0x01_Howto_Build_VM
#虚拟机镜像制作方法
对于恶意软件的分析,推荐使用虚拟机进行分析,这样首先能够保证恶意软件运行在安全可控的环境中,其次也方便运行环境的初始化。 本文介绍了如何使用VirtualBox[1]虚拟机制作用于恶意软件分析的Linux镜像。
首先制作思路是在Ubuntu 1404 LTS 基础上通过apt-get安装需要的分析工具。这里推荐REMnux[2] 的镜像文件作为基础文件,因为此镜像是专业的Linux反病毒分析镜像,然后通过运行项目自带的升级脚本进行升级。
1.下载镜像文件
从REMnux 官网上下载最新版的OVA 镜像文件[3]. 然后验证文件完整性。
Sha256: C26BE9831CA414F5A4D908D793E0B8934470B3887C48CFE82F86943236968AE6
Md5: 606159d4be7da3df0505592a09af6ba3
2.导入镜像文件
使用VirtualBox 虚拟机软件导入镜像文件。这里推荐安装最新版的VirtualBox 5.1.如图所示,建议修改CPU 个数和虚拟机名称,导入预计5 分钟。
3.设置虚拟机
虚拟机网络默认是NAT 模式,为了使用ssh 登录,这里需要配置端口转发,参数请见下图:
为了同步代码和样本,推荐配置文件共享,参数如图。配置后需要安装VirtualBox 插件才可以使用共享文件夹。
为了安装虚拟机插件,需要新增一个光驱设备,如图
配置完成后建议保存虚拟机快照,便于恢复。
4.更新虚拟机
首先进入root模式,并开启ssh服务。
sudo su -
service ssh start
然后连接ssh服务,连接参数如图。用户名密码使用默认的remnux/malware.
验证ssh正常后,可以通过sftp将代码上传到虚拟机内部,更新虚拟机只会用到代码中util/update_image/update_image.sh 这一个脚本文件。 根据自身网络环境相应的修改update_image.sh。例如如果网络环境是借助代理服务器进行网络访问,请修改CFG_Enable_Proxy=1, 然后填入对应的代理服务器地址到PROXY_URL. 如图.
接着修改CFG_INSTALL_VBOX_TOOLS=1 用于自动安装虚拟机插件。 然后从VirtualBox界面选择设备->安装增强功能,虚拟机插件的安装文件会作为磁盘加载。但是因为无法自动运行,需要运行update_image.sh从代码中安装。
最后以root身份运行 update_image.sh 进行软件升级和安装操作,如图
等脚本运行完成后,运行命令poweroff, 虚拟机制作完成。建议从VirtualBox界面中选择导出虚拟机,保存成为OVA格式,用于虚拟机备份,如图,预计需要20分钟。
5.导入虚拟机
如果你得到的是已经更新后的虚拟机镜像,可以将镜像导入,如图。
导入后,使用第4步的命令,切换到root身份,并且确认代码可以通过共享文件夹复制到/root/路径下,如图11. 并且创建镜像,保存这个初始状态。
得到了最终的分析环境。