막으로,에 대한 다양성을 제시해드립니다 openbsd 한 시스템과 함께 운영 체제를합니다. openbsd이 점점 늘어 주목을 이유로 그 중요한 기본 -의 보안 기능을합니다. 나는 이러한 기능 테스트를 실행하여 네트워크 파일 시스템 (아키텍처) 서버에서이 상자를합니다.

에 대한 각각의 시스템에서 내 연구실, 나는 설치했습니다은 다양한 안티 바이러스 도구를 식별하는 데 도움이되는 다양한 잘 - 알려진 악성 프로그램 예으로 그들은이 시스템에로드됩니다. 또한, 각 컴퓨터에 소프트웨어를 설치합니까 파일 무결성 검사를 모니터 중요한 파일 및 시스템 설정의 이벤트는 악성 프로그램하에 분석을 시도를 변경합니다. 분석하는 동안 나는 악한 critters, 나는 바이러스 백신 및 파일을 해제 할 수도있습니다 무결성 점검 도구를 일시적으로 더 많은 통찰력을 주어 내 발 오프의 소프트웨어를 브레이크입니다. 그러나, 내 기본 입장은 이러한 방어 도구를 떠날에서 작업을 제어하기 위해 어떤 오염 이내 내 연구실까지 나는 결정을하도록합니다 느슨한 악성 프로그램을 실행합니다.

나는 이러한 모든 박스를 함께 연결합니다 값싼 허브 또는 스위치를 사용합니다. 저는 실제로 사용하는 허브에 대한 선호 내 연구실, 허브를 복제하기 때문에 패킷을 모든 시스템에 연결되어 랜. 이 방법으로, 나는 중 하나에서 실행할 수 스니퍼 내 연구실 - 연결된 기계, 및 내용은 패킷을 전송하여 다른 시스템에있는 실험실 랜. 만약 내가 사용하는 스위치, 나는 한 뼘 포트를 구성해야합니다, 이것은 하나의 연결에있는 스위치을받는 모든 데이터를 랜. 일부 싼 스위치를하지 않는다 span 포트에 대한 옵션도 갖고있습니다. 따라서,가 장 좋은을위한 네트워킹하여 악성 프로그램 분석 실험실은 1840 허브입니다. 구성하였습니다에서 네트워킹의 각은 내 연구실 박스 그들은 모두를 같은 랜, 한번 벤 면적을 사용하여 등록되지 않은 주소의 범위에서 10.x.y.z 네트워크입니다. 내 사용 10.10.10.z 특히, 간단하기 때문에 편리하게 입력합니다. 나는 또한 사용하는 넷마 스크는 255.255.255.0, 어떤 것이 나에게 최대 254 서로 다른 기계에서 허용이 네트워크입니다. 지금, 나는 많은 컴퓨터에서 내 연구실, 그러나 나는 아직 부족을 해결할 수있습니다.

이 코드는 지적 유연성과 실사구가 도움이 되셨 성격의 실험실입니다. 표본이 출시되면 브랜드가 새로운 악성 프로그램에 대해 실행되는 대상 환경 모르겠는 이미 구축을 드리겠습니다 빠르게 수정을 내 실험실을 지원하는 새로운 유형의 대상입니다. 예를 들어, 다른 사람이 보도 자료 an에 대한 공격 아파치 웹 서버에서 실행 창을 대신에 내 기본 iis 서버, 드리겠 중 하나에 아파치를 설치하기만하면 내 windows 기계를 테스트에 새 pathogen. 에 의해 작성하는 기본 기준 실험실 인프라에 쉽게 적응을 수있는 다른 환경, 저는 분석을 거의 아무것도를 시작할 준비가 좋지 않은 애들 드릴것을 약속합니다.

