Rivalry2

HTML Diff

0 added 0 removed

Original 2026-01-01

Modified 2026-03-10

1 <p><em>Продолжаем разговор о создании среды для анализа вредоносного ПО, который мы начали в<a>предыдущей части</a>статьи. Не пропустите, будет много полезных ссылок!</em></p>

2 <h2>Настройка Виртуальной Машины</h2>

3 <h4>ОЗУ</h4>

4 <p>Я рекомендую использовать минимум, соответствующий требованиям выбранной операционной системы.</p>

5 <h4>ЦП</h4>

6 <p>Параметр “Процессор(ы)” определяет, сколько ядер ЦП будет использовать<strong>ВМ</strong>. Одного достаточно, но если ваш процессор многоядерный, можно использовать больше, чтобы ускорить работу виртуальной машины.</p>

7 <h4>Сеть</h4>

8 <p>Убедитесь, что выбрали<strong>NAT</strong>. Так ВМ сможет подключаться к интернету, но не будет видеть устройства настоящей сети и обращаться к другим ВМ, что хорошо с точки зрения безопасности.</p>

9 <p>Все прочие параметры можно не менять. Хоть этого и не требуется для простой среды анализа вредоносных программ, но вы всё равно можете усилить VirtualBox и не позволить вредоносному ПО понять, что оно находится в ВМ, с помощью загрузчика hfireF0x’s.</p>

10 <h2>Установка Windows</h2>

11 <p>ISO образы Windows 7, 8 и 10 можно найти<a>здесь</a>при наличии действительного ключа продукта (не используйте ключ продукта для активации Windows после установки на VM, иначе вредоносное ПО сможет его украсть; просто не активируйте Windows).</p>

12 <p>Windows XP не найти на официальном сайте, но, как я понимаю, можно законно скачивать образ Windows с торрентов, если установщик не крякнут и не пропатчен. Просто не активируйте<strong>Windows</strong>, поскольку вам не нужны никакие преимущества активации для простого запуска вредоносной программы на виртуальной машине. Не нужно монтировать установщик<strong>ISO</strong>на диск, найдите в параметрах категорию “Storage”, нажмите на иконку CD-диска, рядом с которой написано “Empty”, затем нажмите вторую иконку CD-диска сверху справа и выберите установку ISO.</p>

13 <p>Когда вы начнёте загружать<strong>ВМ</strong>, она автоматически сделает это из<strong>ISO</strong>. Выполните все этапы установки Windows как обычно, только пропустив этап активации. Также стоит изменить название компьютера и имя пользователя, чтобы ВМ была меньше похожа на машину для исследований.<strong>Избегайте установки “Guest Additions”</strong>- этот инструментарий часто используется вредоносным ПО для определения, запущено ли оно на ВМ.</p>

14 <h2>Настройка Среды</h2>

15 <p>Настало время выбрать и установить ваш инструмент для анализа. Если вы не знаете, что выбрать, вот список того, с чего можно начать:</p>

16 <h4>Дизассемблеры/Отладчики</h4>

17 <p><a>OllyDbg</a><a>WinDbg</a>(установленный как часть Windows SDK)<a>x64Dbg</a><a>IDA</a>(Freeware Edition)<a>Radare2</a></p>

18 <h4>Инструменты PE</h4>

19 <p><a>PE Explorer</a><a>Explorer Suite</a><a>PEStudio</a></p>

20 <h4>Инструменты процессов</h4>

21 <p><a>Process Hacker</a><a>ProcMon</a><a>Process Explorer</a><a>Process Dump</a><a>User Mode Process Dumper</a></p>

22 <h4>Сетевые инструменты</h4>

23 <p><a>Wireshark</a><a>Fiddler</a><a>mitmproxy</a></p>

24 <h4>Прочее</h4>

25 <p><a>HxD</a>(Hex-редактор)<a>PaFish</a>(проверка на обнаружение ВМ)<a>oledump</a>(извлечение макросов из Документов Office)<a>olevba</a>(извлечение VBA-макросов)<a>Strings</a>(извлечение ASCII и юникод-текста из файлов)</p>

26 <p>После установки любимых инструментов создайте новый снапшот и можете начинать! Если захотите установить новые инструменты, просто откатитесь до этого снапшота, установите новые инструменты, создайте новый снапшот и удалите старый.</p>

27 <h2>Предупреждения и политика безопасности</h2>

28 <p>Не было зарегистрировано ни единого случая использования эксплойтов нулевого дня для побега вредоносного ПО из виртуальной машины. Поэтому вы в безопасности до тех пор, пока практикуете хорошую<strong>гигиену ВМ</strong>. Никогда не подключайте USB устройства к виртуальной машине, считайте, что все файлы на ВМ заражены и не выносите их за пределы ВМ, не заходите на серверы внутри инфицированной ВМ.</p>

29 <p>Будьте осторожней при использовании инструментов вроде “<strong>Shared Folders</strong>” для переноса файлов между вашим компьютером и ВМ. Всё, что находится в этих папках, может с легкостью быть украдено, инфицировано и уничтожено вредоносной программой в ВМ.</p>

30 <p>Не запускайте образцы вредоносного ПО, с которым вы не знакомы, на виртуальной машине, подключённой к интернету. Оно сможет запустить<strong>DDoS-атаку</strong>, хакнуть компьютеры, совершить финансовые махинации с вашего IP-адреса. Ваша входная дверь выглядит гораздо лучше, когда её не пытаются выбить сотрудники правопорядка.</p>

31 <p>Если внутри ВМ запущен VPN, вредоносная программа может его отключить или обойти, тем самым раскрыв ваш настоящий IP. Преступники обычно не трогают исследователей, но если вы хотите спрятать свой IP-адрес, запустите VPN на самом компьютере, а не внутри ВМ.</p>

32 <p>Не храните исполняемые образцы вредоносных программ, которые можно запустить случайно. Переименуйте их во что-то<strong>неисполняемое</strong>(например .bin или .malware) перед тем, как они попадут на ваш компьютер или храните их на веб-сервере в неисполняемой директории.</p>

33 <p>Всё, что хранится внутри ВМ (скорее всего), будет украдено вредоносной программой, которую вы запускаете, поэтому будьте здравомыслящими.</p>

34 <p>Используйте снапшоты для сохранения прогресса во время анализа. Если вы делаете заметки внутри ВМ, после чего она крашится или шифруется вирусом-вымогателем, без бэкапа все данные будут потеряны.</p>

35 <p>Антивирусы будут сканировать и удалять все неисполняемые образцы вредоносного ПО или даже ваши заметки, если они соответствуют вредоносным сигнатурам. Поэтому добавьте папку, в которой вы сохраняете исследование, в белый список.</p>

36 <p><em>На этом пока всё. Узнать больше вы сможете на курсе<a>"Реверс-инжиниринг"</a>! Записывайтесь в группу и оставляйте свои комментарии!</em></p>