Home
Analyse de virus de façon sécuritaire
Analyse

Analyse de virus de façon sécuritaire

2022-03-27

Créer une machine virtuelle sous Windows 10.

Créer une machine virtuelle Windows avec au minimum 60 giga octets. Pour télécharger une version d’essai de Windows. Téléverser le iso dans votre Datacenter. Lier votre fichier iso à votre lecteur cdrom de la machine virtuelle. Procéder à l’installation habituelle de Windows.

Désactiver windows defender de façon permanente

Lorsque terminé, exécuter le script install.ps1 pour faire l’installation de logiciels de sécurité dédiés à l’analyse et la décompilation de virus et malware disponible sur github. C’est un script powershell et nécessite d’être exécuté avec les droits de l’administrateur.

.\install.ps1

Se faire un snapshot de la machie virtuelle

Création d’une deuxième machine virtuelle avec remnux

Le plus facile est d’installer ubuntu (choisir remnux comme nom d’utilisateur)

Après l’installation de Ubuntu , télécharger l’installateur REMnux

wget https://REMnux.org/remnux-cli (suivre les instructions https://docs.remnux.org/install-distro/install-from-scratch)

Se faire un snapshot de la machie virtuelle

Se créer un réseau seulement pour ces deux machines

Créer une switch dédiée pour ces 2 machines dans vcenter

ne pas connecter cette switch à un adaptateur physique. Nous ne voulons pas que ces machines puissent accéder à d’autres réseaux (internet ou local)

Dans vcenter, ajouter un adaptateur réseau sur chacune des machines, connecteur les adaptateurs réseaux sur la switch. déconnecter les autres cartes réseau avec un accès internet ayant servi à l’installation initiale. Nous ne voulons pas que ces machines puissent accéder à notre réseau privé.

Pour configurer le réseau sous Ubuntu, nous éditons /etc/netplan/01-netcfg.yaml et ajoutons le nouvel adaptateur. Pour le trouver : ifconfig -a. Lorsque terminé : netplan apply

Comme réseau, nous pouvons choisir 192.168.200.0/24 . Donc, comme addresse de la VM REMNUX : 192.168.200.3 et la machine virtuelle Windows 192.168.200.4. Masque de sous-réseau : 24

Configuration d’un simulateur internet sur notre serveur Ubuntu

Dans le fichier /etc/inetsim/inetsim.conf ,

  • nous activons le service DNS : start_service dns
  • nous rendons accessible le serveur inetsim sur tous les interfaces réseaux : service_bind_address 0.0.0.0
  • nous choisissons l’adresse IP à retourner lors d’une requête sur notre serveur DNS (nous choissisons l’adresse ip de notre serveur REMnux): dns_default_ip 192.168.200.3

Nous configurons aussi l’adresse IP sur Windows (192.168.200.4). Comme subnet mask 24 et comme serveur dns 192.168.200.3. Comme passerelle, vous pouvez mettre 192.168.200.1 (non utilisé)

Avec l’usager remnux, nous pouvons démarrer notre serveur : inetsim.

Conclusion

Les requêtes réseau de notre machine windows qui est déconnecté de l’internet ne retourneront plus d’erreurs. Une réponse par défaut sera retournée pour les requêtes http, https. Aussi, si vous essayer de télécharger un fichier exe à partir de edge, un fichier par défaut sera retourné.

Resources disponibles pour le téléchargement de malware:

  • https://github.com/ytisf/theZoo (source and binaries malware)
  • github.com/vxunderground/MalwareSourceCode
  • zeltser.com/malware-sample-sources/

Related Articles

About The Author

Germain

Leave a Reply