GET
请求,以请求有效负载(一个.bin
文件)。下载有效负载的安全方法是什么?有没有可以让我仅复制GET请求的工具?我不想运行连接到Internet的恶意软件。
感谢
#1 楼
乍看之下,这听起来像是一个直截了当的问题,但经过深思熟虑,它可能会变得有些复杂。采取额外的预防措施。即使在VM内部运行恶意软件也是一项危险的业务。安全地进行踩踏。最安全的方法可能是使用
wget
或类似工具下载有效负载。有很多下载资源的方法。甚至有些工具可以让您像HTTP客户端连接到原始服务器一样“重播”一个.pcap
(网络捕获)文件,但这听起来并不像您要找的东西。由于以下几个原因,从另一台计算机上下载手动有效负载可能不是最好的方法:
服务器可能会过滤所有http请求的细微差别,以检测正在恶意软件外部下载的有效负载。使用特定的
UserAgent
,特定的标头或请求参数(例如发布数据)可能会发生这种情况。有效载荷可能会以某种方式被加扰,从而使其无法使用而无法提供给恶意软件。
如果您打算从内部网络伪造Web响应,则问题不大(尽管可以在此处进行简单的质询-响应),但是如果您打算下载有效载荷并进行反向工程,您可能会遇到混乱的有效负载,需要对原始恶意软件下载程序进行进一步分析,然后才能继续进行研究。 />如果您计划将有效负载提供给恶意软件下载程序并继续执行,那么下载程序本身甚至下载的有效负载可能都需要与C&C服务器的进一步一致连接。如果没有实时的Internet连接,充其量将很难进行任何附加的动态调查。如果上述任何步骤失败,您将尝试再次下载有效负载几次。奇怪的是,这可能会使您的IP或IP范围被该恶意软件服务器完全禁止,以防止进行任何尝试。这是恶意软件操作中的常见做法,通常,您只会得到一个良性的可执行文件,而不会被直截了当。
将恶意软件连接到互联网并不是那么危险。 />
如果恶意软件在最新的虚拟机中运行,则允许下载程序下载其有效负载的风险很小。大多数示例将没有任何VM guest虚拟机来托管零日(如果有,则最好将其包含在第一阶段可执行文件中)。您应该考虑允许和阻止恶意软件有效负载连接到Internet的原因,并确保断开恶意软件的连接适合您。为了提高安全性,您可以将恶意软件连接到另一个(有限的)网络接口,或者甚至连接到另一个ISP /互联网帐户的接口。
评论
在执行此操作之前,请保留系统的良好备份。
– SDsolar
17年4月2日在21:58
是。那很重要我将添加!
– NirIzr
17年4月2日在22:15
感谢您的出色回答,了解详细信息非常有帮助。
– qwersjc
17年4月6日在2:30
评论
提取URL并使用wget,curl进行下载?使用wget +躯干