또한,이 있는지 판단하지 마십시오을 에뮬레이션이 샘플을 실험실에서 정확한 명칭입니다. 언제든지 달라질 그것을 이용해 자신의 환경 및 분석 기법입니다. 귀하의 고용주를 사용하는 대규모의 solaris 기계, 던질 오래된 sparc 시스템에 혼합과 같은 값싼 sparc 5 시스템 (이하 미 $ 100.00 언제가 인터넷 경매 집 근처됩니다). 체크 아웃하려는 경우 휴렛 패커드 - ux를 얻을 오래된 휴렛 패커드 상자를 포함 그것은 실험실입니다. 내 연구실을 사용하지 마십시오 규격으로 제한을 제한하는 실험실; 내 제원 시작 지점으로 사용에 대한 자신의 탐사 및 사용자 정의가있습니다.

마지막으로, 유념하실 필요가없습니다 본 연구실의 모든 그 영광을 구현합니다. 걱정하지 마십시오 감당할 수없는 경우 여러 대의 컴퓨터; 악성 프로그램을 분석할 수있습니다. 이없는 경우에 해당 금액을 쓸 수를 만들 주니어 버전은이 연구실만으로 단일 컴퓨터입니다. 빌드하는 듀얼 - 부트 윈도우즈 및 리눅스 머신을 설치하는 운영 체제를 한 상자를 모두 볼 수있습니다 간의 전환이 두있는 간단한 재부 팅합니다. 이 방법을 사용하실 수있습니다 최소한 하나 이상의 시스템에 악성 프로그램을 분석합니다. 심지어 스트립의 실험실 다운 더 이상 할 수있습니다. 방금 초점을하려는 경우 windows 악성 프로그램 분석을 할 수도 구성 그냥 단일 windows 머신, 데 그것 준비를 수행하여 분석합니다.

virtualizing 모든 것을

실험실 건축했습니다 지금까지 논의를 중점적으로 구입하는 4 개의 개별 시스템과 허브하지만, 짝수 niftier 구현을 포함하는가 상 환경을 사용하여 서로 다른 운영 체제를 실행하려면 단일 하드웨어 상자에서 동시에합니다. 상 시스템을 구현할 수있게 해주을 설치하는 호스트 운영 체제를 단일 데스크톱이나 노트북 컴퓨터를 누른 다음 실행을 여러 게스트 운영 체제에 대한 기이다. 호스트는 단지 일반적인 운영 체제, 내 하드웨어에서 실행됩니다. 게스트 운영 체제, 그러나,이 단순히 실행되는 프로그램의 상단에 내 호스트 운영 체제입니다. 이러한 손님들이 진정한 운영 체제를 실행하는 동시에 호스트에서,이 그들 자신과 통신하는 프로그램을 실행할 수있습니다 상 네트워크 전반에 걸쳐 이러한 모든 상 시스템을 함께 연결합니다. 각 게스트 운영 체제가 구현을 통해 호스트에서 에뮬레이션 프로그램을 실행하고 파일을 몇 내에있는 호스트로 구성되어있습니다. 게스트 시스템을 실현하는 것을 염려하지 마십시오 심지어 진짜! 그들 각자의 생각은 별도의 시스템에서 실행되는 하드웨어, 그러나 그들은 정말로 바로 공유를 하나의 프로세서가있습니다. 이 접근법을 사용하여, 저는 3 개 이상의 서로 다른 상 시스템을 구축하고 실행하여 단일 컴퓨터에서 동시에합니다.

악성 프로그램 분석을 사용하는가 상 환경에 대한 새로운 아이디어가 아니다. 사실, 연구원 ibm 수행한 일부가 매우 포워드 - 조사 작업에 악성 프로그램 분석을 사용하는 상 머신 환경을 돌아은 2000입니다. 내 자신의 연구실에서 유사한 개념을 사용합니까.

