在嘗試學習分析的過程中，判斷結論不一定準確，只是一些我自己的思考和探索。敬請批評指正！

涉及內容：
INetSim安裝及使用
ApateDNS安裝及使用

1. 搭建病毒分析網絡環境原因

使用虛擬機作為沙箱能把病毒與外界完全隔離開，但是很多病毒需要連接網絡才能觸發特定的行為，所以我們需要搭建一個盡量真實的網絡環境。

• 在斷網模式下，病毒很可能保持靜默或者做一些無關緊要的事來迷惑我們。
• 在不了解病毒之前直接把病毒接入互聯網是非常危險的，原因有如下幾點：
  • 會將自己的主機以及網內的設備都會暴露在感染中
  • 該虛擬機可能變成黑客所操控的僵尸機來執行DDOS攻擊
  • 可能讓黑客知悉我們在解剖他的病毒。
• 因此我們需要在虛擬機之間搭建一個虛假的網絡環境來欺騙病毒。

2. 網絡環境的配置

（1）配置目標

• 運行惡意代碼進行分析的虛擬機：WinXP
• 啟動服務器的虛擬機：Kali
• 配置需求：虛擬機互相連接，但不與主機和外部網絡連接。

（2）虛擬機的設置

• 首先編輯網絡編輯器，新增一個HOST ONLY的網絡：

• 將虛擬機的網絡適配器都選用這個網絡：（WinXP反應很慢，建議重啟更新配置）

（3）配置虛擬服務器

• 安裝INetSim

  • kali：自帶有INetSim，無需安裝。環境變量中已經加入其路徑，直接輸入INetSim（root權限）就可運行：

  • Ubuntu中第一次安裝時無法運行，會出現缺少依賴的問題，可以通過重新配置數據源并更新依賴來解決：（教程ubuntu 14.04安裝INetSim模擬Internet）

      - 配置數據源>wget -q -O - http://www.inetsim.org/inetsim.org-archive-signing-key.asc | sudo apt-key add ->sudo sh -c 'echo "deb http://www.inetsim.org/debian/ binary/" >> /etc/apt/sources.list.d/getdeb.list'- 添加組>groupadd inetsim- 更新數據源，安裝依賴>sudo apt-get update>sudo apt-get install perl perl-base perl-modules libnet-server-perl libnet-dns-perl  libdigest-sha-perl  libipc-shareable-perl libio-socket-ssl-perl libiptables-ipv4-ipqueue-perl- 安裝inetsim>sudo apt-get install inetsim

  • 中間出現的apt-get問題可嘗試使用sudo aptitude update && install提供的不同版本兼容性解決方法（但是后來還是安不成功libiptables-ipv4-ipqueue-perl包）。但是不管怎樣，至少在Ubuntu里能安裝上INetSim而且可以運行起來了。

• 配置INetSim
  編輯INetSim的配置文件（kali中工具的配置文件在/usr/share目錄下， Ubuntu下載后安裝的文件在/usr/bin目錄下，不同版本可能會有所不同）

• 找到inetsim.conf文件（kali在conf/中），更改下面的配置（去掉注釋）：

第一處更改：綁定本機IP

service_bind_address 192.168.134.129（INetSim安裝的虛擬機機IP）

第二處更改：DNS解析IP，將流量重定向到本機。

dns_default_ip  192.168.134.129（INetSim安裝的虛擬機機IP）

第三處更改：重定向開啟

redirect_enable yes

第四處更改：連接綁定ip的tcp端口

redirect_exclude_port tcp:22

第五處更改：重定向外部地址（非注釋信息，有些機器更改配置時自動更改，最好確認一下）

redirect_external_address 192.168.134.129（INetSim安裝的虛擬機機IP）

（4）主機中配置網絡方法一：直接更改

• 直接在網絡屬性中更改

（5）主機中配置網絡方法二：使用ApateDNS

在ApteDNS里設置解析后的IP為我們Ubuntu服務器的IP然后運行它。這樣病毒都會去連接我們的假服務器。

下載運行ApateDNS

• 下載ApateDNS
• 閱讀ReadMe文件：
  • apatedns是一種控制DNS響應的GUI工具。它將響應DNS請求設置為任何你指定的IP地址。
  • 可以指定一些不存在的域（NXDOMAIN）響應返回之前有效的響應發送。
  • 默認情況下，它將可以使用DNS或默認網關設置為一個IP地址用于DNS響應。在退出后，還原本地DNS設置。

• 運行環境要求：

    Windows XP or greaterMicrosoft .NET Runtime >= 2.0

  • 實際上直接在XP環境運行是有問題的，win7可以運行。
  • 使用Net framework4.0版本無法運行，2.0、3.5可以運行。

• XP中出現問題一：

• 解決方法：安裝Net framework2.0或3.0或3.5。（注意：在安裝了之后需要重啟）

• 出現問題二：提示“Please set registry key HKLM\Microsoft.NET Framework\InstallRoot to point to the .NET Framework install location”

