بناء مختبر لتحليل البرامج الضاره

Share

|

دعنا اولا ان نوجه اهتمامنا الى بناء مختبر لتحليل البرامج الضاره من niyour بالذات. الناس كثيرا ما أسأل لي عن المعدات التى يحتاجونها للقيام بتحليل البرامج الضاره في المنزل او في المكتب. كما انك تنزيل واختبار مختلف برامج دفاعية وهجوميه ، فأنت بحاجة الصلبه والبيئة لاجراء هذه التجارب تؤكد بنفسك. أبعد من مجرد التجريب لحسابهم الخاص ، انك قد تواجه مختلف البرامج الضاره نماذج في استخدامها ضد بنفسك نظم الانتاج في البرية. المختبر باستخدام هيكل سنقوم وصف في هذا الفرع ، وستتمكن من الوخزه والنخزه الخبيثه والبرمجيات لكم ان يكتشف حتى يمكنك الحصول على فهم اعمق لكيفية عمل نماذج البرامج الضاره والضرر الذي قد يتسبب. طيبة مع التحليل في مختبر البرامج الضاره ، عليك ان تكون مستعدا عندما يأتي داعيا البرمجيات المءذيه.

المحاذير : nonproduction باستخدام نظم والبقاء على الفرار من الانترنت

اولا ، تأكد انك الخاص بك بناء معمل اضافي باستخدام أجهزة الكمبيوتر التي كنت لا تعتمد على لاغراض الانتاج. اذا كنت مثلي ، بأنك ستكون ضاره جميلة تركيب بعض البرامج الضاره على هذه الصناديق ، وذلك فعليك الجوية الفجوه اخراجهم من انتاج الشبكه الخاص بك. هذه الآلات لا ينبغى على الاطلاق ان تكون مرتبطة الى رسالتكم الحقيقية شبكة الانترنت او حتى على جميع البرمجيات منها تدميرا كاملا مع اعادة صياغه شاملة من القرص الثابت. ايضا ، لا بل ان نفكر في اي تخزين البيانات الحساسة على هذه النظم ، كما ان بعض انواع البرامج الضاره يمكن ان سرقة هذه البيانات او الفاسده كافة جوانبه. هذه الصناديق يجب ان يكون التحليل في مختبر البرامج الضاره والملعب فقط. اي استخدام لهذه الصناديق في بيئه الانتاج يمكن ان تتسبب فقط فى كميات هاءله من المتاعب. ابدا ، ابدا ربط هذه الآلات على الانترنت. كنت حذر!

وبالاضافة الى ذلك ، you'll نريد ان يكون المختبر الخاص بك على استعداد للبدء في لحظة والاشعار ، في حال حدوث طارئ مثل سريع الانتشار ان دودة يتطلب تحليل سريع. انك لا تريد ان يكون لاستجد حولها في الوقت الحقيقي خلال هذه الازمة الحالية لانتاج صناديق لاستخدامها في المختبر الخاص بك. وبدلا من ذلك ، ان تخصص نظم مناسبة وبناء المعمل مسبقا بحيث يمكنك اجراء التحليل على الذبابه.

عموما مختبر الهندسه المعماريه

مع تلك المحاذير للخروج من الطريق ، والخبر السار هو ان يمكنك بناء مختبر لتحليل البرامج الضاره على التكلفه المنخفضه جدا. لست بحاجة آخر جي - الازيز لاجهزة المعمل الخاص بك. معالج سريع وgobs رام هي لطيفة لها ، ولكن ليس مطلوبا. وبدلا من ذلك ، القديمة معدات فائضة من شركتك أو مفيد الانترنت المزاد سيكون كافيا. والهدف هنا هو مجرد الحصول على الآلات التي سوف تعقد نظم التشغيل ، وقليل من التطبيقات ، والبرامج الضاره ليكون حللت. تقتصر هذه الاحتياجات يمكن ملؤها بسهولة دون القطيفه النظم الحاسوبيه.

