在嘗試學(xué)習(xí)分析的過程中，判斷結(jié)論不一定準(zhǔn)確，只是一些我自己的思考和探索。敬請(qǐng)批評(píng)指正！

涉及內(nèi)容：
INetSim安裝及使用
ApateDNS安裝及使用

1. 搭建病毒分析網(wǎng)絡(luò)環(huán)境原因

使用虛擬機(jī)作為沙箱能把病毒與外界完全隔離開，但是很多病毒需要連接網(wǎng)絡(luò)才能觸發(fā)特定的行為，所以我們需要搭建一個(gè)盡量真實(shí)的網(wǎng)絡(luò)環(huán)境。

• 在斷網(wǎng)模式下，病毒很可能保持靜默或者做一些無關(guān)緊要的事來迷惑我們。
• 在不了解病毒之前直接把病毒接入互聯(lián)網(wǎng)是非常危險(xiǎn)的，原因有如下幾點(diǎn)：
  • 會(huì)將自己的主機(jī)以及網(wǎng)內(nèi)的設(shè)備都會(huì)暴露在感染中
  • 該虛擬機(jī)可能變成黑客所操控的僵尸機(jī)來執(zhí)行DDOS攻擊
  • 可能讓黑客知悉我們?cè)诮馄仕牟《尽?/li>
• 因此我們需要在虛擬機(jī)之間搭建一個(gè)虛假的網(wǎng)絡(luò)環(huán)境來欺騙病毒。

2. 網(wǎng)絡(luò)環(huán)境的配置

（1）配置目標(biāo)

• 運(yùn)行惡意代碼進(jìn)行分析的虛擬機(jī)：WinXP
• 啟動(dòng)服務(wù)器的虛擬機(jī)：Kali
• 配置需求：虛擬機(jī)互相連接，但不與主機(jī)和外部網(wǎng)絡(luò)連接。

（2）虛擬機(jī)的設(shè)置

• 首先編輯網(wǎng)絡(luò)編輯器，新增一個(gè)HOST ONLY的網(wǎng)絡(luò)：

• 將虛擬機(jī)的網(wǎng)絡(luò)適配器都選用這個(gè)網(wǎng)絡(luò)：（WinXP反應(yīng)很慢，建議重啟更新配置）

（3）配置虛擬服務(wù)器

• 安裝INetSim

  • kali：自帶有INetSim，無需安裝。環(huán)境變量中已經(jīng)加入其路徑，直接輸入INetSim（root權(quán)限）就可運(yùn)行：

  • Ubuntu中第一次安裝時(shí)無法運(yùn)行，會(huì)出現(xiàn)缺少依賴的問題，可以通過重新配置數(shù)據(jù)源并更新依賴來解決：（教程ubuntu 14.04安裝INetSim模擬Internet）

      - 配置數(shù)據(jù)源>wget -q -O - http://www.inetsim.org/inetsim.org-archive-signing-key.asc | sudo apt-key add ->sudo sh -c 'echo "deb http://www.inetsim.org/debian/ binary/" >> /etc/apt/sources.list.d/getdeb.list'- 添加組>groupadd inetsim- 更新數(shù)據(jù)源，安裝依賴>sudo apt-get update>sudo apt-get install perl perl-base perl-modules libnet-server-perl libnet-dns-perl  libdigest-sha-perl  libipc-shareable-perl libio-socket-ssl-perl libiptables-ipv4-ipqueue-perl- 安裝inetsim>sudo apt-get install inetsim

  • 中間出現(xiàn)的apt-get問題可嘗試使用sudo aptitude update && install提供的不同版本兼容性解決方法（但是后來還是安不成功libiptables-ipv4-ipqueue-perl包）。但是不管怎樣，至少在Ubuntu里能安裝上INetSim而且可以運(yùn)行起來了。

• 配置INetSim
  編輯INetSim的配置文件（kali中工具的配置文件在/usr/share目錄下， Ubuntu下載后安裝的文件在/usr/bin目錄下，不同版本可能會(huì)有所不同）