• 原因：可能是NET Framework沒有安裝或是雖然安裝成功但是沒有在注冊表中設置成功。

• 解決方案一：如果是安裝中出現提示，可以刪除所有相關文件重新安裝。
• 解決方案二：如果是安裝成功后提示錯誤，修改注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework

• 如果其中有InstallRoot這一鍵值，則將其值修改為.NET Framework的安裝路徑（一般為 C:\WINDOWS\Microsoft.NET\Framework\ ）。如果沒有則右擊.NET Framework選擇新建“字符串值”，設置數值名稱為 InstallRoot，數值數據為 C:\WINDOWS\Microsoft.NET\Framework\ 或其他安裝路徑。

• 應該可以正常打開了。

配置ApateDNS使對任何網站訪問都指向固定的網站

• Ping一下指向的網站（以校網為例）

• 將ApateDNS的DNS Reply IP設為123.127.3.2，開啟服務。

• 再次打開網頁，所有的都顯示校網的頁面。

• 在ApateDNS中可以看到，第一條是訪問百度的DNS解析，后面幾條是加載校網頁面上的相關連接地址解析

• 出現問題一：第一次ping校網的時候顯示了一個111.13.100.2的地址，使用這個地址作為返回的DNS：

• 訪問百度，出現了校網的圖標，但是無法顯示出信息：

• 出現問題二：剛開始的時候使用的百度的ip，但是無法實現這個功能，顯示網頁無法顯示，然后我又嘗試了使用ping到的hao123、扇貝網的ip，這兩個頁面倒是沒說無法顯示，但是也沒有出來相應的網頁，而且兩者顯示的不同。

• 下圖是設置為hao123的效果：

• 下圖為設置成扇貝網ip的效果：

• 由于擔心是瀏覽器的問題，我又嘗試了IE、UC瀏覽器，但沒有解決這個問題，還是一樣的效果。

• 經過老師的點撥，說是因為有些網站使用ip無法訪問，我就回來試了一下，確實是這樣的：

• 百度了一下，這個Nginx是一個高性能的HTTP和反向代理服務器，就跟Apache差不多，對于有些ip無法訪問的問題，我通過閱讀資料覺得有兩種解釋的可能：
  • 可能性一：基于Nginx平臺的服務器為了防止惡意DDOS攻擊（通過IP訪問）或避免別人把未備案的域名解析到自己的服務器IP而導致服務器被斷網，會設置IP訪問限制，一般會設置成直接禁止使用ip訪問或限制ip段重復訪問，還可以綁定多個ip段顯示不同內容。
  • 可能性二：如果服務器是把域名指向了IP，其中本身含有加載Web服務的功能，輸入的ip就能夠被直接重定位到對應的 Web 服務器。否則，在共享主機的服務器網絡中，輸入IP只能訪問服務器上的一個站，無法確認去哪個目錄訪問對應網站的服務器主機。

3. 運行病毒程序

• 現在配置的環境：
  • 兩臺虛擬機在同一個僅主機虛擬網絡中。
  • kali中開啟INetSim服務。
  • WinXP中運行ApateDNS或更改網絡配置使重定向到INetSim虛擬服務器。

• 在配置好的環境中運行惡意代碼：

4. 小結

• 這次實踐花了大量的時間去解決軟件問題，沒有針對病毒進行分析。在這個過程中，通過不斷地修改虛擬機的配置和對Linux系統的軟件、關系依賴修改，鍛煉操作能力。
• 感覺看過的每一個教程都寫得非常簡單，實際上操作中會有各種問題，由于系統環境的不同問題也不同，雖然辦法總比問題多，但是整個過程極為艱辛，尤其是電腦總是崩。而且一定選擇適合的方法，比如這次經驗教訓就是對網上的解決方法要慎重使用：
  • 在嘗試各種安裝deb包的過程中，搜到一個解決辦法是先sudo apt-get –f install修復依賴關系，結果我在kali里面運行之后，各種依賴都被解除了，重啟機器了之后連開機啟動圖形化界面都找不到了….而且一開始忘記存快照，做Linux實踐的文檔還在里面找不到了…恢復了很早以前存的快照，所有的東西還要重新安裝和更新，整個人極度崩潰。
  • 在做成功之后，解決別的同學出現的問題時深切地體會到：實踐做得早雖然可以花更多的時間解決問題，但顯然機器好更重要…有的虛擬機只要每一步都配置正確，幾乎不用花什么功夫就出來了。
• 在不知道問題所在的時候，就耐心的閱讀說明吧，盡管我的英語不好，但是通過INetSim配置文件主要內容閱讀，真的發現了問題所在并成功解決。

---

參考資料

• 參考資料1：病毒木馬查殺實戰第001篇：基本查殺理論與實驗環境配置
• 參考資料2：淺談病毒分析中的虛擬網絡環境配置
• 參考資料3：ubuntu 14.04安裝INetSim模擬Internet
• 參考資料4：Installing and Configuring InetSim
• 參考資料5：下載ApateDNS

轉載于:https://www.cnblogs.com/hyq20135317/p/5515675.html

總結

以上是生活随笔為你收集整理的计算机病毒实践汇总五：搭建虚拟网络环境的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。