OALabs-VM:全自动化的虚拟机分析平台

lucywang 技术 2018年7月24日发布
Favorite收藏

导语:Windows虚拟机(VM)是分析恶意软件最重要的工具之一,虚拟机允许分析人员灵活的调试恶意软件,而不必担心感染主机。如果虚拟机受到感染,可以快速的恢复到原来的系统,继续进行分析。

微信截图_20180721163640.png

OALabs-VM的灵感来源

Windows虚拟机(VM)是分析恶意软件最重要的工具之一,虚拟机允许分析人员灵活的调试恶意软件,而不必担心感染主机。如果虚拟机受到感染,可以快速的恢复到原来的系统,继续进行分析。

传统上,恶意软件分析人员必须在自己的虚拟机中使用一系列配套的分析工具,相当麻烦,不过在2017年,FLARE-VM的出现,让虚拟机的使用不再那么复杂。FLARE VM是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。FLARE VM借鉴了基于Linux的安全开源发行版的思想(如Kali Linux、REMnux以及其他Linux发行版),提供了经过全面配置的一个平台,全面集成了Windows安全工具,包括调试器、反汇编器、反编译器、静态及动态分析工具、网络分析及网络操作工具、Web资产评估工具、漏洞利用工具、漏洞评估等应用程序。另外,FLARE VM中还包含FLARE团队研发的公开版恶意软件分析工具,如FLOSS以及FakeNet-NG等。

不过刚刚过去不到一年,这一虚拟机平台的核心思想就被其他安全公司给借鉴了,OALabs。OALabs在研究FLARE-VM项目背后的核心思想后,也创建了一个属于自己的OALabs-VM安装程序,该安装程序将自动配置完整的分析工具

本文会详细介绍OAlabs-VM的安装过程和配置免费Windows 7 VM的说明,具体分以下几步:

1.VirtualBox的安装;

2.从微软下载一个免费的Windows 7 (x86)虚拟机;

3.将Windows 7 VM导入到VirtualBox并配置设置;

4.下载并执行OALabs-VM安装程序脚本;

5.概述OLabs工具及其在VM上的位置;

6.建立一个64位的虚拟机,并与免费的IDA反汇编程序一起使用;

如果你不想看下面的文字,就请直接看视频安装教程

VirtualBox的安装

oalabs的开发人员建议使用VirtualBox作为你的管理程序来控制恶意软件分析虚拟机,由于VirtualBox在所有主机平台上都有类似的用户界面,因此建议您使用它,并且它也是免费的。

要安装VirtualBox,请导航到VirtualBox下载页面,选择适用于你的操作系统的安装程序包,下载和运行安装程序并按照安装说明进行操作。

安装免费的Windows 7 VM

OALabs-VM安装程序打算在微软提供的用于测试Edge web浏览器的免费vm上运行,尽管oalabs的开发人员只对免费的VM进行了测试,但安装程序仍然可以在任何32位的Windows 7 VM上运行。oalabs的开发人员选择使用32位的Windows 7,因为它更容易调试32位的恶意软件,而32位的恶意软件目前仍是Windows恶意软件的主流。

免费的Microsoft VM有使用期限,90天后到期;然而,在oalabs的开发人员的安装过程中,oalabs的开发人员将获取一个虚拟机的Snapshot版,该版本可以在90天之后恢复,以无限期地延长许可。

要下载免费虚拟机,请导航到Microsoft VM下载页面,使用页面上的下拉菜单选择以下虚拟机配置:

1.Win7 (x86)的IE11;

2.VirtualBox;

下载.zip文件并将其解压缩到你的主机上,此时 zip文件夹应包含.ova文件。

1.png

接下来,打开VirtualBox并选择File-> Import Appliance,选择刚才解压缩的.ova文件的路径并选择Continue。然后,系统会要求你选择设备设置,如果可能,请将CPU数量设置为2.其余设置选择默认即可。

2.png

最后单击Import来导入VM,这可能需要一些时间。

一旦虚拟机被导入,你就需要启动它。在首次重启虚拟机之前,应在启动虚拟机后立即执行以下操作:

1.忽略任何重启虚拟机的提示,选择Restart Later(稍后重启);

2.记下壁纸上的用户名和密码,通常是IEUser:Passw0rd !;

3.打开cmd.exe并输入slmgr / ato,激活90天许可证;

4.等待激活确认弹出窗口并将其关闭;

3.png

当激活确认弹出窗口关闭后,使用VirtualBox获取虚拟机的snapshot并其标记为Clean Install,这将成为你以后的基本映像。

4.png

当90天许可证到期时,你可以恢复这个snapshot,并按照下一节中的OALabs-VM安装步骤重新创建分析虚拟机。

请注意:如果要使用剪贴板在主机和虚拟机之间复制文本,可以在Settings-> Advanced-> Shared Clipboard中启用这些设置。但是,请记住,如果你启用了这个功能,并且正在分析虚拟机中窃取剪贴板数据的恶意软件,那么之后你应该首先禁用这个功能。

5.png

安装OALabs-VM工具

安装OALabs-VM工具只需简单的三步:首先,在虚拟机中打开Internet Explorer,浏览以下OALabs Boxstarter gist: https://gist.github.com/OALabs/cad8d9489245f3f96d9669f56d2877f3。这个gist包含一个Powershell脚本,它将负责启动安装程序进程。通过单击github界面上的原始按钮,然后在Internet Explorer中选择File-> Save As …,将脚本下载为文本文件。

