vmware 恶意代码分析虚拟机网络环境配置 Apate、Inetsim

前言

学习恶意代码分析的第一步就是配置网络环境，网络环境配置好以后才能放心的运行恶意代码进行分析。

分析恶意代码首先要运行恶意代码，但是我们需要一个安全的环境里运行恶意代码，某些恶意代码需要网络环境，如果我们单纯的将恶意代码放置在一个什么服务都没有的环境里，那么我们将无法分析恶意代码运行时的网络行为，也就达不到分析的目的。

因此，为了完整的分析恶意代码的行为，我们通常需要使用linux下的InetSim软件，该软件是一款模拟常见网络服务的免费软件，运行在linux环境下，通常配置在一个linux虚拟机中作为网络的服务器。

我们需要两个虚拟机环境，一个是windows xp虚拟机（或其它windows版本虚拟机环境）作为分析机，用来运行和分析恶意代码的行为，另一个是linux虚拟机作为服务器（我使用的是kali），用来运行InetSim软件，提供恶意代码运行需要的网络环境。

为了防止恶意代码逃逸到本机，同时又要成功连接linux虚拟机中的服务器，我们需要配置的网络环境为，两个虚拟机之间可以相互连接，同时两个虚拟机不能连接到本机。

本篇文章详细讲述了vmware如何配置虚拟机网络环境。主要包括以下几点：

• 配置两台可以相互连接的虚拟机，一台作为服务机，一台作为分析机，同时这两台虚拟机不能连接到主机。
• InetSim服务配置
• ApateDNS配置

本文参考了52破解的网络环境配置一文

网络环境配置

1. 打开vmware，点击编辑-->虚拟网络编辑器，出现网络编辑器的对话框，点击添加网络，选择一项没有使用过的虚拟网络名称，添加。我这里使用的是VMnet3，如图：
   

   添加网络.png

2. 去掉将主机虚拟适配器连接到此网络的选项，该选项去掉以后该虚拟机网络将连不上主机，DHCP可以自己设置，这里使用的是默认配置。然后点击确定，如图：
   

   去除主机虚拟适配器.png

3. 点击虚拟机-->设置-->网络适配器，将两个虚拟机的网络设置成刚刚自定义的网络，如图所示：
   

   虚拟机网络设置.png

4. 进入kali虚拟机，查看虚拟机的IP地址，并记下来，比如ip地址为 192.168.1.1，然后打开win xp虚拟机，打开网络属性，设置备用DNS服务器地址为刚刚的IP地址：192.168.1.1，首选DNS服务器设置为127.0.0.1，如图所示：

   
   
   win xpDNS配置.png

5. 在linux虚拟机中安装并配置InetSim，kali已经自带该软件，因此我不需要安装，其他linux版本可看InetSim安装及配置这篇文章进行InetSim的安装和配置。安装好该软件后，需要对该软件进行设置，打开/etc/inetsim/inetsim.conf文件，对inetconf进行配置，因为可能不同的环境需要配置不同的环境，建议先对该文件进行备份，在进行修改。

6. InetSim具体配置：修改服务器绑定地址，该地址默认为127.0.0.1，我们将该地址修改为linux的ip地址，然后修改dns回传地址，同样修改为本机linux地址，如图所示：

   
   
   服务器地址.png

DNS回传地址.png

7. 配置好InetSim后，在终端打开InetSim，我们的假服务器开始运行和监听，InetSim可以模拟常见的网络服务，如图所示：

   
   
   InetSim启动.png

8. 在win xp中安装并打开ApateDNS软件，在win xp中安装该软件会提示安装.net framework，要安装2版本的，3版本的不能使用。打开该软件后，设置DNS回传地址为linux ip地址，即192.168.1.1，这样win xp上的网络服务会使用Linux的虚假服务去响应DNS请求，可以查看恶意代码的DNS请求，设置好以后，点击启动服务器，然后等待网络活动即可，如图所示：

   
   
   ApateDNS设置.png

9. 至此我们的虚拟机网络环境以及配置成功！我们来检查一下成果，打开浏览器随意输入一个域名，可以看到我们得到了InetSim提供的虚假网页，我们也可以下载文件，InetSim也会提供虚假文件供我们下载，返回看ApateDNS软件，可以看到捕捉到了win xp虚拟机的网络请求，如图所示：

   
   
   虚拟网页.png

虚拟文件.png

ApateDNS捕获的网络请求.png

10. 用ctrl+C关掉InetSim软件，会提示我们网络报告存储在哪里，查看网络报告，可以看到刚刚的网络连接，如图所示：
    
    InetSim报告存放位置.png

InetSim的网络报告.png

11. 完工！！接下来就可以在我们设置的虚拟网络环境里放心的分析恶意软件啦~

无意中发现，有篇文章讲述了各种安装过程中的问题和解决方法，比较详细，放上来以作参考。
计算机病毒实践汇总五：搭建虚拟网络环境