前言
之前很多朋友对我的恶意软件分析虚拟机环境比较好奇,有些朋友还问我能不能共享一下我的恶意软件分析环境虚拟机,因为实在是太大了,而且做了很多快照,也不方便共享,在做恶意软件分析的时候,因为不同的恶意软件家族会使用不同恶意软件技术,同时会使用不同的编程语言进行编写,所以需要用到很多不同的工具,在分析不同类型样本的时候都会使用不同的工具进行分析,这样可以提高样本的分析效率,后面有时间再给大家详细介绍在分析各种不同类型样本的时候,一般都使用哪些工具,今天就给大家介绍一个恶意软件分析的集成环境。
恶意软件分析工具集成环境地址:
https://github.com/f0wl/MalwareLab_VM-Setup
该恶意软件分析集成环境,静态分析环境如下所示:
动态分析环境,如下所示:
环境安装
1.首先下载虚拟机,虚拟机类型可以选自己熟悉的,下载网站
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,在这个页面选择虚拟机里面安装的操作系统版本和虚拟机类型,如下所示:
可选择的操作系统,如下:
IE8 on Win7(x86)、IE9 on Win7(x86)、
IE10 on Win7(x86)、IE11 on Win7(x86)、IE11 on Win81(x86)、MSEdge on Win10(x64) Stable 1809
可选择的虚拟机类型,如下:
VirtualBox、Vagrant、VMware(Windows,Mac)、HyperV(Windows)、Parallels(Mac)
操作系统选择MSEdge on Win10(x64) Stable 1809,虚拟机选择VMware(Windows,Mac)(虚拟机类型可以根据个人喜爱选择),如下所示:
下载上面选择的虚拟机压缩包即可。
2.下载之后,使用VMware打开下载的虚拟机,虚拟机密码:Passw0rd!,登录虚拟机操作系统,如下所示:
3.设置系统可以运行PowerShell脚本,使用命令行进行设置,如下所示:
4.下载PowerShell安装脚本,运行ps1脚本,安装恶意软件分析集成环境,如下所示:
可以选择安装恶意软件静态分析集成环境和动态分析集成环境,安装过程,如下所示:
脚本分析
1.安装脚本从相关的网站下载静态和动态分析工具,如下所示:
静态分析工具在static-tools.json文件里面,一共有58个,如下所示:
动态分析工具在dynamic-tools.json文件里面,一共有30个,如下所示:
2.从相关网站下载windows相关辅助分析工具,如下所示:
windows辅助分析工具在microsoft-tools.json文件里面,一共有6个,包含VS开发工具,Sysinternals工具集合以及Windows 10 SDK等,如下所示:
3.下载调试符号表,如下所示:
4.设置菜单和相关注册表项,如下所示:
工具介绍
这是一个集成的恶意软件分析平台,里面集成了很多静态分析工具和动态分析工具,还有一些开发和辅助工具等,给大家介绍一些常用的工具供大家参考:
(1)静态分析工具
PE分析工具:pestudio、PE-bear、StudyPE、DiE、DependencyWalker、PEid、
ResourceHacker、CFF Explorer、eXeScope
ELF分析工具:readelf
Mach-O分析工具:MachOView
PDF分析工具:PdfStreamDumper
NET分析工具:de4dot、NetMegaDumper、UnConfuserEx
Office文档分析工具:SSView、OffVis、oletools、rtfdump、VBAPass、objdump
反汇编分析工具:IDA、Radare2、Cutter、jd-gui、JEB、dnSpy、ILSpy、Apktool、ApkIDE
二进制编辑工具:010Editor、XVI32、HxD、WinHex、Hexplorer
(2)动态分析工具
动态调试工具:Ollydbg、Windbg、X64DBG、EDB、gdb、lldb、dnSpy、Radare2、IDA、JEB
网络抓包工具:WireShark、TcpDump、Charles、BrupBuite、Microsoft Network Monitor 3.4
进程监控工具:ProcMon、ApiMonitor、ProcessHacker
就像笔者之前所讲的,恶意软件分析包含非常多的专业知识,需要不断的学习,上面仅仅是简单的列举了一些笔者平时用的一些比较常用的工具,事实上专业的恶意软件研究人员在分析实战各种不同的样本的时候,还会使用很多很多的辅助工具以及分析脚本等,遇到不同的样本,会选择最合适的分析工具进行分析,可以极大的提高工作效率,有了分析环境和分析工具,最后还是需要自己多多实战分析,积累经验,现在网上的各种集成的平台、工具包以及教程都有很多了,最重要的还是不断地实战与坚持。
如果你想学习更多关于恶意软件威胁情报相关技术,可以加入笔者的安全分析与研究专业微信群进行学习,与群里的朋友们共同学习,共同进步。
题外话
最后说点题外话,与本主题无关,笔者曾说过2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。
昨天笔者最喜欢的明星吴孟达因病去世,作为一名80后,周星驰和吴孟达一直是笔者最喜欢的两位明星,他们两位都是在用尽全力演戏,真正用心拍电影,专业尽业精神值得每一位演员和导演学习,周星驰这些年拍的电影里面包含了很多东西,很多人看不懂,说不好看,没有经历过的人基本看不懂他的电影想表达什么?这些东西,懂的人自然懂,不懂的人也没办法,他们曾经合作的每一部电影笔者都看了至少几十遍以上,数不清了,里面的很多经典台词也都是倒背如流,里面有很多东西值得学习,最后用重案组之虎曹达华的一句经典台词来记念一下达叔吧:你教我做事呀?