我正在对windows vm中的pdf文件进行恶意软件分析。这个恶意的pdf文件将连接到互联网,我不希望它。但我希望看到它将要做的网络活动。 我在视频中看到我可以将windows vm连接到其他vm,如remnux,并测试通过wireshark发送的数据包。 如果有人想看我在这里谈论的视频是链接: - https://www.youtube.com/watch?v=kNlRDNt7Zp0 她在15:00到16:00之间谈论了remnux的事情。我不明白她是怎么做到的。 有人可以解释一下这些步骤是如何完成的。我整天都在网上搜索,但找不到任何东西。我真的是所有网络内容的初学者所以我找到的任何主题对我来说都只是行话。 谢谢您的帮助。 我使用的是VMware播放器版本7。
编辑:我确实对这个主题进行了大量的研究,但谷歌上的任何内容都让我无法理解。请不要认为我自己没有尝试过任何事情。
答案 0 :(得分:0)
恶意软件可能会生成DNS请求以解析C& C服务器的IP。因此,您可以将受害者(Windows)计算机中的DNS设置为remnux计算机的IP地址,您将获得恶意软件生成的DNS请求。然后,您可以配置remnux以将恶意软件定向到同一个remnux计算机,以监控恶意软件在DNS解析后尝试连接到C& C服务器时生成的流量。 您可能必须编写自定义服务器以响应恶意软件请求。现代恶意软件使用RSA挑战,几乎无法启动通信。 参考SANS教程了解更多详情