Windows+VM安装zerowine

roxiel

它是用来进行可疑行为分析的

一个封装好的Debian系统，我不藏私，这篇文章作为第二课

首先下载ZEROWINE的包，不要管是何种格式的 ，一般都是TAR.GZ

http://sourceforge.net/projects/zerowine


然后我们下载QEMU on Windows

下面的必须下载：

QEMU
http://www.h6.dion.ne.jp/~kazuw/qemu-win/qemu-0.9.0-windows.zip
KQEMU加速器
http://www.h6.dion.ne.jp/~kazuw/qemu-win/Kqemu-1.3.0pre11-install.exe


这俩直接在WINDOWS下安装，然后我们把ZEROWINE解压到C盘



我们这次是纯用WINDOWS下安装，所以只需要这个IMG文件



开始-运行-CMD下运行

qemu-img.exe convert c:\zerowine_vm\zerowine.img -O vmdk c:\zerowine_vm\zerowine.vmdk
转换成VMDK文件

然后我们创建虚拟机






下图我只是举个例子。。千万别只是32MB啊，不然白装了，建议128MB-300MB，我家里装的是128MB的，暂时没有发现无法分析的状况



必须使用NAT，硬盘类型默认

下面使用已有的ZEROWINE.VMDK

然后KEEP EXISTING FOMAT，保持格式
然后FINISH，打开电源



哪个模式都可以 第二个是单用户

第一次会提示检查磁盘，用不了多久

就进去了，它自动启动ZEROWINE的服务

我们需要登录，

用户名ROOT，密码zerowine
然后输入命令 dhclient
输入ifconfig,显示它的IP



最后切出虚拟机，打开浏览器输入 它的IP：8000访问


上传可疑文件吧

结果分为四个部分

REPORT 值得仔细一读，当然值得忽略部分也比较多
这里是收集应用程序调用的API

Strings当然是我们最熟悉的字符串了



一般的可疑文件会有Signature ，

总之结果的4部分都可以深入的参考




但是网页有时候有点问题，多点几次就可以了



下一课，我们讲如何在UBuntu中安装zerowine,这样我们可以更安全地进行分析

这里留下一个作业：ZEROWINE安装完毕，    默认问号下面的斜杠“ /  ”,敲出来却是 “ -  ”  ，请更改键盘布局~~~~~

2051314

zerowine是啥。。不懂

huzhao23

同上的问题

cokago

zerowine还真没用过

hhyy540

zerowine是啥

Squn

zerowine 行为分析的

忉子

行为分析软件有时真的很有用

xgqxyz

不知是什么软件。

dmyyc

zerowine是啥。。不懂

我爱破解888

不懂也没用过