建物の不正なソフトウェアを分析研究所


  Share  
|


最初に注目してみよう私たちの電源を構築する独自のマルウェアの分析研究所niyour非常にします。 人については、頻繁に聞いても機器の不正なソフトウェアの分析を行う必要があり、自宅やオフィスにします。 さまざまなテストをダウンロードして、守備と攻撃プログラム、しっかりしていただく必要があり、これらの気まぐれな環境での実験を実施する、お客様ご自身でました。 単なるフリーランスの実験を超え、発生する可能性がさまざまな不正なソフトウェアを使用した標本で、独自の生産システムでは野生します。 実験室を使用して構造体を追って説明このセクションでは、突くことができるでしょうし、悪意のあるソフトウェアを検出して催促することができ、より深い理解を得るの不正なソフトウェアの標本はどのように仕事をするかもしれないとの被害が生じています。 不正なソフトウェアが良好な分析ラボたら、すぐに通話ソフトウェアが嫌なときに準備します。

注意:システムを使って非生産的とは、インターネットのオフに滞在

第一に、構築していることを確認したコンピュータラボを使って余分なことはありません目的での生産に頼っているためです。 私のような場合には、お客様がこれらの不正なソフトウェアをインストールするいくつかの非常に有害なボックスので、エアギャップをしていただく必要があり、お客様の生産ネットワークを切りました。 これらのマシンに接続してまですべきではない本物のネットワークやインターネットをしてまで、それらには、すべてのソフトウェアを完全に破壊さを徹底的にハードドライブをフォーマットします。 また、保存していないことを考えるにも、これらのデータを任意に敏感なシステムでは、いくつかのマルウェアの種類として、このデータを盗む可能性または破損して徹底します。 これらの箱なければならない不正なソフトウェアの分析室や遊び場のみです。 すべてのチェックボックスを使用し、これらの環境での生産を引き起こすことしかできなかった膨大な量の問題を抱えています。 決して、これらのマシンをインターネットに接続しています。 警告してきたあなた!

また、お客様の準備をしたいお客様の研究室での瞬間ロールの通知は、このイベントに緊急時のようなワームが急速に拡大し、とっさの分析を行います。 したくないする必要があると探し回る中にこのような危機的状況をリアルタイムで現在の生産ボックスを使用するためには、研究室です。 その代わりに、適切な配分システムを構築する研究室と、事前の分析を行うことができ飛んでいます。

研究室全体のアーキテクチャ

これらの注意をどけて、良いニュースは、不正なソフトウェアを構築することができ、非常に低コストで分析研究所です。 必要はありません、最新のハードウェアを、お客様の目を見張るような研究室です。 迅速なプロセッサとは、たくさんのすてきなラムを持つ、必須ではありませんします。 その代わりに、昔からのお客様の会社の余剰設備や便利なインターネットのオークションう。 ここでの目標は単にマシンを入手することが保留しているオペレーティングシステムは、いくつかのアプリケーションを選択しており、不正なソフトウェアを分析した。 このような要件を限定することができずに豪華なコンピュータシステムを簡単に満たされます。

私の不正なソフトウェアのアーキテクチャ分析研究所、私を使用する4つのシステムに接続します。 私からお勧めします。研究室のマシンを構築して、少なくとも350 mhzプロセッサ、 64 mbのramと、 5 gbのハードドライブにします。 各システムのネットワークカードが必要となり、もちろん、しかし、単純な10 - mbpsイーサネットう。 今日の基準され、これらの豊富なビンテージ- 1997ボックスなければならないと安くなる。 また、もしできることよりも、この基準は、必要がありますが、 spiffierラボは、お客様の予算に打撃を与えるかもしれませんが、これらのシステムを取得します。 ただ私のお気に入りの拡大を線上のオークションサイト、およびデスクトップシステムを見たことがありませんが、このハードウェアプロファイル未満の米国$ 250.00各します。 ラップトップでも、このようなことができ沈み木の周りを米$ 400.00各します。

次に、実際のオペレーティングシステムに移行することはハードウェアとサービスをミックスします。 として見ることができ、私の研究室にはwindows 2000を実行しているシステムマイクロソフト社のiis webサーバです。 多くの企業に頼っているwindows 2000 、およびiisサーバーには、お気に入りの不正なソフトウェアのターゲットにします。 したがって、私はこのシステムの使用を評価する多くのワームやルートキットwindowsマシン用に設計されます。 もちろん、 windows 2000のは、オペレーティングシステムの商用ので、合法的なライセンスが必要となり、これに含まれていだけかもしれないし、ハードウェア自体の購入します。