6.png

确保将文件保存为.txt文件后,并就关闭Internet Explorer。

7.png

找到已保存的文件并将文件扩展名更改为.ps1,以便它可以作为Powershell脚本运行。然后右键单击文件,选择使用PowerShell运行。此时,安装程序就将启动。

安装过程可能需要一些时间,因为它需要下载多个软件包。在安装过程中,虚拟机会自动重新启动多次,这是正常的。一些安装包也可能会打开安装程序屏幕,此时你需要点击该屏幕。只需选择默认设置,然后单击让程序继续安装即可。安装完成后,脚本将提示你单击Enter以完成安装并关闭PowerShell窗口。

8.png

OALabs工具概述

OALabs-VM安装程序目前只安装oalabs的开发人员在本文介绍的一些工具,不过,由于安装程序还安装了Chocolatey软件包管理器,因此很容易从Chocolatey软件库安装其他软件。下面对OALabs-VM工具做一些介绍。

Checksum

Checksum是一个命令行工具,可用于显示文件的校验哈希值。例如,checksum -t sha256 <file>将显示文件的SHA256哈希值。

7 zip

7zip是一个解压实用程序,可用于解压多个压缩类型。此实用程序安装在VM上的%programfiles%\7zip中,可从“Start”菜单中访问。更多细节请参见7zip网站

Process Explorer

Process explorer是一个用于在Windows上浏览正在运行的进程的实用程序。它可以从“Start”菜单中获得。许多恶意软件样本将在运行进程中检查字符串procexp,并以此作为反分析的基础,因此oalabs的开发人员会将procexp二进制文件复制到pexp.exe。此复制文件也可以从开始菜单中获得,建议在调试恶意软件时使用。有关更多详细信息,请参阅Process Explorer网站

Resource Hacker

Resource Hacker是一个简单的实用程序,用于从PE文件中提取资源。它可以从“Start”菜单获得,也可以到固定任务栏获得。Resource Hacker是一个类似于eXeScope的但在某些方面比它还好一些的工具,用于查看,修改,添加和删除Win32可执行文件的资源,该软件内置了一个内部资源编译器和反编译器。更多详细信息,请参阅Resource Hacker网站

HxD

HxD是一个十六进制编辑器,它已经安装到%programfiles%\hxd中,也可以从“Start”菜单中获得,并到固定任务栏获得中。有关详细信息,请参阅HxD网站

Sublime Text 3

Sublime Text是一个优秀的文本编辑器,它已经被安装到%programfiles%\Sublime Text 3,并且也可以从“Start”菜单中获得,并到固定任务栏获得中。Sublime Text:一款具有代码高亮、语法提示、自动完成且反应快速的编辑器软件,不仅具有华丽的界面,还支持插件扩展机制,用她来写代码,绝对是一种享受,更多细节请参见网站

谷歌浏览器

标准的谷歌Chrome安装。

PEBear

PEBear是Hasherezade开发的首选PE查看器和编辑器,它可以从“Start”菜单获得,也可以到固定任务栏获得。要了解更多细节,请查看hasherezade关于PEBear的文章

LordPE

LordPE是一个与PEBear相似的PE查看者和编辑,但太旧,oalabs的开发人员并不经常使用它,但许多分析师更喜欢它,所以oalabs的开发人员将它包含进来以防万一用得着。它可以从“Start”菜单中获得。LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。有关使用说明,请参阅aldeid wiki关于LordPE的文章

x64dbg(x32dbg)

oalabs的开发人员已经安装了x32dbg 32位版本的x64dbg,这是oalabs的开发人员在大多数情况中使用的调试器,应该适用于大多数任务。oalabs的开发人员计划尽快更新已安装的版本。它已经被安装到%programfiles%\x64dbg\release\x32。这个安装位置还包含插件和db文件夹,如果你已安装了任何插件或想要删除以前的分析数据库,你都必须需要访问这些插件和db文件夹。x32dbg可以从“Start”菜单获得,也可以到固定任务栏获得,更多细节请访问x64dbg网站

Python2

这是标准的Python 2.7安装,并且已设置路径,因此可以从命令行获得,还安装了python软件包管理工具——Pip。

strings.py

Strings.py是Willi Ballenthin用python编写的自定义字符串工具,它可以从命令行获得,此文件的源代码可在此处获取

文档工具

OALabs-VM还安装了以下文档分析工具:

· oletools

· offvis

· officemalscanner

· pdfid

· pdfparser

· pdfstreamdumper

安装免费的IDA反汇编程序(x64)

如上所述,OALabs-VM安装程序在经过配置后可以与Windows 7 32位虚拟机一起使用。不幸的是,免费版的IDA反汇编程序只能在64位Windows上运行。这意味着oalabs的开发人员必须配置一个单独的虚拟机来与IDA一起使用。oalabs的开发人员建议从微软下载第二个免费的虚拟机https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,这次选择的是Windows 10 64位虚拟机。

9.png

按照上面讲过的VirtualBox设备导入说明,将Windows 10 64位虚拟机导入到VirtualBox中。导入并配置了虚拟机下载后,就要从Hex-Rays网站安装免费的IDA反汇编程序。

使用FLARE-VM

如果你发现OAlabs-VM安装程序缺少一些你喜欢的工具,那么可以使用FLARE-VM安装程序来安装更多的分析工具。还有一个来自RingZeroLabs的视频教程,它会教你如何安装免费的Windows VM和FLARE-VM。

本文翻译自:https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/如若转载,请注明原文地址: http://www.4hou.com/technology/12697.html
点赞 7
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论