は、どのように私は、WindowsのVM内のPDFファイルのマルウェア解析をやっているのWindows VMは、VMwareプレーヤー

Question

でVMをremnuxするために、ネットワークトラフィックを送信するために作るのですか。この悪質なpdfファイルはインターネットに接続する予定であり、私はそれを望んでいません。しかし、私はそれがしようとしているネットワーク活動を見たいと思います。 WindowsのVMをremnuxのような他のVMに接続して、wiresharkを介して送信されるパケットをテストできることを、ビデオで見ました。誰かが私がここで話していたビデオを見たい場合は はリンクです： - https://www.youtube.com/watch?v=kNlRDNt7Zp0 彼女は16時分まで15時00分の間にremnuxの事について語っています。彼女はどうやってそれをしたのか分かりません。 誰かがそれらの手順がどのように行われたか教えてください。私は一日中ネットを検索していますが、何も見つかりません。私は本当にすべてのネットワーキングのものの初心者ですので、私が見つけたトピックは私にはまったく専門用語ではありませんでした。 ありがとうございます。 私はVMware Playerバージョン7を使用しています。

編集：私はこのトピックについて多くの研究をしましたが、Googleで利用可能なものは私が理解するにはあまりにも多くです。私は自分で何も試していないとは思わないでください。

Answer 1

マルウェアはC & CサーバのIPアドレスを解決するDNS要求を生成する可能性があります。したがって、被害者（ウィンドウ）マシンのDNSをremnuxマシンのIPアドレスに設定すると、マルウェアによって生成されたDNS要求が取得されます。その後、DNS解決後にC & Cサーバに接続しようとするとマルウェアによって生成されたトラフィックを監視するために、マルウェアを同じremnuxマシンに誘導するようにremnuxを設定できます。 マルウェア要求に応答するカスタムサーバーを作成する必要があります。現代のマルウェアは、RSAチャレンジを使用します。これは、通信の開始をほとんど不可能にします。詳細については 参考SANSチュートリアル