В этой статье я покажу, как анализировать вредоносные файлы PCAP в Windows. Для этого будем использовать песочницу Windows, которая при каждом запуске будет загружать новую ОС с установленной последней версией NetworkMiner.
Еще по теме: Ошибка сохранения извлеченных файлов в NetworkMiner
Обычно я рекомендую анализировать вредоносное ПО для Windows в Linux или другой среде, отличной от Windows, чтобы случайно не заразить себя (кстати, NetworkMiner отлично работает в Linux). Тем не менее, я сам частенько загружаю файлы захвата, содержащие вредоносный сетевой трафик, в CapLoader и NetworkMiner под Windows.
Анализ файлов PCAP в песочнице Windows
Если вы хотите анализировать вредоносный трафик в Windows с минимальным риском заражения, вам обязательно стоит попробовать Windows Sandbox от Microsoft (доступна в версиях Windows 10 Pro и Enterprise). Песочница Windows использует контейнеры Windows, и это намного эффективнее по сравнению с развертыванием виртуальной машины Windows.
Контейнер песочницы не использует то же ядро, что и хост, и обеспечивает создание новой среды Windows при каждом запуске песочницы.
Песочница Windows не запускает антивирус, поэтому он не будет мешать извлечению вредоносного содержимого из анализируемых файлов PCAP.
Установка Windows Sandbox
- Откройте поиск Windows, введите OptionalFeatures.exe (окно «Включение / отключение компонентов Windows») и нажмите Enter.
- Включите функцию «Windows Sandbox» отметив галочкой чекбокс.
- Перезагрузите компьютер.
Затем создайте конфигурацию песочницы, которая загружает и устанавливает последнюю версию NetworkMiner каждый раз при запуске песочницы. Для этого создайте файл и назовите его MinerSandbox.wsb со следующим содержимым:
1 2 3 4 5 6 7 8 9 10 11 12 |
<Configuration> <MappedFolders> <MappedFolder> <!-- Замените путь ниже на ваш каталог PCAP --> <HostFolder>C:\Users\User\pcap</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>cmd.exe /C "curl -L https://www.netresec.com/?download=NetworkMiner | tar -C C:\Users\WDAGUtilityAccount\Desktop\ -xf -"</Command> </LogonCommand> </Configuration> |
Замените « C:\Users\User\pcap» на любое место, в котором находятся ваши файлы PCAP.
После запуска NetworkMinerSandbox.wsb у вас будет свежая машина с Windows, которая будет запущена в течение нескольких секунд. Последняя версия NetworkMiner и ваш каталог PCAP доступны с рабочего стола песочницы.
Перемещение файлов в песочницу или из нее можно делать с помощью сочетания клавиш (Ctrl + C / Ctrl + V).
VirtualBox и песочница Windows
Вы используете VirtualBox для запуска виртуальных машин на хосте Windows и получаете сообщение об ошибке «Невозможно включить вложенный VT-x / AMD-V …» после включения Windows Sandbox?
Несмотря на то, что Windows Sandbox не нуждается в Hyper-V, для нее по-прежнему требуется гипервизор, что, к сожалению, конфликтует с VirtualBox. Вы можете отключить гипервизор, выполнив следующую команду от имени администратора:
1 |
bcdedit.exe /set hypervisorlaunchtype off |
Затем перезагрузите компьютер перед запуском виртуальной машины VirtualBox с включенным «VT-x». К сожалению, отключение гипервизора не позволит запустить Windows Sandbox, и появится сообщение об ошибке: «Гипервизор не найден. Пожалуйста, включите поддержку гипервизора ».
Чтобы снова включить гипервизор, чтобы запустить Windows Sandbox, вам нужно будет ввести команду:
1 |
bcdedit.exe /set hypervisorlaunchtype auto |
После чего перезагрузите компьютер.
На этом все. Теперь вы знаете, как анализировать вредоносные файлы PCAP в Windows.
Еще по теме: Лучшие ОС для криминалистического анализа