하는 다양한 프로그램을 사용할 수있는 기능을 사용하면 단일 시스템에 호스트를 들고 여러 개의 서로 다른 운영 체제입니다. 상업적 도구처럼 vmware (www.vmware.com에서보실 수있습니다), 상 pc (www.connectix.com에서보실 수있습니다), 그리고 다른 사람을 에뮬레이트 an? 프로세서의 소프트웨어를 볼 수있습니다 상 컴퓨터의 상단에 설치하고 실행 단일 세트의 하드웨어 . 지조차 프리웨어 도구가 필요이 등 plex86 상 머신 프로젝트를 언제 http://plex86.sourceforge.net, 그리고 프로젝트에서 bochs http://bochs.sourceforge.net. 또한 원할 경우 리눅스 전용, uml 프로젝트를 여러 개 실행할 수있습니다, 독립된 리눅스 커널 내부의 리눅스 프로세스를 단일 리눅스 머신입니다. uml http://user-mode-linux.sourceforge.net에서 무료로 사용할 수있다.

의 아름다움은이 상 구현이가 나는 나의 전체 악성 프로그램 분석 실험실과 함께 실어 나를 수있습니다 단일 노트북, 테스트 악성 소프트웨어에있는 도로입니다. 또한, 대부분의 이러한 상 시스템 관리 도구를 사용하면 모든 변경 사항을 롤백하는 상 기계하지 않고 재건하는 시스템을 즉시 복원하는 게스트 운영 체제를 원래 구성합니다. 만약 어떤 악성 프로그램 royally 지저분한 최대의 내 상 기계, 드리겠습니다 그냥 바로 설정이 위로가 원래 상태로합니다. 따라서, 나는 안전하게 볼 수있습니다 악성 프로그램의 영향에 내 (순수한 상) 네트워크를 유지하는 동안 내 sanity 노력으로 일부가 매우 싸 및 버기 공격자가 코드가있습니다. 이 되돌리기 기능이 immensely 유용합니다. 나는조차 수있다 고정 게스트 운영 체제의 트랙을 중단 분석하는 모든 작업을하는 동안 나는 무엇을 싸 소프트웨어는 일을합니다.

물론 이들 모두가 상 머신을 실행하려면 동시에, 호스트 컴퓨터 하드웨어가 있어야합니다 beefier에 비해 상대적으로 앙상하게 체제의 마지막 섹션에서 설명합니다. 사실, 함께 충분한 램과 cpu 마력을하실 수있습니다 virtualize 거의 아무것도합니다. 의도가 상 악성 프로그램을 실행하는 경우에 분석 실험실, 나는 권해 적어도이 2 ghz 프로세서를 사용하여 최소한 64 mb의 램은 각 게스트 운영 체제를하실 계획이 실행되고있습니다. 따라서으로 실행하려면 단일 호스트 운영 체제와 세 명의 손님이 있어야합니다 256 이상의 램. 에 대한 위안의 청주로 이어진다면 싶은 께서도 두 번하는 램, 그림을 512 mb하므로 귀하의 시스템을 조금 더 합리적인 속도로 실행할 수있습니다. 함께 상 운영 체제, 메모리는 산소가있는 상태로 유지가 컴퓨터를 호흡합니다.

에 대한 내 자신의 휴대용 상 실험실, 나는 vmware 제품을 사용합니다. 그것은 상업적인 도구, 그러나 나는 그것을 발견했습니다 중 일부를보다 더 안정적이고 유연한 무료 상 시스템을 제사입니다. '베니스를 설정 vmware에 내 windows 2000 호스트 운영 체제를 열어이 존재 서로 다른 게스트 운영 체제를 비롯한 windows xp, 다양한 incarnations의 빨간 모자 리눅스, freebsd, windows 2000 서버입니다. 나는 중 하나 또는 모두를 실행할 수있습니다 이러한 게스트 운영 체제를 동시에, 또는 일시 정지 그들에 대한 미래를 분석합니다. 가 상 환경이 필요하지 않습니다 구현하는 악성 프로그램 분석 실험실, 그러나 확실히 할 수있는 분석 과정을 많이 더 쉽고 더 많은 휴대용!

이것은 문서가 추가 그레그 mcklein

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions