본문 바로가기
리팩토링

샘플 분석 환경 구성

by 야채호빵o 2023. 3. 28.

Vmware 가상환경 생성과 Window os 설치

  • Vmware workstation pro 17을 설치하고 실행합니다.

  • Vmware 설치 후, 홈에서 creat a new virtual machin을 클릭합니다.

  • tipicalcustom 버튼이 나오는데, custom은 사용자 지정 모드로 하나하나 설정해줘야 하기 때문에 저는 그보다 쉽게 구성 가능한 typical을 선택했습니다.

  • 게스트 운영체제 설치방법으로, 두 번째 disc image file 버튼을 클릭하여 윈도우 7이 있는 경로를 입력해 해당 iso파일을 삽입하여 진행했습니다.

  • 윈도우 제품 키를 넣는 창은 next를 눌러 넘어갔습니다.

 

  • 가상머신의 이름과 저장할 경로를 정해주는 창입니다. 
  • 저는 c드라이브에 여유 공간이 충분하지 않아 d드라이브로 가상환경을 지정해줬습니다.

  • 가상환경의 하드 디스크를 설정하는 창입니다.
  • 기본설정으로 60gb가 설정이 되어 있어 그대로 진행했습니다.
  • store virtual disk as a single filesplit virtual disk into multiple files가 있는데, single filemultiple files보다 성능이 더 좋지만 하나의 큰 파일로 되어있기 때문에 파일을 옮기기가 힘듭니다. multiple files는 이름 그대로 가상환경 디스크를 쪼개서 생성하기 때문에 single file보단 성능이 떨어지지만 파일을 옮기기에는 유리합니다. 저는 multiple files로 선택했습니다.

  • 하드웨어 설정을 커스텀 할 수 있는 창입니다.

  • 저는 customize hardware를 클릭하여 메모리만 1기가에서 4기가로 늘려줬습니다.

  • Finish 버튼을 눌러 가상환경 설정을 마쳤습니다.

  • 메인보드에 가상화가 꺼져있어 오류가 생겼었습니다.
  • 바이오스 메뉴에 들어가 가상화를 켜주고 다시 진행했습니다.

  • window 7 professional k x64를 설치했습니다.

  • 해당 pc 이름을 설정하고 제품 키 입력은 건너뛰면, 윈도우7이 가상환경에 설치됩니다.

  • 네트워크 창을 열어보니, 별도의 설정없이 네트워크가 잘 연결된 걸 확인할 수 있었습니다.

 

Vmware 툴 설치

 

  • Vmware 툴을 설치 하려고하니 비활성화 되어 있습니다.

  • 가상드라이브를 선택해서 마우스 오른쪽키를 누른 후 settings로 들어 갑니다.
  • 설정값에서 floppy를 누른 후 use floppy image file:로 선택되어 있는 것을 use physical drive:로 바꿔주었습니다.
  • Install VMware Tools가 활성화 되었습니다.

  • Install VMware Tools를 누른 후, 운영체제에 맞는 setup64를 실행하였습니다.

  • 툴을 설치하는 과정에서 오류가 발생하여 설치가 중단되었습니다.

  • Microsoft Update 카탈로그에 접속 해서 운영체제에 맞는 보안 업데이트 파일을 다운로드 받아 설치했습니다.
  • 재부팅 후, Vmware Tool을 정상적으로 설치했습니다.

  • 또 재부팅 후, 가상환경 화면이 전체화면으로 나오고, 로컬 환경에 있는 파일을 드래그 앤 드랍 방식으로 가상환경에 옮길 수 있게 되었습니다.

 

Vmware 스냅샷과 종료

  • vm탭의 snapshot을 클릭하여 스냅샷 기능을 사용할 수 있습니다.

  • Take snapshot을 클릭하면 해당 시점을 저장하고 이름과 설명을 쓸 수 있습니다.

  • 스냅샷 매니저를 통해 저장된 스냅샷들을 확인 가능하며 원하는 스냅샷을 클릭하게 되면 해당 스냅샷으로 돌아갈 수 있습니다. 
  • 스냅샷 기능을 통해서 반복적인 분석이 필수

  • Vmware 종료 창입니다.
  • run in background는 백그라운드에서 가상환경이 실행되고 있는 상태, power off는 컴퓨터를 끄듯이 가상 윈도우와 vmware 프로그램 같이 종료하는 것입니다.
  • suspend는 현재 가상 PC의 상태를 그대로 저장해 놓고, 다음에 현재 상태로 구동할 수 있게 하는 버튼입니다. 현재의 PC 상태를 그대로 보관한 후에 가상머신을 종료할 수 있습니다.

 

악성샘플 수집 사이트

 

  • 악성코드 분석, 악성샘플 수집 시 많이 사용되는 사이트
  • 자체적으로 샌드박스를 운영하면서 샘플도 제공하지만 분석되어진 결과도 보여줌
  • 악성코드를 다운로드 받기 위해선 회원 가입이 필수이며 인증 과정을 거쳐야 함

 

  • 악성코드 등을 공유하는 무료 사이트로 1~2일 주기로 선별된 악성코드를 제공함
  • 24시간 이내에 사람들이 가장 많이 검색한 악성코드가 무엇인지 확인할 수 있음
  • 다른 사이트에 비하면 참고할만한 파일이 많지 않음

  • 악성코드를 공유하는 무료 사이트
  • 악성코드 관련 샘플을 제일 많이 보유하고 있는 사이트
  • 관리자 이메일로 가입요청 메일을 영어로 보내면 가입할 수 있는 url을 보내줌

 

  • 네트워크 패킷이나 악성코드 샘플 파일을 제공
  • 샘플도 제공하지만 분석되어진 결과도 보여줌
  • 악성코드 방식과 실행으로 생성되는 부가적인 데이터들을 함께 제공함
저작자표시 비영리 동일조건

'리팩토링' 카테고리의 다른 글

악성코드 샘플 분석 실습2  (0) 2023.10.09
악성코드 샘플 분석 실습  (0) 2023.10.09
악성코드 정적분석, 동적 분석  (0) 2023.03.14
Virustotal  (0) 2023.03.09
보안관제  (0) 2023.02.20

관련글

티스토리툴바