DrakvufSandbox是一个自动化的黑盒恶意软件分析开源项目,该项目提供了一个友好的Web界面,允许您上传可疑文件进行分析。沙盒作业完成后,可以通过web界面浏览分析结果,并深入了解文件是否是恶意程序,下面介绍其安装以及使用。由于个人使用习惯,不想装物理的系统,所以选择在VMware下进行虚拟嵌套使用。
电脑CPU支持IntelEPT功能。
这个没什么好说的,需要注意的是需要至少两核CPU,5G内存以及30G磁盘,开启虚拟化。
安装完drakvuf-bundle重启后,VMtools会不起作用,所以最好这个时候把要的东西都复制进虚拟机。
复制内容包括对应版本的安装包以及win7x64系统的iso镜像文件。
安装完成后可输入 sudo draksetup test 查看是否工作。
这里CPU数量和内存都可按需调节。
上图所示成功后输入 drak-vncpasswd 查看vnc连接密码,记住它。
用vncviewer输入ubuntu IP连接VNC 开始安装windows,安装部分就不赘述,网上搜索一大堆,安装过程中VNC会断开两次,重新连接即可。
这里也可以使用无人值守安装,就不用连接VNC手动装机了。在https://www.windowsafg.com/win7x86_x64.html中完成相关配置生成autounattend.xml,或者去找别人的配置文件,安装命令如下
等待WIN7安装启动进入桌面之后ubuntu中输入
等待vm0的运行信息提取完成,这里会用较多时间
访问http://ubuntuip:6300/即可开始使用。
默认一个测试持续十分钟,可自行调节,在进行测试过程中可连接VNC查看并操作,VNC连接地址ubuntuip:5901,密码就是drak-vncpasswd显示密码(网页自带VNC,我个人在测试过程中无法连上,所以是用物理机的VNC连接的)。
十分钟后将关闭测试系统生产测试报告,生成报告时间大概五分钟左右
下载最新版procdot 放入ubuntu中
后续分析将生产行为图:
drakvuf也支持64位的win10系统测试,但现在还处于测试阶段,其它更多功能(比如开启联网功能等)可参照项目帮助文档。