DECAFのセットアップ
DECAFの環境を構築したので,再度構築する時のための自分用メモ.
github.com
環境
- ホストOS Ubuntu16.10(LTS) 64bit
- ゲストOS① Ubuntu14.04(LTS) 64bit
- ゲストOS② Windows XP 32bit
ホストOSの上でゲストOS①を動作させ(Virtualbox),その上でゲストOS②を動作させる(DECAF(QEMU)). ホストOS上で直接DECAFを動作させなかったのは、Ubuntu16.10上でのビルドが上手く行かなかったためで,現在原因調査中.
パッケージのインストール
$ sudo apt-get update $ sudo apt-get install qemu binutils-dev libboost-all-dev $ sudo apt-get build-dep qemu $ sudo apt-get -y install build-essential linux-headers-$(uname -r) $ sudo apt-get install zlib1g-dev libssl-dev libncurses5-dev $ sudo apt-get install libcurl4-openssl-dev libexpat1-dev libreadline-gplv2-dev $ sudo apt-get install uuid-dev libfuse-dev bzip2 libbz2-dev git $ sudo apt-get -y install automake1.9 autoconf libtool $ git clone https://github.com/sycurelab/DECAF $ cd DECAF/decaf $ ./configure $ make $ cd ..
イメージの作成
- WindowsXP(modernIE)のVMware用イメージをダウンロードした.
- VMWare用イメージ(vmdk)をqcow2イメージに変換したものでDECAFを起動しようとしたところ,
No bootable device
と出てしまい,ブートできなかった.原因調査中. - qcow2イメージではなく,rawイメージに変換したものを使用したところ,問題なく起動できた.
DECAFでqcow2(vmdk->qcow2のconvert)だとNo bootable deviceになるけどrawを直接指定したらとりあえず動いた
— e_no (@epcnt19) 2017年4月30日
$ unzip IE8.XP.For.Windows.VMware.zip $ qemu-img convert -f vmdk -O raw IE8_-_WinXP-disk1.vmdk winxp.img $ ./decaf/i386-softmmu/qemu-system-i386 -monitor stdio -drive file=./winxp.img
さいごに
今後は以下を参考にプラグイン開発をやっていく予定.
追記
https://groups.google.com/forum/#!topic/decaf-platform-discuss/iLw8E7p559w
参考
- poppycompass.hatenablog.jp
- tsunpoko.hatenablog.com
- GitHub - ntddk/geteip: tiny DECAF plugin
- GitHub - ntddk/blue: Some anti QEMU trick used by in-the-wild malware.
- DECAFによるマルウェア自動解析 | 一生あとで読んでろ
- セキュリティキャンプ講義「仮想化技術を用いたマルウェア解析」にチャレンジしてみた(プラグイン開発編) - 拾い物のコンパス
- ミニキャンプ沖縄・仮想化技術を用いたマルウェア解析-Revenge(プラグイン開発編) - /var/log/tsun
記念撮影