DrakvufSandbox：可以交互的开源windows恶意程序分析沙盒

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

DrakvufSandbox：可以交互的开源windows恶意程序分析沙盒

2022-02-28 16:07:30

所属地四川省

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

DrakvufSandbox是一个自动化的黑盒恶意软件分析开源项目，该项目提供了一个友好的Web界面，允许您上传可疑文件进行分析。沙盒作业完成后，可以通过web界面浏览分析结果，并深入了解文件是否是恶意程序，下面介绍其安装以及使用。由于个人使用习惯，不想装物理的ubuntu系统，所以选择在VMware下进行虚拟嵌套使用。

前提条件

电脑CPU支持IntelEPT功能。

准备

VMware Workstation
ubuntu18.04虚拟机 http://releases.ubuntu.com/18.04.6/
win7镜像
drakvuf sandbox安装包 https://github.com/CERT-Polska/drakvuf-sandbox/releases
vncviewer
需要测试的程序

示意图

step1: 安装ubuntu18.04虚拟机

这个没什么好说的，需要注意的是需要至少两核CPU，5G内存以及30G磁盘，开启虚拟化。

step2: 将需要的文件复制进虚拟机中

安装完drakvuf-bundle重启后，VMtools会不起作用，所以最好这个时候把要的东西都复制进虚拟机。

复制内容包括对应版本的安装包以及win7x64系统的iso镜像文件。

step3: 安装 drakvuf

sudo apt-get update
sudo apt install ./ubuntu_bionic_drakvuf-bundle-0.8-git20210921114837+5575888-1-generic.deb
reboot
电脑重启后:
sudo apt-get install redis-server
sudo apt install ./ubuntu_bionic_drakcore_0.18.1_amd64.deb
sudo apt install ./ubuntu_bionic_drakrun_0.18.1_amd64.deb

安装完成后可输入 sudo draksetup test 查看是否工作。

step4: 安装win7测试平台

sudo draksetup install ./win7.iso --vcpus 2 --memory 2048

这里CPU数量和内存都可按需调节。

上图所示成功后输入 drak-vncpasswd 查看vnc连接密码，记住它。

用vncviewer输入ubuntu IP连接VNC 开始安装windows，安装部分就不赘述，网上搜索一大堆，安装过程中VNC会断开两次,重新连接即可。

这里也可以使用无人值守安装，就不用连接VNC手动装机了。在https://www.windowsafg.com/win7x86_x64.html中完成相关配置生成autounattend.xml，或者去找别人的配置文件，安装命令如下
sudo draksetup install ./win7.iso --vcpus 2 --memory 2048 --unattended-xml ./autounattend.xml