RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Sunday, May 18. 2008

Tamagotchi IV: złota klatka

Równolegle z polowaniem na zwierzątko przygotowałem mu klatkę.

Przygotowanie wybiegu...

Klatkę, czyli maszynę, na której ten malware może się panoszyć. Oczywiście nie maszynę fizyczną, tylko wirtualną. Wykorzystałem do tego VirtualPC. Co prawda VMWare ma kilka możliwości, które byłyby przydatne przy takiej analizie (choćby snapshoty), ale przegrywa z VirtualPC ceną. Tutaj trzeba pamiętać, że niektóre malware stara się wykryć, czy w systemie nie ma uruchomionego debuggera lub czy nie jest uruchomione w maszynie wirtualnej. Wszystko po to, by utrudnić analizę. Mam jednak nadzieję, że moje trofeum nie będzie tak wybredne. W razie czego spróbuję skorzystać na przykład z Qemu.

Druga sprawa, czyli system operacyjny. W tym wypadku jest to Windows XP SP3. Pierwotnie myślałem o skorzystaniu z Windows XP Gold, ale ponieważ proces zdobywania próbek ostatecznie jest oddzielony od ich uruchamiania, stwierdziłem, że nie będę nadto ułatwiał sprawy. System jest zainstalowany w konfiguracji domyślnej, jedyne wprowadzone zmiany to:

  • wyłączenie swap (chodzi mi wyłącznie o ograniczenie aktywności dysku wirtualnego),
  • zmiana domyślnych ustawień śledzenia zdarzeń:
    • włączenie śledzenia wszystkich zdarzeń (poza dostępem do usługi katalogowej),
    • ustawienie wielkości dzienników System i Application na 32 MiB, a Security na 192 MiB,

Dodatkowo w systemie zainstalowałem:

Snapshot czyli baseline

Jedną z opcji VirtualPC są tak zwane dyski różnicowe. W tym wypadku obraz dysku z w określonym pliku jest "matrycą", a wszelkie modyfikacje zapisywane są w drugim pliku. Z tej opcji skorzystałem. Po pierwsze po to, by mieć możliwość łatwego stworzenia kolejnego środowiska, a po drugie po to, by w razie czego móc cofnąć się w czasie do stanu systemu sprzed infekcji (tak, VMWare tu potrafi więcej).

Wykonałem też pewien baseline systemu, który będzie przydatny do wyszukiwania zmian, które zaszły w systemie w wyniku działania malware. Składa się on z następujących elementów:

  • kopii rejestru,
  • listy plików wykonanych poprzez bardzo złożone polecenie dir /s /b c:\ ,
  • listy plików wraz z ich sumą MD5 wykonaną za pomocą logparsera, przykładowe zapytanie: SELECT *, HASHMD5_FILE(path) FROM c:\*,

W sieci dostępne są bazy hashy, które zawierają hashe znanych plików. Pozwalają one odfiltrować pliki znane od tych, którym warto się przyjrzeć bliżej. Ja sobie taką bazę (oczywiście drastycznie mniejszą) wygenerowałem sobie sam przy pomocy LogParsera właśnie.

Klatka gotowa, pora pozwolić mojemu zwierzakowi się uruchomić...

Ślady
W temacie forensic trochę wpisów się uzbierało...
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Weblog: Wampiryczny blog
Przesłany: Jun 10, 20:54
Komentarze
Trochę na boku komentarz ale .. co rozumiesz jako różnica w cenie pomiedzy VPC a VMware? VMWare daje VMWare Server za free - http://www.vmware.com/products/server/.
#1 Tomek (Strona) o 2008-05-18 23:05 (Odpowiedz)
No tak, zachowałem się mniej więcej jak CKE zakładając, że będzie jasne z kontekstu. Rozważałem wykorzystanie VMWare Workstation, który już za darmo nie jest. Wiem, że VMWare Server jest za darmo, ale jakoś nie mam przekonania do instalacji tak dużego rozwiązania na laptopie. Gdybym miał komputer z przeznaczeniem na maszyny wirtualne, to wówczas rozważyłbym VMWare Server lub Microsoft Virtual Server. A tak, wygrało, poniekąd przez zasiedzenie, Microsoft VirtualPC 2007.
#1.1 wampir o 2008-05-19 08:50 (Odpowiedz)
Spoko .. ja domyśliłem się, że w tym kontekście porównujesz Virtual PC i VMWare workstation. Z mojego doświadczenia jednak VMWare Server wcale tak dużym rozwiązaniem w porównaniu do VMWare workstation nie jest ... na laptopie dziala jak najbardziej poprawnie i niezbyt obciaza system.
#1.1.1 Tomek (Strona) o 2008-05-19 10:25 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Ćwiczenie na spostrzegawczość
Monday, 29 August 2011
Majowe spotkanie OWASP już 23 maja
Tuesday, 17 May 2011
LogParser, UTC czy jakiś inny?
Sunday, 7 December 2008
Taste Of London
Sunday, 31 December 2006
Dziwny z nas naród
Saturday, 1 December 2007
10 niezmiennych(?) praw
Wednesday, 24 September 2008
Q&A: bezpieczeństwo WiFi
Saturday, 28 July 2012
F-Response budzi strach
Friday, 13 March 2009
Jakoś nie układa mi się z tym rowerem...
Wednesday, 26 August 2009
Jak strzelić sobie z łuku w kolano
Wednesday, 8 February 2012