4.4 网络模拟慕课视频播放-计算机病毒分析（慕课）-MOOC慕课视频教程-柠檬大学

4.4知识点：网络模拟

1. 网络模拟

恶意代码经常会连接到命令与控制服务器，你需要采用一些模拟网络的基本步骤，用来快速获得网络资源，而不需要实际地连接互联网。这些资源包括DNS域名系统、IP地址和数据包记录器。

2. 使用ApateDNS

ApateDNS是一款来自Mandiant公司的免费软件，是用来查看恶意代码发出DNS请求最快速的方式。ApdateDNS在本机上通过监听UDP的53端口，对用户指定的IP地址做给出虚假的DNS响应。它用你指定的IP地址去响应DNS查询请求。ApateDNS可以使用十六进制和ASCII码来显示所有接收到的请求。

3. 使用Netcat进行监视

Netcat被称为“TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。

Netct的执行命令，显示了监听一个端口所需要的选项。-l选项意思是监听，-p选项指明了监听的端口。正如你在表中看到的，RShell是一个反向的shell，它不会立即提供一个shell。它的网络连接首先看起来像是一个向www.google.com的HTTP POST请求，而这个POST数据是假冒的，RShell很可能插入了一个混淆之后反向的shell，因为网络分析师经常只看到一个会话的开始部分。

4. 使用Wireshark进行数据包监听

Winshark是一个开源的嗅探器，是一个截获并记录网络数据包的工具。Wireshark提供可视化、包一流分析和单个数据包的深入分析。

Wireshark的界面有四部分，如图所示。

1. 过滤栏用来过滤显示的数据包。

2. 数据包列表显示了所有满足过滤条件的数据包。

3. 数据包细节窗口显示了当前选中包的详细内容。

4. 十六进制窗口显示了当前数据包的十六进制内容，十六进制窗口和数据包细节窗口紧密关联，会高亮显示你所选择的任何域。

5. 使用INetSim

INetSim是一款基于Linux模拟常见网络服务的软件。INetSim是一款提供模拟服务最好的免费工具，它通过模拟服务（如HTTP、HTTPS、FTP、IRC、DNS、SMTP等），允许你在隔离的动态分析系统里面，构造一个虚拟的网络环境来分析未知恶意代码的网络行为。代码清单列举了INetSim默认模拟的所有服务，它们都随程序一起启动。

使用INetSim欺骗NMAP扫描器

1、INetSim一些最好的特性被融进了HTTP和HTTPS服务模拟中，INetSim几乎能提供所有的文件请求服务。

2、INetSim可以记录所有的连入请求与连接。如：使用端口号的修改、是否连接到一个标准服务、设置请求后返回一个页面或者一个项目。

3、INetSim的Dummy服务可以记录恶意代码连接的所有端口和发送数据。