لبلادي البرامج الضاره تحليل مختبر الهندسه المعماريه ، وأنا أستعمل أربعة نظم مرتبطة معا. وأوصى بأن يقوم لك قم ببناء المعمل من الماكينات على الاقل معالج 350 ميغاهيرتز ، 64 ميغابايت من ذاكرة الوصول العشوائي ، و5 جيجابايت القرص الثابت. كل نظام وسوف نحتاج الى بطاقه شبكة ، وبطبيعة الحال ، ولكن بسيطة - 10 ميغابايت إيثرنت سيكون كافيا. بمقاييس اليوم ، هذه محصول العنب - 1997 صناديق ينبغي فيره ورخيصة. مرة اخرى ، اذا كنت تستطيع ان تفعل افضل من هذا الاساس ، سيكون لديك ا اناقه المعمل ، ولكن لا تخرب ميزانيتك في الحصول على هذه النظم. أنا أكثر من مجرد العرض الى بلدي المفضل على الانترنت موقع المزاد ، ورأوا أن المكتب نظم مع هذه الاجهزه نبذة متاحة لاقل من 250.00 دولار امريكى لكل منها. اجهزة كمبيوتر محمولة من هذا النوع يمكن متمزق لحوالى 400.00 دولار امريكى لكل منها.

والآن ، دعونا ننتقل الى نظام تشغيل الاجهزه والخدمات المزيج. وكما ترون ، بلدي المعمل يحتوي على نظام تشغيل ويندوز 2000 ميكروسوفت IIS ملقم الويب. كثير من الشركات ان تعتمد على ويندوز 2000 ، وIIS هي المفضلة لخدمة البرامج الضاره المستهدفة. لذلك ، يمكنني ان استخدام هذا النظام لتقييم العديد من الديدان وrootkits مصممة للآلات ويندوز. وبطبيعة الحال ، ويندوز 2000 هو نظام التشغيل التجاري ، ولذلك عليك ان تحصل على ترخيص المشروعة ، والتي للتو قد ادرجت في شرائك من الاجهزه نفسها.

وجهتي المقبلة نظام لينكس هو الإله ، وتسيير خادم بروتوكول نقل الملفات واباتشي ملقم الويب. مثلما مع ويندوز IIS ، العديد من البرامج الضاره العينات المستهدفة تحديدا الضعيفه اباتشي بروتوكول نقل الملفات والمنشآت ، حتى اريد ان اكون على استعداد لتحليل لها. ملاحظتي الثالثة هي نظام ويندوز إكس بي مربع ، وتهيئتها لمشاركة الملفات باستخدام المدمج في ويندوز ملف تقاسم الآليات. لأن ويندوز اكس بي مشترك هو بيئة سطح المكتب والمنزل على حد سواء لمستخدمي الشركات ، واستطيع ان اختبار البرامج الضاره التي تستهدف هذه البيئات الشعبية المستخدم. واخيرا ، لمتنوعة ، لقد قمت شملت آلة openbsd مع نظام التشغيل. Openbsd هو الحصول على مزيد من الاهتمام لما له من بني كبير - في الخصائص الامنية. انا اختبار هذه السمات من قبل ادارة شبكة ملف النظام (نظام ملف الشبكه (الخادم على هذا المربع.

على كل من نظم في بلدي المعمل ، لقد قمت بتركيب مجموعة متنوعة من مضادات الادوات التي يمكن ان تساعد في التعرف على مختلف البرامج الضاره المعروفة جيدا الامثله كما هي تحميل نظام. وعلاوة على ذلك ، إنني تركيب ملف النزاهه فحص البرمجيات على كل آلة لرصد الحرجه الملفات واعدادات النظام في هذا الحدث في اطار البرامج الضاره التي تحاول تحليل لإحداث تغييرات. ولئن كنت نحلل شر المخلوقات ، وانني قد تعطل مضادات الملف والتحقق من سلامة الأدوات مؤقتا للحصول على مزيد من البصيره ، وترك شبر من بلادي للبرمجيات الفرامل. بيد ان الموقف الافتراضي هو ان نترك هذه الادوات في عملية دفاعية ، لمراقبة اي تلوث داخل بلدي المعمل حتى اقرر لندع البرامج الضاره البعيد فضفاضة.