私の次のシステムはlinuxマシン、 ftpサーバーを実行すると、 apache webサーバーます。 iisのwindowsと同じように、多くの標本不正なソフトウェアのインストールとapache ftpの脆弱性をターゲットに設定し、これになりたいの準備を分析している。 サードシステムは、私のwindows xpのボックスをオンにし、設定を使用してファイルを共有しwindowsファイル共有メカニズムをビルトインします。 windows xpのためには、共通デスクトップ環境の両方のホームや企業ユーザーは、私をターゲットと、これらのマルウェアをテストできる環境をユーザーに人気です。 最後に、さまざまな、私は含まれてopenbsdのマシンで、オペレーティングシステムです。 openbsdの増加はますます注目を集め組み込まれているため、重要なセキュリティ機能があります。 私のテストを実行し、これらの機能は、ネットワークファイルシステム( nfs )サーバーで、このボックスをオンにします。

それぞれのシステムに私の研究室で、私は、さまざまなウイルス対策ツールをインストールすることができる特定するのに役に立ちさまざまなマルウェアの例としてよく知られているシステムを搭載しています。 また、ファイルの整合性のチェックソフトウェアをインストールしたら、各マシンを監視する重要なファイルおよびシステム設定で、イベントの下に分析して不正なソフトウェアを変更しようとしました。 私悪クリッター分析している間、私のウイルス対策を無効にするかもしれないとファイルの整合性のチェックツールをもっと多くの洞察力一時的には、私の足を取って、ソフトウェアのブレーキを切りました。 しかし、私のスタンスは、デフォルトのままで、これらの防衛ツールの操作では、私の研究室内の汚染を制御するすべての私を決定するまでの不正なソフトウェアを実行しましょう緩んだ。

私は、これらすべてのボックスに接続するハブまたはスイッチを使って安くします。 実は私は私の研究室を好むハブを使用するため、ハブパケットを複製するすべてのシステムに接続してラニます。 こうすることで、私スニファを実行することができて自分の研究室のいずれかのマシンに接続し、送信されたパケットを参照して、他のシステムを実験室ラニます。 スイッチを使用すればよい、私スパンポートを設定する必要があり、これは、 1つのスイッチに接続されたすべてのデータを受信してから、ラニます。 いくつかのスイッチさえ持ってないん割安にするオプションをスパンポートします。 そのため、お客様のための最善の策ネットワーキング研究所は、卑しい分析して不正なソフトウェアのハブです。 私設定のネットワークには、各ボックスのように私の研究室はすべて同じlanを使用して、未登録の広幅のipアドレスは、 10.x.y.zネットワークの範囲外です。 私の使用10.10.10.z特に、というだけの理由を簡単に入力します。 私も使用するネットマスク255.255.255.0 、これができるように私に最大254別のマシン上のこのネットワークします。 さて、私は、多くのコンピュータに私の研究室が、私はまだ実行してアドレスします。

注目すべきは柔軟性とプラグマティズムの特徴は、お客様の役に立つ研究します。 新品の場合、不正なソフトウェアを実行することがリリースさ標本に不利な目標を持っていない環境では既に建てられ、私が急速に私の研究室の変更をサポートする新しいタイプのターゲットとします。 たとえば、誰かに攻撃をリリースするapache webサーバーで実行してwindowsの代わりに、私のデフォルトiisサーバで、私が1つ上のapacheをインストールするだけで私のwindowsマシンをテストして新しい病原ます。 デフォルトの基準を作成することができる研究室のインフラを簡単に適合している他の環境では、私は何も近くの分析を開始する準備が悪いやつらを撒くます。

また、感じることができないでください。このサンプルをエミュレートラボの細部に至るまで正確ます。 お気軽に変わることに合わせて、独自の分析技術環境とします。 雇用者を使用する場合、数多くのsolarisのマシンでは、投げsparcで、古いシステムを混ぜるなど、安いsparcの5システム(未満米$ 100.00でインターネットのオークションハウスの近くにお)います。 チェックアウトしたい場合はhp - uxのは、昔のhpを取得するボックスをオンにして、研究室を含めるとします。 私の研究室の仕様としては使用しないでひもを制限して研究室;私の仕様を出発点として使用するために、独自の探査やカスタマイズします。

最後に、を念頭に置いておくことを実装する必要はありませんが、この研究室のすべての栄光をします。 心配しないでできない場合は、いくつものコンピュータを買う余裕;でしょう不正なソフトウェアを分析することができます。 お持ちでない場合、ファンドは、ジュニアのバージョンを作成することができ、この研究室だけで、 1台のコンピュータです。 デュアルブートを構築するwindowsとlinuxのマシンにインストールするオペレーティングシステムの両方を、 1つのボックスをオンに切り替えることができますので、 2人で、単純な再起動します。 こうすることで、不正なソフトウェアを分析することができるでしょうし、少なくとも1つのシステムにします。 ストリップことができてもお客様のさらなる研究室ダウンします。 したい場合はwindowsの不正なソフトウェアの分析に重点を置くだけで、他にも設定するだけで、 1つのwindowsマシン上で、準備を行うことを分析しています。

virtualizingすべて

建築研究室のこれまでのところに焦点を当てて議論いたしました4つの別のマシンとハブ買いますが、でもniftier実装を使用するには仮想環境を実行する別のオペレーティングシステム上で同時に、 1つのハードウェアボックスをオンにします。 仮想システムの導入により、私のホストオペレーティングシステムをインストールするには、 1つのデスクトップまたはノート型パソコン、そして実行するいくつかのユーザーのオペレーティングシステムの上にしてください。 ホストオペレーティングシステムはごく普通の、私のハードウェアで実行しています。 ユーザーのオペレーティングシステムでは、しかし、プログラムを実行するだけでは、私のホストオペレーティングシステム上にします。 ゲストが真ならば、これらのオペレーティングシステムを同時に実行するホスト上で、プログラムを実行することができ、自らの魂とコミュニケーションを横断する仮想ネットワークに接続するシステムでは、これらすべての仮想します。 各ユーザーのオペレーティングシステムを実装するエミュレーションプログラムを介して、ホストで実行して、ファイル内の構成要素は、いくつかのホストになります。 ユーザーのシステムを実感していないでもない彼らは本物! 彼らが思うに、彼らは別のシステムで、独自のハードウェアで実行しているが、彼らは本当にただ1つの共有プロセッサが必要です。 このアプローチを使って、私の3つまたは複数の異なる仮想システムを構築して実行することで、 1台のコンピュータ上で同時にします。

仮想環境の不正なソフトウェアを使用するための新しい考えではありません分析します。 実際のところ、いくつかの研究で行われibmの非常に前向きな作業を不正なソフトウェアを使用する仮想マシン環境の分析に戻って2000年です。 私は自分の研究室に同様な概念を使用します。

さまざまなプログラムせていただくことがあり、 1つのマシンをホストの電源持ち株いくつかの異なるオペレーティングシステムです。 商業vmwareのようなツール( www.vmware.com入手可能)は、仮想パソコン( www.connectix.com入手可能) 、および他のソフトウェアをエミュレートするx86のプロセッサをインストールして実行することができ仮想コンピュータ上では、 1組のハードウェアします。 フリーウェアツールでもあり、このことのように、 plex86仮想マシンのプロジェクトで、 http://plex86.sourceforge.netており、そしてbochsプロジェクトhttp://bochs.sourceforge.netます。 さらにしたい場合は、 linuxのみ、 umlの複数のプロジェクトを実行することができ、独立linuxカーネル内部のlinuxのプロセスを、 1台のマシンのlinuxします。 umlのhttp://user-mode-linux.sourceforge.netは無料でご利用いただけます。

この仮想の実装の美しさは、私は自分の責任は全体の不正なソフトウェアの分析室で、 1つのノートパソコンを省略して、悪意のあるソフトウェアの路上テストします。 また、これらの仮想ほとんどのシステム管理ツールをロールバックできるように変更を加えた場合は、システムを再構築する仮想マシンせずに、すぐにユーザーのオペレーティングシステムの復元を元に設定されます。 もしいくつかの不正なソフトウェアのアップすっごくmesses私の仮想マシンの1つ、私だけですぐに元の状態に戻ることを設定します。 したがって、私を見ることができ、不正なソフトウェアの安全に影響を与える私(純粋仮想)ネットワークでは、私の健全性を維持しながらいくつかの非常に厄介な作業とバギー攻撃コードします。 この機能を元に戻すには、非常に役に立ちます。 ユーザーのオペレーティングシステムを凍結することも私は、トラックで、一時停止中に私のすべての行動を分析し、どのようなソフトウェアは、意地の悪いことだ。

もちろん、これらのすべての仮想マシンを実行すると同時に、ホストコンピュータのハードウェアをしなければならないbeefierよりも比較的やせこけシステムの最後のセクションに記載されます。 実際のところ、十分なメモリとcpu馬力、ほぼ何も仮想化することができます。 場合に不正なソフトウェアを実行する仮想研究所の分析をお勧めし、少なくとも2 ghzのプロセッサーを含む、少なくとも64 mbのram 、各ユーザーのオペレーティングシステムを実行するつもりだ。 したがって、実行したい場合は、 1つのホストオペレーティングシステムとゲストの3つは、なければならない256メガ以上のramします。 快適さのために、お勧めします。ラムより先に行くと二重の図を512 mbのため、お客様のシステムをより合理的なペースで実行することができます。 仮想オペレーティングシステムでは、メモリのマシンには、酸素呼吸を保持しています。

自分自身のためのポータブル仮想研究室、私vmwareの製品を使用しています。 それは市販ツールが、それを発見しましたがより安定しており、より柔軟性のいくつかの仮想システムを無料で提供します。 'ヴェvmwareのセットアップしてwindows 2000のホストオペレーティングシステムを開き、大勢のいろいろなユーザーのオペレーティングシステムでは、 windows xp用を含む、さまざまなincarnationsのred hat linux 、 freebsdの、そしてwindows 2000 serverのです。 私は、これらのいずれか、またはすべて実行するユーザーのオペレーティングシステムと同時に、または停止して、今後の分析を行います。 仮想環境ではありませんが、不正なソフトウェアを実行するために必要な分析研究所が、確実に行うことができ、分析プロセスをより簡単でより多くの携帯!

これは、記事に追加され、グレッグmcklein

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions