Windows+VM安装zerowine
本帖最后由 roxiel 于 2009-12-29 08:45 编辑它是用来进行可疑行为分析的
一个封装好的Debian系统,我不藏私,这篇文章作为第二课
首先下载ZEROWINE的包,不要管是何种格式的 ,一般都是TAR.GZ
http://sourceforge.net/projects/zerowine
然后我们下载QEMU on Windows
下面的必须下载:
QEMU
http://www.h6.dion.ne.jp/~kazuw/qemu-win/qemu-0.9.0-windows.zip
KQEMU加速器
http://www.h6.dion.ne.jp/~kazuw/qemu-win/Kqemu-1.3.0pre11-install.exe
这俩直接在WINDOWS下安装,然后我们把ZEROWINE解压到C盘
我们这次是纯用WINDOWS下安装,所以只需要这个IMG文件
开始-运行-CMD下运行
qemu-img.exe convert c:\zerowine_vm\zerowine.img -O vmdk c:\zerowine_vm\zerowine.vmdk
转换成VMDK文件
然后我们创建虚拟机
下图我只是举个例子。。千万别只是32MB啊,不然白装了,建议128MB-300MB,我家里装的是128MB的,暂时没有发现无法分析的状况
必须使用NAT,硬盘类型默认
下面使用已有的ZEROWINE.VMDK
然后KEEP EXISTING FOMAT,保持格式
然后FINISH,打开电源
哪个模式都可以 第二个是单用户
第一次会提示检查磁盘,用不了多久
就进去了,它自动启动ZEROWINE的服务
我们需要登录,
用户名ROOT,密码zerowine
然后输入命令 dhclient
输入ifconfig,显示它的IP
最后切出虚拟机,打开浏览器输入 它的IP:8000访问
上传可疑文件吧
结果分为四个部分
REPORT 值得仔细一读,当然值得忽略部分也比较多
这里是收集应用程序调用的API
Strings当然是我们最熟悉的字符串了
一般的可疑文件会有Signature ,
总之结果的4部分都可以深入的参考
但是网页有时候有点问题,多点几次就可以了
下一课,我们讲如何在UBuntu中安装zerowine,这样我们可以更安全地进行分析
这里留下一个作业:ZEROWINE安装完毕, 默认问号下面的斜杠“ /”,敲出来却是 “ -”,请更改键盘布局~~~~~ zerowine是啥。。不懂 同上的问题 zerowine还真没用过 zerowine是啥 zerowine 行为分析的 行为分析软件有时真的很有用 不知是什么软件。 zerowine是啥。。不懂 :(eew不懂也没用过