انا ربط جميع هذه الصناديق معا باستخدام رخيص المحور او التبديل. انا فعلا يفضلون استخدام محورا لبلدي المعمل ، لأن المحاور تكرار عبوة لجميع نظم صلة الى الشبكه المحلية. وبهذه الطريقة ، يمكنني ان تدير الشم على اي من بلدي المعمل مرتبط آلات ، وانظر عبوة بعث بها أي نظام آخر على الشبكه المحلية المختبر. اذا كنت تستخدم التبديل ، وأنا فسوف تحتاج إلى أي مدى تهيئة الميناء ، والتي هي واحدة على مفتاح الصدد ان يتلقى جميع البيانات من الشبكه المحلية. بعض من أرخص مفاتيح لا تملك حتى خيارا لمدى الموانئ. لذا ، افضل ما لديكم من اجل التواصل الرهان الخاص بك مختبر لتحليل البرامج الضاره هو محور الضعفاء. لقد قمت تهيئتها الربط الشبكى بين كل من بلدي المعمل مربعات بحيث تكون جميع على نفس الشبكه المحلية ، باستخدام مساحة غير مسجل من عناوين بروتوكول انترنت في 10.x.y.z شبكة طائفة. انا استعمل 10.10.10.z على وجه الخصوص ، لأنه ببساطة السهل النوع. واود ايضا ان يستخدم من netmask 255.255.255.0 ، الامر الذي سيسمح لي ان ما يصل الى 254 الآلات المختلفة في هذه الشبكه. الآن ، عندي الكثير من الحواسيب في المختبر بلدي ، ولكنني لم ينفد من العناوين.

وتجدر الاشارة الى ان المرونة والواقعية هي خصائص مفيدة للمختبر الخاص بك. اذا جديد البرامج الضاره النموذج هو ان يفرج يتعارض هدفا البيئة لست تم بناء ، وأنني سوف تعدل بسرعة بلادي مختبر لدعم هذا النوع الجديد من الهدف. فعلى سبيل المثال ، اذا كان هناك من الاصدارات هجوم ضد أحد اباتشي ملقم الويب بالظهور على ويندوز ، وبدلا من الخادم IIS الافتراضي الخاص بي ، وأنا منك ببساطة تركيب اباتشي على احد زملائي لاختبار آلات ويندوز الجديد السبب المرضى. عن طريق انشاء المختبر الافتراضي الاساس البنية التحتية التي يمكن ان تكيف بسهولة مع البيئات الاخرى ، فإنا على استعداد للبدء في تحليل ما يقرب من أي شيء سواه الرجال باطلاق العنان.

ايضا ، من فضلك لا تشعر بأن لديك الى محاكاه هذه العينات في مختبر في التفاصيل الدقيقة. لا تتردد لأنها تختلف بنفسك لتلائم البيئة وتقنيات التحليل. اذا كنت رب عمل يستخدم عدد كبير من الآلات وسولاريس ، ورمي sparc نظام قديم الى هذا المزيج ، مثل رخيص sparc 5 نظام (اقل من 100.00 دولارا امريكيا فى مزاد على الانترنت منزل قرب لكم). إذا أردت أن تحقق شركة هولت باكرد - قرينه ، احصل قديم شركة هولت باكرد المربع وتدرجه في المعمل. لا تستخدم بلدي المعمل المواصفات باعتبارها المقود للحد من المعمل الخاص بك ؛ بلدي استخدام النظاره كنقطه انطلاق لاستكشاف بنفسك والتحوير.

