샘플 분석 환경 구성

VMware 설치

VMware workstation pro 17 설치를 한다.

(pro는 유료판인데 30일 무료체험이 가능하고 기간이 지나도 snapshot 같은 유용한 기능은 사용 가능하다)

쭉 next나 install 눌러준다

아래 버튼으로 무료판 써주고

하게 되면 VMware을 설치했을 때의 화면이 나온다.

가상 운영체제 환경을 생성을 해주기 위해 create a new virtual machie을 클릭

 

가상환경 설치

 

개인적으로 너무 힘들었던 구간이다

 

뻘짓했던 기록

1) 맨 처음 윈도우 7 버전으로 설치하고 VMware tools 설치를 하기 위해 microsoft update catalog에 접속해서 보안 업데이트를 해야 하는데 인터넷이 접속은 되는데  microsoft update catalog에 접속이 안되고 크롬도 설치가 안 되는 상황이 발생했다...

 

2)윈도우8로 시도해봤는데 이번에는 인터넷이 접속이 안된다..

 

3)윈도우10을 공식 사이트에서 다운받아 설치를 했는데

계속된 블루스크린 현상...

 

->워크스테이션을 17 프로 말고 15로 설정시키고 실행하니 다행히 윈도우10이 설치가 되었다.

(같이 사는 형이 다행히 보안 회사에 다니셔서 형님의 도움으로 결국 해결)

->시도는 안해봐서 그러는데 다른 버전들이 인터넷이 안되거나 한 이유는 네트워크 브릿지로 안 해서 그럴까라는 의심도 든다

 

*참고한 블로그

VMware에 윈도우 10 설치하기(feat. 가상머신 만들기) (tistory.com)

VMware에 윈도우 10 설치하기(feat.가상머신 만들기)

윈도우 10 ISO파일 만들기 (tistory.com)

윈도우 10 ISO파일 만들기

 

 

 

이것만 주의해 주고 나머지는 다 넥스트 누르면 된다.

중간에 네트워크 설정은 브릿지

 

그리고 내 드라이브에 용량이 부족해서 20gb로 설정

 

 

마지막 finish 눌러주면 이런 화면이 뜨는데 다음 누르면서 설치해 주기

 

home 누르고 다운 받아주면 된다.

그러면 이렇게 가상환경 윈도우 10이 설치가 된다.

 

네트워크 확인

다른 사람들은 nat으로 하는 거 같던데 나는 하도 안돼서 bridge로 가니까 바로 인터넷 접속이 가능해졌다.

 

VMware Tools 설치

설치하는 이유는 

-훨씬 빠른 그래픽 성능

-개선된 마우스 성능

-Drag&Drop 기능 - host pc 에서 가상 pc로 파일을 바로 드래그하여 전달이 가능하다.

 

VM -> Manage -> Install VMware Tools를 선택해 주면 가상머신 D드라이브에 VMware Tools CD가 마운팅 된다.

나는 한번 설치해서 reinstall로 뜨긴한다.

 

윈도우 로고키 + R을 눌러 실행메뉴를 켜서 D:\setup.exe를 입력해 준다.

 

이런 화면이 뜬다. 계속 다음 눌러준다.

 

그러면 설치 완료!

 

재부팅하고 나면 속도도 빨라지고 호스트 pc에서 드래그로 파일을 가져올 수 있다.

필요한 악성 코드 분석 도구들을 호스트 pc에서 드래그로 가져와줬다.

 

Snapshot 기능

스냅샷 기능: 특정 시점의 데이터를 저장하고, 사용자가 원할 때 다시 저자왼 시점의 데이터로 복원할 수 있는 기능

 

스냅샷 기능의 사용 이유

악성코드 분석에서 악성코드 실행 후가상환경이 동작불능 상태가 되었을 때, 스냅샷 기능을 활용해 악성코드 실행 전 시점으로 복구하기 위해 주로 사용된다.(게임으로 치면 리폿? 이런 느낌인 듯)

 

 

첫 번째 버튼: Snapshot 추가

두 번째 버튼: 바로 전 Snapshot 했던 곳으로 이동

세 번째 버튼: Snapshot을 전체적으로 관리(삭제, 생성 등)

 

 

첫 번째 버튼을 클릭했을 때 나오는 이미지이다.

현재 스냅샷을 저장하고 싶으면 Take Snapshot 클릭을 하면 된다.

 

VM-Snapshot을 보면 Snapshot 1 상태로 특정 시점의 스냅샷이 저장된 걸 볼 수 있다.

 

종료

종료는 두 가지 방법이 있다.

1. 평소대로 윈도우 버튼으로 시스템 종료

2. 파일 exit 버튼

 

악성 샘플을 수집할 수 있는 사이트

 

• • Malware Bazaar
    • 악성 코드 샘플을 공유하는 플랫폼으로, 웹을 통해 업로드 및 다운로드할 수 있으며 API도 제공한다. 다양한 샘플들이 지속적으로 업데이트되어 연구 및 분석에 유용하다.
  • Malshare
    • 악성코드 샘플을 저장한 공용 디렉터리다. 누구나 접근할 수 있으며, 연구 목적으로 악성코드 샘플을 다운로드할 수 있다. 다양한 형태의 악성코드를 분석할 수 있는 자료들이 제공된다.
  • VirusShare
    • 방대한 악성코드 샘플을 제공하는 커뮤니티 기반의 웹사이트로, 연구자 및 분석가들이 샘플을 공유하고 분석하는 데 도움을 준다. 다만 등록된 사용자만 접근할 수 있는 구조다.
  • Malware Traffic Analysis
    • 악성코드 트래픽 및 샘플 분석을 위한 자료를 제공하는 사이트다. 다양한 트래픽 데이터와 함께 악성코드 샘플을 분석할 수 있어, 네트워크 보안 관점에서 유용하다.

참고 블로그

11. 샘플 분석 환경 구성 (velog.io)

11. 샘플 분석 환경 구성

VMware에 윈도우 10 설치하기(feat.가상머신 만들기) (tistory.com)

VMware에 윈도우 10 설치하기(feat.가상머신 만들기)