iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 8
3
Security

資事體大 毒擋一面 - 資安防護深入淺出系列 第 8

[Day08] 環境設置 - 建立你的小病毒實驗室

  • 分享至 

  • xImage
  •  

為了能夠繼續探討病毒相關行為分析,我們先來設置測試的環境吧。

當我們收到了一個來路不明的檔案時,最簡單的方法當然就是直接執行後再判斷是否有可疑的行為。
malware type
但萬一要是這些檔案本身是有害的病毒呢?依據前幾篇所做的病毒介紹可以知道,病毒可怕的就是在它們行為,小則首頁綁架、跳廣告,大則可能讓電腦報銷、檔案加密或是信用卡被刷爆等等。
/images/emoticon/emoticon20.gif
所以我們不能在平時使用的電腦環境下來測試可疑文件,為了預防病毒的攻擊,各種虛擬主機就成了我們的好夥伴,像是VirtualBox,VMWare 等等,本篇將以 VirtualBox 為例,用它來建置一個測試用的虛擬環境。

本文中將使用 Windows 7 做為虛擬環境的作業系統,Windows 7 64bit 光碟請自行準備,或使用微軟官方提供的測試用檔案 https://developer.microsoft.com/en-us/microsoft-edge/tools/vms

取得VirtualBox

首先到 VirtualBox 的首頁 https://www.virtualbox.org/ 找到下載頁面後,按照自己電腦的作業系統選擇下載的版本,本篇所選用的為 Windows host。
virtual box

安裝

下載完畢後安裝 VirtualBox,設定上只要注意安裝路徑的空間是否充足,預設路徑為C:\Program Files\Oracle\VirtualBox\。在安裝的過程中可能會跳出 Windows 安全性視窗詢問是否安裝軟體,可以直接勾選"永遠信任來自 Oracle......"並直接繼續安裝即可。

基本設定

安裝完以後啟動 VirtualBox,先點選檔案 → 喜好設定 → 一般 → 預設機器資料夾 → 其他,並修改虛擬機器資料的儲存位置,預設路徑為 C:\Users\Users\VirtualBox VMs\,可以點選其它以修改至空間較大的磁碟中或更改儲存資料夾名稱。
修改路徑

如果是使用 Microsoft 所提供的測試環境,只要點選 檔案 → 匯入應用裝置 → 選擇已下載的環境即可加載好環境。

設定新機器

點選新增後輸入電腦名稱,選擇作業系統版本,接著設定記憶體大小,如下圖所示,在設定記憶體大小時請注意,如果把過多的記憶體交給虛擬主機,則虛擬主機啟動時會使本機電腦變得非常慢。
Ram大小設定

接著立即建立虛擬硬碟 → 建立 → 硬碟檔案類型選擇,不需要與其他虛擬軟體共同使用的話可選擇預設值 VDI,如下圖所示。
硬碟檔案類型

按照需求設定硬碟為"動態配置"或"固定大小",若設定為動態配置,即可在虛擬主機建立完畢後,依然可以進行硬碟空間大小調整並延伸磁區。接著設定硬碟空間大小,由於虛擬機器裡必須放置一些測試所需要的軟體,因此建議設定在 20GB 以上。在設定完畢後,虛擬主機的配置就完成囉!

設定的內容在之後都還可以到設定值修改喔!

安裝 Windows 7

放入 Windows 7 光碟後,點選虛擬主機的設定值 → 存放裝置,選取本機的光碟機(如下圖光碟機為 E:),設定完畢後啟動虛擬主機即可看到 Windows 7 的安裝畫面囉!
光碟機

設定共用資料夾

為了能夠移動特定資料到虛擬主機中,我們可以設定一個共用資料夾,要注意的是這次主題與病毒測試相關,有些病毒會複製或產生病毒到共用資料夾下,所以平時沒在使用時請盡量保持清空,以避免在本機中誤觸病毒。

在啟動虛擬主機後選擇上方工具列中的 裝置 → 插入 Guest Additions CD 映像,如下圖所示
插入 Guest Additions CD 映像

點選後會自動跳出安裝視窗,有些同樣會跳出 Windows 安全性視窗,可以勾選"永遠信任來自 Oracle...",直接選擇繼續安裝即可,安裝完成後重開虛擬主機。

重開後回到 VirtualBox 軟體介面,選擇虛擬主機 → 設定值 → 共用資料夾 → 點選右方有綠色加號的資料夾圖示,即可設定虛擬主機與本機之間的共用資料夾。
共用資料夾

將"自動掛載"與"設為永久"打勾。如果不需要從虛擬主機拿檔案至本機,可勾選第一個唯讀選項,這樣虛擬主機內部就不能夠修改共用資料夾的內容。

設定完畢後再次啟動虛擬主機,打開檔案總管 → 網路,即可看見剛剛設定好的共用資料夾。

如網路部分出現一片空白且上方出現網路探索,點選開啟後選擇"否,將我的連線改到私人...",就可以看到剛剛設定好的共用資料夾,如下圖所示。
設定好的共用資料夾

此時可以嘗試放入一些檔案或資料夾進行共用測試。

製作快照 Snapshot

快照就是虛擬主機用的還原點,可以用來還原到過去有製作快照的還原點,當執行可疑檔案後即可利用這些還原點還原虛擬主機,因此不必擔心中毒後無法解原。

首先點選上方工具列中的機器 → 取得快照,如下圖所示,接著將快照命名後點選確定,結束後即可在VirtualBox右上角的快照選項中確定是否存好快照。
製作快照

還原建立好的快照有兩種方法:

  1. 直接點選虛擬主機右上角的關閉視窗 X,選項中有"機器關係",勾選還原目前快照"快照名稱",即可還原快照建立時的狀態。
    還原1

  2. 開啟 VirtualBox 管理員,選擇虛擬主機並點選右上角的"快照",從下方切割視窗中選擇欲復原的快照並點選上方的"啟動",即可還原快照建立時的狀態。
    還原2

按照上述的步驟即可安裝好 Windows 7 的虛擬主機了,這樣就可以拿來作各式各樣的測試。
如果是用微軟官方提供的測試用檔案的使用者,也可以用快照還原來保持授權期限不過期。

附錄
當主機有不同網卡,且有各自的網段時,可以改變MAC位址,手動設定使用不同網卡的網段:
將虛擬主機關機 → 設定值 → 網路 → 進階 → 點一下MAC位址右邊的按鈕即可,如下圖所示。
http://ithelp.ithome.com.tw/upload/images/20161223/20103559h7qZ429nlP.jpg
設定後,網卡將經由 DHCP 自動取得不同網段的 IP。

希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!


上一篇
[Day07] 病毒介紹 - 病毒界也有電影明星
下一篇
[Day09] 聖誕特輯 - 邊緣人在家打文章QQ,聖誕節病毒
系列文
資事體大 毒擋一面 - 資安防護深入淺出31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言