[악성코드 분석 따라하기 3] 윈도우 VM 환경 설정

구매한 책 내용이 윈도우 환경에서 악성코드의 분석도구와 테크닉을 공부하는 책이므로 

실제 근무하는 곳에서도 악성코드, 해킹메일 등을 분석할때 VM을 이용하여 윈도우 환경에서 돌리는 경우가 많다. 

 

-> 윈도우 os 설치는 이전글에서 우분투와 함께 적어놨으니 바로 환경 설정으로 넘어가야겠다

 

1. 파이썬 설치

이 책에서는 대부분의 스크립트가 python 2.7 버전에서 동작하도록 작성되어있다.

따라서 최신버전 설치시 일부 동작하지 않을 수 있다.

파이썬 설치페이지로 들어가서 해당 버전을 다운받도록 하자!

Python Release Python 3.9.6

 

 

2.7.13 버전 설치 

2. 호스트 전용 네트워크 설정

vm 설정에서 네트워크 설정을 host 전용 네트워크로 설정해준다.

 

3. 네트워크 설정

다음과 같이 리눅스 VM에서 설정한 ip 주소 이외의 IP주소로 설정 후 기본게이트웨이와 DNS 서버를 리눅스 VM IP주소로 설정한다. -> 윈도우에서 실행되는 모든 네트워크 트래픽이 리눅스로 라우팅되도록 설정하기 위한 준비다!

 

4. 리눅스와 윈도우 통신 테스트 및 윈도우 분석 환경 설정

이제 리눅스와 윈도우 간 통신이 정상적으로 동작하는지 확인하기 위해 Ping 명령어를 이용한다. 

윈도우에서 악성코드 분석을 하려면 방해되는 서비스는 비활성화 해야한다.

 

윈도우 디펜더 서비스를 비활성화 한다.

win+R  실행메뉴를 연후 gpedit.msc를 입력하여 로컬그룹정책 편집기를 호출한다.

 

로컬 그룹정책편집기 왼쪽 패널에서 컴퓨터 설정 > 관리 템플릿 > 윈도우 컴포넌트 > 윈도우 디펜더를 찾아

정책 수정에서 윈도우 디펜더 끄기  정책을 클릭한 후 활성화 한다.

 

5. 분석할 악성코드 다운로드

책을 읽기 전에는 Malware bazzer 라는 사이트를 이용해 바이러스를 다운받아서 

wireshark 와 Process Explorer라는 프로그램을 이용하여 패킷과 동작을 분석했었다. 

MalwareBazaar | Malware sample exchange

책에서 제공하는 샘플 다운로드 사이트는 일부는 안들어가지는 사이트도 있었다.

 

(1) Hybrid Analysis

무료 악성 소프트웨어 자동 분석 서비스 - Falcon Sandbox 제공

(2) Contagio malware dump 

 

contagio

 

(3) VirusBay 

VirusBay

(4) VirusShare

VirusShare.com

 

책에서는 언급한 내용이 유효하지 않으면 책에서 사용된 악성코드 샘플은 저자에게 연락해서 요청하라고한다 ㅋㅋㅋ

 

앞으로 해볼 실습이 정말 기대된다~~