Анализ файлов PCAP в песочнице Windows

networkminer

В этой статье я покажу, как анализировать вредоносные файлы PCAP в Windows. Для этого будем использовать песочницу Windows, которая при каждом запуске будет загружать новую ОС с установленной последней версией NetworkMiner.

Еще по теме: Ошибка сохранения извлеченных файлов в NetworkMiner

Обычно я рекомендую анализировать вредоносное ПО для Windows в Linux или другой среде, отличной от Windows, чтобы случайно не заразить себя (кстати, NetworkMiner отлично работает в Linux). Тем не менее, я сам частенько загружаю файлы захвата, содержащие вредоносный сетевой трафик, в CapLoader и NetworkMiner под Windows.

Анализ файлов PCAP в песочнице Windows

Если вы хотите анализировать вредоносный трафик в Windows с минимальным риском заражения, вам обязательно стоит попробовать Windows Sandbox от Microsoft (доступна в версиях Windows 10 Pro и Enterprise).  Песочница Windows использует контейнеры Windows, и это намного эффективнее по сравнению с развертыванием виртуальной машины Windows.

Контейнер песочницы не использует то же ядро, что и хост, и обеспечивает создание новой среды Windows при каждом запуске песочницы.

Песочница Windows не запускает антивирус, поэтому он не будет мешать извлечению вредоносного содержимого из анализируемых файлов PCAP.

Установка Windows Sandbox

  1. Откройте поиск Windows, введите OptionalFeatures.exe (окно «Включение / отключение компонентов Windows») и нажмите Enter.
  2. Включите функцию «Windows Sandbox» отметив галочкой чекбокс.
  3. Перезагрузите компьютер.

Затем создайте конфигурацию песочницы, которая загружает и устанавливает последнюю версию NetworkMiner каждый раз при запуске песочницы. Для этого создайте файл и назовите его MinerSandbox.wsb со следующим содержимым:

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <!-- Замените путь ниже на ваш каталог PCAP -->
      <HostFolder>C:\Users\User\pcap</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>cmd.exe /C "curl -L https://www.netresec.com/?download=NetworkMiner | tar -C C:\Users\WDAGUtilityAccount\Desktop\ -xf -"</Command>
  </LogonCommand>
</Configuration>

Замените «C:\Users\User\pcap» на любое место, в котором находятся ваши файлы PCAP.

После запуска NetworkMinerSandbox.wsb у вас будет свежая машина с Windows, которая будет запущена в течение нескольких секунд. Последняя версия NetworkMiner и ваш каталог PCAP доступны с рабочего стола песочницы.

Анализ вредоносных файлов PCAP в песочнице Windows
NetworkMiner 2.6 установлен в Windows Песочнице

Перемещение файлов в песочницу или из нее можно делать с помощью сочетания клавиш (Ctrl + C / Ctrl + V).

VirtualBox и песочница Windows

Вы используете VirtualBox для запуска виртуальных машин на хосте Windows и получаете сообщение об ошибке «Невозможно включить вложенный VT-x / AMD-V …» после включения Windows Sandbox?

Сообщение об ошибке VirtualBox Невозможно включить VT-x / AMD-V
Ошибка VirtualBox: невозможно включить VT-x / AMD-V

Несмотря на то, что Windows Sandbox не нуждается в Hyper-V, для нее по-прежнему требуется гипервизор, что, к сожалению, конфликтует с VirtualBox. Вы можете отключить гипервизор, выполнив следующую команду от имени администратора:

bcdedit.exe /set hypervisorlaunchtype off

Затем перезагрузите компьютер перед запуском виртуальной машины VirtualBox с включенным «VT-x». К сожалению, отключение гипервизора не позволит запустить Windows Sandbox, и появится сообщение об ошибке: «Гипервизор не найден. Пожалуйста, включите поддержку гипервизора ».

Сообщение об ошибке Windows Sandbox Гипервизор не найден
Сообщение об ошибке Windows Sandbox Гипервизор не найден

Чтобы снова включить гипервизор, чтобы запустить Windows Sandbox, вам нужно будет ввести команду:

bcdedit.exe /set hypervisorlaunchtype auto

После чего перезагрузите компьютер.

На этом все. Теперь вы знаете, как анализировать вредоносные файлы PCAP в Windows.

Еще по теме: Лучшие ОС для криминалистического анализа

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *