当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 如何在Windows中构建蜜罐?

安全基础
正常关机后光电鼠标仍发光怎么解决
金山安全反病毒专家教你认识和安装系统补丁
微软IE团队成员揭秘中国网银不兼容非IE浏览器的原因
防火墙端口扫描和路径追踪设置防黑客入侵
压缩包里的压缩文件加上缩略图的方法
拒绝修改exe文件关联随EXE程序启动的木马
保护硬盘隐私数据防止黑客窃取的操作小方法
开机按F1故障怎么解决(新手学电脑)
实用技巧:自定义软件安装的默认路径
快速打开控制面板中的某一项目
避免网购被骗 揭秘网络钓鱼的9种骗术
删不掉文件的原因和辅助删除的软件工具
隐藏的系统克隆帐户全了解
剖析DDOS攻击的原理 提供解决方法
360安全卫士完美帮你系统打补丁
桌面多出几个IE图标有的不能删除怎么办
加载*dll出错,系统找不到指定的模块
如何揪出并根除Windows系统启动项
菜鸟防止黑客攻击的10个系统设置方法
新手学电脑:宽带拨号的设置方法

安全基础 中的 如何在Windows中构建蜜罐?


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 77 ::
收藏到网摘: n/a

  搭建一个基于Unix系统的蜜罐网络相对说来需要比较多系统维护和网络安全知识的基础,但是做一个Windows系统的蜜罐的门槛就比较低,今天我们就一起尝试搭建一个windows下的蜜罐系统

  由于win和Unix系统不一样,我们很难使用有效的工具来完整的追踪入侵者的行为,因为win下有各式各样的远程管理软件(VNC,remote-anything),而对于这些软件,大部分杀毒软件是不查杀他们的,而我们也没有象LIDS那样强大的工具来控制Administrator的权限,相对而言,蜜罐的风险稍微大了点,而且需要花更加多的时间和精力。

  先介绍一下我们需要的软件

      vpc Virtual pc,他是一个虚拟操作系统的软件,当然你也可以选择vmware.
  ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
  evtsys_exe.zip 一个把系统日志发送到log服务器的程序
  comlog101.zip 一个用perl写的偷偷记录cmd.exe的程序,不会在进程列表中显示,因为入侵者运行的的确是cmd.exe :)
  Kiwi_Syslog_Daemon_7 一个很专业的日志服务器软件
  norton antivirus enterprise client 我最喜欢的杀毒软件,支持win2k server。当然,如果你觉得其他的更加适合你,你有权选择
  ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一个很出名的sniffer,当然,如果你已经在你的honeynet中布置好了
  sniffer,这个大可不必了,但是本文主要还是针对Dvldr 蠕虫的,而且ethereal的decode功能很强,用他来获取irc MSG很不错的
  WinPcap_3_0_beta.exe ethereal需要他的支持。
  md5sum.exe windows下用来进行md5sum校验的工具
  windows 2000 professional的ISO镜象 用vpc虚拟操作系统的时候需要用到他

  Dvldr蠕虫简介

  他是一个利用windows 2000/NT弱口令的蠕虫。该蠕虫用所带的字典暴力破解随机生成的ip的机器,如果成功,则感染机器,并植入VNC修改版本,并向一个irc列表汇报已经感染主机的信息,同时继续向其他机器感染。可以访问郑州大学网络安全园或者关于他更详细的信息。

  一:安装一个win2k pro,具体的安装方法本文就省略了,打上所有的补丁,只留一个漏洞,就是dvldr蠕虫需要的administrator的空密码。

  二:安装norton antivirus enterprise client,升级到最新的病毒库,并启动实时监控

  三:用cmdlog替换cmd.exe程序,把comlog101.zip解压缩后有五个文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是说明文件,md5.txt包含这五个文件的md5校验和的值,我们可以使用md5sum.exe工具来检测一下他们是否遭受修改

      D:comlog101>md5sum.exe *
  md5sum.exe: .: Permission denied
  md5sum.exe: ..: Permission denied
  f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
  484c4708c17b5a120cb08e40498fea5f *com101.pl
  001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
  121bf60bc53999c90c6405440567064b *md5.txt
  eb574b236133e60c989c6f472f07827b *md5sum.exe
  42605ecfa6fe0f446c915a41396a7266 *README.TXT

  把这些数字和md5.txt的数字对比,如果出现不一致,就证明程序遭受修改,请勿使用。

  在校验无误之后,我们开始覆盖系统的cmd.exe。先打开资源管理器-->工具-->文件夹选项-->查看,把"隐藏受保护的操作系统文件"的钩去掉,并选择"显示所有文件和文件夹"-->确定,然后去到C:WINNTsystem32dllcache目录,并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl复制到这里,并把C:WINNTsystem32下的cmd.exe也改成cm_.exe,同样把comlog101目录下的cmd.exe和com101.pl复制到这里。在这段时间,系统会提醒你系统文件遭到修改,问你是否修复,选择取消就可以了。然后在C:WINNTHelp目录下建一个叫"Tutor"的目录,这里是用来放cmd.exe的命令记录的地方,当然你同样可以修改com101.pl来选择日志的存放位置。

 

  现在我们运行cmd.exe,你会发现窗口一闪而过,这是因为我们还没装perl解析器。运行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。

  现在我们运行cmd.exe,这回我们可爱的cmd窗口就跳出来了,随便敲几个东西进去,然后去到C:WINNTHelpTutor目录下,你就可以看到记录了。为了避免记录自己在cmd.exe的操作,我们可以把原来的cmd.exe改成另外一个名字来执行。

  四:安装日志服务器,我们选择Kiwi的Syslog Daemon 7是因为他够专业并且有很多统计信息和支持产品,一路next并启动服务即可。

  netstat -an我们可以看到514端口

  UDP