IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

Dorothy2:一个开源的僵尸网络分析框架

发布时间:2016-12-02 13:59文章来源:互联网文章作者: 互联网点击次数:
框架介绍 Dorothy2是一款采用Ruby语言开发的恶意软件/僵尸网络分析框架,你可以使用Dorothy2框架来对可疑的二进制代码进行分析。该框架的最大优势就是其拥有非常灵活的模块化环境,并且配备有专门针对网络分析任务的可交互式调查框架。除此之外,它还可以通
Clipboard Image.png

框架介绍

Dorothy2是一款采用Ruby语言开发的恶意软件/僵尸网络分析框架,你可以使用Dorothy2框架来对可疑的二进制代码进行分析。该框架的最大优势就是其拥有非常灵活的模块化环境,并且配备有专门针对网络分析任务的可交互式调查框架。除此之外,它还可以通过对比此前生成的基线来识别新的进程。据了解,开发人员将在下一版本中添加两大功能,即静态代码分析以及改进的系统行为分析。Dorothy2在对二进制文件进行分析时,需要使用预设置的分析配置文件。

这份分析配置文件主要有以下元素构成:

沙箱系统类型 沙箱系统版本 沙箱系统语言 固定的分析超时时间(恢复虚拟机前需等待多久) 请求截图的数量(以及截图间隔时间) 可支持的插件和扩展
有了这份配置文件之后,研究人员就可以使用不同的环境来对二进制代码集合进行分析了。大家也知道,某些恶意软件只能在特定的环境下运行。一个计算机安全事件响应团队(CSIRT)也可以使用配置文件在某一特定环境中测试可疑的恶意软件。 Dorothy2框架主要由五大模块组成,这些模块均可以单独运行。下面这张图片显示的是Dorothy2的框架结构图,其中的各个模块已相互连接: Clipboard Image.png 1. 代码读取模块(BFM) 该模块负责从代码源读取出待测试的代码。“代码源”可以是系统文件夹、电子邮箱、或者是一台可以通过SSH访问的网络主机。当代码全部读入之后,BFM会将代码加入分析队列之中。 2. Dorothy分析引擎 该模块通过在沙箱环境中执行待测试的代码来分析队列中的源码,然后将测试生成的网络流量和截图保存分析文件夹中。 3. 网络数据提取模块(DEM) 该模块负责解析pcaps文件,并将相关信息(流数据和IP信息等)保存至Dorothive之中。除此之外,它会将沙箱下载的文件提取出来,并将这些文件保存至代码文件中的分析文件夹内。 4. WebGUI(WGUI) 该模块可以将所有获取到的数据以可交互的形式显示出来。警告:这个模块需要在受控环境下运行,作者强烈反对用户将其暴露在网络上。 5. TheJava Dorothy Drone(未发布) 6. 僵尸网络渗透模块(基本资料)

运行环境

警告:当前版本的Dorothy使用了VMWareESX5来作为它的虚拟沙箱模块(VSM)。因此,Dorothy不支持免费版的ESXi,因为它使用的是vSphere 5 API。但是,整个框架是可以进行自定义设置的,配置之后就可以使用其他的虚拟化引擎了。Dorothy2是一个高度模块化的框架,用户可以对其进行自定义设置和修改。

Dorothy的执行需要依赖于下列软件:

-VMWare ESX >= 5.0 -Ruby 1.9.3 -Postgres >= 9.0 -至少一台Windows虚拟机 -一台类Unix设备,用于网络分析引擎(NAM) -pcapr-local(用于doroParser) -MaxMind代码库(用于doroParser)

操作系统要求:

-Dorothy可以在任何*nix系统上运行。目前,它可以在OSX和Linux系统上完美运行。 -被用作沙箱环境的虚拟机系统必须是Windows。(建议使用XP)

框架安装

一、设置ESX环境

1. 基本设置(ssh) -在vSphere中设置: Configuration->SecurityProfile->Services->Proprieties->SSH->Options->Start and Stopwith host->Start->OK 2. 设置两个独立的虚拟网络 3. 配置Windows虚拟机
禁用Windows防火墙 安装VMWare 配置静态IP 配置完成之后,使用vSphere控制台创建一个沙箱虚拟机的快照。
4. 在vSphere中创建一个Unix虚拟机,用于NAM模块 -安装tcpdump和sudo
Dorothy2:一个开源的僵尸网络分析框架
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/594729.html

标签分类:

上一篇:上一篇:注意了,cURL的漏洞也不少
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量