واخيرا ، نضع في اعتبارنا ان كنت لا تملك لتنفيذ هذا المعمل في كل مجدها. لا تقلق إذا كنت لا تستطيع تحمل عدة حواسيب ؛ سيبقى بامكانك لتحليل البرامج الضاره. اذا كنت لا تملك الاموال ، انت يمكن ان يؤدي الى حدوث الابن نسخة من هذا المعمل واحدة فقط مع الحاسوب. بناء المزدوجه الحذاء ويندوز لينكس وآله ، وتركيب كل من انظمة التشغيل على مربع واحد بحيث يمكنك التبديل بين اثنين بسيطة مع اعادة التشغيل. وبهذه الطريقة ، ستتمكن من تحليل البرامج الضاره على نظام واحد على الاقل. حتى انك تستطيع الشريط الخاص بك معمل المزيد من اسفل. اذا كنت تريد فقط التركيز على ويندوز تحليل البرامج الضاره ، ويمكن لكم ايضا وفق عادل وحيد ويندوز آلة ، وبعد انها على استعداد للقيام تحليلكم.

Virtualizing كل شيء

المعمل البنيان قمنا نوقشت حتى الان يركز على شراء أربع آلات منفصلة ومركزا ، ولكن حتى اناقه التنفيذ ينطوي على استخدام بيئة افتراضيه لتشغيل مختلف أنظمة التشغيل في وقت واحد على احد الاجهزه المربع. تنفيذ نظم الكترونيه تسمح لي بأن تركيب نظام التشغيل المضيف واحد على سطح المكتب او حجريه الحاسوب ، وثم شغل عدة ضيف نظم التشغيل على أعلى منه. المضيف هو مجرد نظام تشغيل عادي ، بالظهور على اجهزة بلادي. ضيف نظم التشغيل ، ولكن ، ببساطة البرامج التي تديرها على رأس بلادي استضافة نظام التشغيل. هذه هي الحقيقية الضيوف نظم التشغيل بالظهور في وقت واحد على المضيف ، في انها يمكن ان تدير برامج انفسهم والاتصال عبر شبكة الكترونيه تربط جميع هذه النظم الافتراضيه معا. كل ضيف نظام التشغيل نفذت من خلال محاكاه البرنامج بالظهور على المضيف ، وتتألف من عدد قليل من الملفات داخل المضيفه. ضيف نظم بل لا يدركون أنهم لا ناشرا الحقيقية! يعتقدون انهم هم نظم مستقلة بالظهور على الاجهزه الخاصة بهم ، ولكنها في الحقيقة مجرد تقاسم معالج واحد. وباستخدام هذا النهج ، وانني بناء ثلاثة او اكثر من مختلف النظم الافتراضيه والبعيد لهم في الوقت نفسه على واحدة الحاسوب.

افتراضي باستخدام البرامج الضاره بالبيءه لتحليل ليست فكرة جديدة. والواقع ان الباحثين في شركة آي بي ام تقوم بعض جدا التطلعيه العمل على تحليل البرامج الضاره باستخدام الآلة الافتراضيه للبيئة الى الوراء في عام 2000. انا استعمل مفاهيم مماثلة في بلدي المعمل.

مجموعة متنوعة من البرامج المتاحة التي تسمح لك بدوره الى اله واحد مضيف عقد عدة نظم تشغيل مختلفة. ادوات تجارية مثل vmware (يمكن الاطلاع عليه في www.vmware.com) ، افتراضيه من القانون الجنائي (يمكن الاطلاع عليه في www.connectix.com) ، ومحاكاه الآخرين في وجود معالج x86 البرمجيات بحيث يمكنك تركيب وتشغيل الحواسيب الافتراضيه على رأس مجموعة واحدة من الاجهزه . بل هناك ادوات مجانيه على ان تفعل ذلك ، مثل الإله الافتراضيه plex86 المشروع ، في http://plex86.sourceforge.net ، وbochs المشروع في http://bochs.sourceforge.net. وعلاوة على ذلك ، اذا كنت تريد لينكس فقط ، افادت المشروع يمكن تشغيله متعددة ، ومستقلة داخل لينكس الألباب لينكس للعمليات على آلة واحدة لينكس. افادت هو متاح مجانا في http://user-mode-linux.sourceforge.net.

