在 Cent OS 6.4 x64 上整合 inetsim 1.2.4 提供偽裝網路服務給惡意程式行為分析

分層區間二型模糊知識本體模型之異質惡意程式行為分析架構 
A Hierarchical IT2FO Model for Heterogeneous Malware Behavior Analysis Architecture

一樣又是相關的軟體套件,這東西是為了避免在分析未知樣本時,適時的阻斷對外網路,偽裝出虛擬網路服務來回應,之前測過確實是可以跟實際網路得到一樣的結果哩 !
INetSim: Internet Services Simulation Suite
simulating common internet services in a lab environment

官方網頁有說的很詳細要先安裝啥


所以就先把這些都下載下來吧

wget http://search.cpan.org/CPAN/authors/id/R/RH/RHANDOM/Net-Server-2.007.tar.gz
wget http://search.cpan.org/CPAN/authors/id/N/NL/NLNETLABS/Net-DNS-0.72.tar.gz
wget http://search.cpan.org/CPAN/authors/id/M/MS/MSOUTH/IPC-Shareable-0.61.tar.gz
wget http://search.cpan.org/CPAN/authors/id/S/SU/SULLR/IO-Socket-SSL-1.953.tar.gz
wget ftp://rpmfind.net/linux/centos/6.4/os/x86_64/Packages/iptables-devel-1.4.7-9.el6.x86_64.rpm
wget http://search.cpan.org/CPAN/authors/id/J/JM/JMORRIS/perlipq-1.25.tar.gz

然後請各自把它們解壓縮並且執行 perl Makefile.PL、make 以及 make install 等三個動作


其中要注意 iptables-devel-1.4.7-9.el6.x86_64.rpm,如果你的 OS 不是 x64 的話記得另外下載
然後再安裝 perlipq-1.25,不然會一直出現無解的錯誤訊息 ! xD


順利的話應該是要像上圖這樣


接著就是最後一步,下載 InetSim,並且解壓縮囉 !

# wget http://www.inetsim.org/downloads/inetsim-1.2.4.tar.gz
# tar -zxf inetsim-1.2.4.tar.gz
# cd inetsim-1.2.4
# groupadd inetsim
# sh setup.sh

到這邊就算是已經安裝好了 ! 接著就看你是解壓在那個資料夾裡,然後執行這樣的 script


./inetsim --session test --config=/MiT/inetsim-1.2.4/conf/inetsim.conf --log-dir=/MiT/inetsim-1.2.4/log --data-dir=/MiT/inetsim-1.2.4/data --report-dir=/MiT/inetsim-1.2.4/report --bind-address=192.168.0.100 --user=root &
嗯 ! 大功告成搞定啦 ! 剩的就是再弄個小 script 來控制啟用或者是關閉吧 ! 不過如果是專門用來分析惡意程式我想不用關閉吧 ? xD