• 找到inetsim.conf文件（kali在conf/中），更改下面的配置（去掉注釋）：

第一處更改：綁定本機(jī)IP

service_bind_address 192.168.134.129（INetSim安裝的虛擬機(jī)機(jī)IP）

第二處更改：DNS解析IP，將流量重定向到本機(jī)。

dns_default_ip  192.168.134.129（INetSim安裝的虛擬機(jī)機(jī)IP）

第三處更改：重定向開啟

redirect_enable yes

第四處更改：連接綁定ip的tcp端口

redirect_exclude_port tcp:22

第五處更改：重定向外部地址（非注釋信息，有些機(jī)器更改配置時(shí)自動(dòng)更改，最好確認(rèn)一下）

redirect_external_address 192.168.134.129（INetSim安裝的虛擬機(jī)機(jī)IP）

（4）主機(jī)中配置網(wǎng)絡(luò)方法一：直接更改

• 直接在網(wǎng)絡(luò)屬性中更改

（5）主機(jī)中配置網(wǎng)絡(luò)方法二：使用ApateDNS

在ApteDNS里設(shè)置解析后的IP為我們Ubuntu服務(wù)器的IP然后運(yùn)行它。這樣病毒都會(huì)去連接我們的假服務(wù)器。

下載運(yùn)行ApateDNS

• 下載ApateDNS
• 閱讀ReadMe文件：
  • apatedns是一種控制DNS響應(yīng)的GUI工具。它將響應(yīng)DNS請(qǐng)求設(shè)置為任何你指定的IP地址。
  • 可以指定一些不存在的域（NXDOMAIN）響應(yīng)返回之前有效的響應(yīng)發(fā)送。
  • 默認(rèn)情況下，它將可以使用DNS或默認(rèn)網(wǎng)關(guān)設(shè)置為一個(gè)IP地址用于DNS響應(yīng)。在退出后，還原本地DNS設(shè)置。

• 運(yùn)行環(huán)境要求：

    Windows XP or greaterMicrosoft .NET Runtime >= 2.0

  • 實(shí)際上直接在XP環(huán)境運(yùn)行是有問題的，win7可以運(yùn)行。
  • 使用Net framework4.0版本無法運(yùn)行，2.0、3.5可以運(yùn)行。

• XP中出現(xiàn)問題一：

• 解決方法：安裝Net framework2.0或3.0或3.5。（注意：在安裝了之后需要重啟）

• 出現(xiàn)問題二：提示“Please set registry key HKLM\Microsoft.NET Framework\InstallRoot to point to the .NET Framework install location”

• 原因：可能是NET Framework沒有安裝或是雖然安裝成功但是沒有在注冊(cè)表中設(shè)置成功。

• 解決方案一：如果是安裝中出現(xiàn)提示，可以刪除所有相關(guān)文件重新安裝。
• 解決方案二：如果是安裝成功后提示錯(cuò)誤，修改注冊(cè)表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework

• 如果其中有InstallRoot這一鍵值，則將其值修改為.NET Framework的安裝路徑（一般為 C:\WINDOWS\Microsoft.NET\Framework\ ）。如果沒有則右擊.NET Framework選擇新建“字符串值”，設(shè)置數(shù)值名稱為 InstallRoot，數(shù)值數(shù)據(jù)為 C:\WINDOWS\Microsoft.NET\Framework\ 或其他安裝路徑。

• 應(yīng)該可以正常打開了。

配置ApateDNS使對(duì)任何網(wǎng)站訪問都指向固定的網(wǎng)站

• Ping一下指向的網(wǎng)站（以校網(wǎng)為例）

• 將ApateDNS的DNS Reply IP設(shè)為123.127.3.2，開啟服務(wù)。

• 再次打開網(wǎng)頁，所有的都顯示校網(wǎng)的頁面。

• 在ApateDNS中可以看到，第一條是訪問百度的DNS解析，后面幾條是加載校網(wǎng)頁面上的相關(guān)連接地址解析

• 出現(xiàn)問題一：第一次ping校網(wǎng)的時(shí)候顯示了一個(gè)111.13.100.2的地址，使用這個(gè)地址作為返回的DNS：

• 訪問百度，出現(xiàn)了校網(wǎng)的圖標(biāo)，但是無法顯示出信息：

• 出現(xiàn)問題二：剛開始的時(shí)候使用的百度的ip，但是無法實(shí)現(xiàn)這個(gè)功能，顯示網(wǎng)頁無法顯示，然后我又嘗試了使用ping到的hao123、扇貝網(wǎng)的ip，這兩個(gè)頁面倒是沒說無法顯示，但是也沒有出來相應(yīng)的網(wǎng)頁，而且兩者顯示的不同。

• 下圖是設(shè)置為hao123的效果：

• 下圖為設(shè)置成扇貝網(wǎng)ip的效果：

• 由于擔(dān)心是瀏覽器的問題，我又嘗試了IE、UC瀏覽器，但沒有解決這個(gè)問題，還是一樣的效果。

• 經(jīng)過老師的點(diǎn)撥，說是因?yàn)橛行┚W(wǎng)站使用ip無法訪問，我就回來試了一下，確實(shí)是這樣的：

• 百度了一下，這個(gè)Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器，就跟Apache差不多，對(duì)于有些ip無法訪問的問題，我通過閱讀資料覺得有兩種解釋的可能：
  • 可能性一：基于Nginx平臺(tái)的服務(wù)器為了防止惡意DDOS攻擊（通過IP訪問）或避免別人把未備案的域名解析到自己的服務(wù)器IP而導(dǎo)致服務(wù)器被斷網(wǎng)，會(huì)設(shè)置IP訪問限制，一般會(huì)設(shè)置成直接禁止使用ip訪問或限制ip段重復(fù)訪問，還可以綁定多個(gè)ip段顯示不同內(nèi)容。
  • 可能性二：如果服務(wù)器是把域名指向了IP，其中本身含有加載Web服務(wù)的功能，輸入的ip就能夠被直接重定位到對(duì)應(yīng)的 Web 服務(wù)器。否則，在共享主機(jī)的服務(wù)器網(wǎng)絡(luò)中，輸入IP只能訪問服務(wù)器上的一個(gè)站，無法確認(rèn)去哪個(gè)目錄訪問對(duì)應(yīng)網(wǎng)站的服務(wù)器主機(jī)。

3. 運(yùn)行病毒程序

• 現(xiàn)在配置的環(huán)境：
  • 兩臺(tái)虛擬機(jī)在同一個(gè)僅主機(jī)虛擬網(wǎng)絡(luò)中。
  • kali中開啟INetSim服務(wù)。
  • WinXP中運(yùn)行ApateDNS或更改網(wǎng)絡(luò)配置使重定向到INetSim虛擬服務(wù)器。

• 在配置好的環(huán)境中運(yùn)行惡意代碼：

4. 小結(jié)

• 這次實(shí)踐花了大量的時(shí)間去解決軟件問題，沒有針對(duì)病毒進(jìn)行分析。在這個(gè)過程中，通過不斷地修改虛擬機(jī)的配置和對(duì)Linux系統(tǒng)的軟件、關(guān)系依賴修改，鍛煉操作能力。
• 感覺看過的每一個(gè)教程都寫得非常簡單，實(shí)際上操作中會(huì)有各種問題，由于系統(tǒng)環(huán)境的不同問題也不同，雖然辦法總比問題多，但是整個(gè)過程極為艱辛，尤其是電腦總是崩。而且一定選擇適合的方法，比如這次經(jīng)驗(yàn)教訓(xùn)就是對(duì)網(wǎng)上的解決方法要慎重使用：
  • 在嘗試各種安裝deb包的過程中，搜到一個(gè)解決辦法是先sudo apt-get –f install修復(fù)依賴關(guān)系，結(jié)果我在kali里面運(yùn)行之后，各種依賴都被解除了，重啟機(jī)器了之后連開機(jī)啟動(dòng)圖形化界面都找不到了….而且一開始忘記存快照，做Linux實(shí)踐的文檔還在里面找不到了…恢復(fù)了很早以前存的快照，所有的東西還要重新安裝和更新，整個(gè)人極度崩潰。
  • 在做成功之后，解決別的同學(xué)出現(xiàn)的問題時(shí)深切地體會(huì)到：實(shí)踐做得早雖然可以花更多的時(shí)間解決問題，但顯然機(jī)器好更重要…有的虛擬機(jī)只要每一步都配置正確，幾乎不用花什么功夫就出來了。
• 在不知道問題所在的時(shí)候，就耐心的閱讀說明吧，盡管我的英語不好，但是通過INetSim配置文件主要內(nèi)容閱讀，真的發(fā)現(xiàn)了問題所在并成功解決。

---

參考資料

• 參考資料1：病毒木馬查殺實(shí)戰(zhàn)第001篇：基本查殺理論與實(shí)驗(yàn)環(huán)境配置
• 參考資料2：淺談病毒分析中的虛擬網(wǎng)絡(luò)環(huán)境配置
• 參考資料3：ubuntu 14.04安裝INetSim模擬Internet
• 參考資料4：Installing and Configuring InetSim
• 參考資料5：下載ApateDNS

轉(zhuǎn)載于:https://www.cnblogs.com/hyq20135317/p/5515675.html

總結(jié)

以上是生活随笔為你收集整理的计算机病毒实践汇总五：搭建虚拟网络环境的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。