جمال هذا التنفيذ الفعلي هو ان استطيع تحمل كامل حسابي البرامج الضاره تحليل في مختبر معي على حجريه واحدة ، واختبار البرمجيات الخبيثه على الطريق. علاوة على ذلك ، فان معظم هذه الادوات الافتراضيه نظام يسمح لك لدحر اى تغييرات على الآلة الافتراضيه دون اعادة بناء النظام ، ويحل ضيفا على الفور استعادة نظام التشغيل الى حالته الاصليه التشكيل. واذا كان بعض البرامج الضاره بشكل ملكي مطاعم يصل احد زملائي آلات افتراضيه ، فإنني سوف مجرد مجموعة فورا لاعادتها الى الاصل الدولة. ولذلك ، بامكاني مشاهدة البرامج الضاره للتأثير على بلادي (افتراضي بحت) الشبكه ، وحفظ بلدي التعقل في حين تعمل مع بعض سيئا جدا والعربة المهاجم المدونه. تعود هذه الميزه مفيدة كثيرا. يمكنني حتى تجميد ضيف نظم التشغيل في المسارات ، ووقف جميع الاجراءات ولئن كنت نحلل ما تقوم به البرمجيات المءذيه.

وبطبيعة الحال ، لادارة جميع هذه الآلات الافتراضيه وفي الوقت نفسه ، فان اجهزة الحواسيب المضيفه يجب أن تكون أضخم بكثير من نظم هزيل نسبيا وصفها في القسم الاخير. وفي الواقع ، مع ما يكفي من الرام وحدة المعالجه المركزية حصان ، يمكنك virtualize اي شيء تقريبا. اذا كنت تنوي على التوالي افتراضي مختبر لتحليل البرامج الضاره ، وانا أوصي على الأقل 2 غيغاهرتز معالج ، مع لا يقل عن 64 ميغابايت من ذاكرة الوصول العشوائي لكل ضيف نظام التشغيل تعتزمون على التوالي. لذا ، اذا كنت تريد تشغيل واحد نظام التشغيل المضيف والضيوف الثلاثة ، يجب عليك 256 ميغابايت أو اكثر من ذاكرة الوصول العشوائي. لمجرد المتعه ، انك قد ترغب في المضي قدما وضعف هذا الرقم الى رام 512 ميغابايت الخاصة بك بحيث يمكن تشغيله في نظم اكثر سرعة معقولة. افتراضيه مع نظم التشغيل ، والذاكرة هي اكسجين ان يبقيه آلة التنفس.

لبلدي المحموله المختبر الافتراضي ، واستعمل vmware المنتج. انها أداة تجارية ، ولكن قمت وجد انها تكون اكثر استقرارا واكثر مرونة من بعض الحرة الافتراضيه نظام العروض. 'اشتركوا في اقامة vmware على بلدي المضيف ويندوز 2000 نظام التشغيل لعقد مجموعة من الضيوف مختلف نظم التشغيل ، بما في ويندوز اكس بي ، من مختلف التجسيد القبعه الحمراء لينكس ، فري بي. اس. دي ، ويندوز 2000 الخادم. استطيع تشغيل أي أو كل من هذه ضيف نظم التشغيل في الوقت نفسه ، او تعليق منها لتحليلها في المستقبل. بيئة افتراضيه ليست مطلوبة من أجل تنفيذ البرامج الضاره التحليلات المختبريه ، ولكن من المؤكد انها يمكن ان تجعل عملية تحليل الكثير اسهل واكثر محمول!