鲁宾给的网络数据样本是以文本方式存放的,从系统角度来看,纯文本方式保存的数据是不会被操作系统执行的,因此肖远虽然做了一些防护,却是在防止鲁宾的软盘里带有其他的病毒,至于那段网络数据的文本,并没有太多担心。
这段文本占据了差不多满满一张软盘,有1.2MBytes之多,肖远用一个能够在各种进制(十进制、二进制、八进制、十六进制)之间转换的文本编辑器将这段文本打开,因为文件很长,如果要将之打印出来的话,恐怕要一两百页之多,不借助专门的工具直接人工进行分析,是一件不可能的事情,因此他也只是翻了翻开头的几页,了解了一下这个文本文件的大致情况,就将之关闭了。
看着眼前的Windows桌面,肖远有种束手束脚的感觉,因为很长一段时间以来,他接触的计算机系统,都是非Windows系列,比如平时在家里,他使用的是Thinkpad600,那台电脑安装的系统是FeoniX系统,在学校的实验室,他使用的是FreeBSD系统,这两套系统的内核虽然不同,但是因为他们的外部接口都是按照POSIX标准开发的,使用的shell也都是他在bash之上自行定制出来的,因此在使用上如果不涉及系统底层,就很难感觉到有什么不同。
但是Windows却不同,无论是操作方式,还是工具都完全不同,最重要的是,眼前这台康柏笔记本从卡玛那拿回来后,平时都是夏九滢上网的时候偶尔用用,肖远就没有在上面安装太多的工具,也没有安装编程环境。
而现在要分析这段网络数据,却需要大量的工具配合,甚至需要根据情况编写一些专门的工具,这些在康柏笔记本上都没有,这才是肖远束手束脚的根本原因。
所以,他决定将工作迁移到Thinkpad600上进行,至于蠕虫病毒运行需要的windows环境,在Thinkpad600上,他可以用一款软件在FeoniX系统上设置一个Win32的API虚拟环境,让那个蠕虫病毒去那个虚拟环境中运行,如果那个虚拟环境仍然难以满足要求的话,他还可以动用虚拟机这样的大杀器,但是限于Thinkpad这样的硬件水平,虚拟机这种极大耗费计算资源的大型软件,不到万不得已,他并不准备使用,如果真的要使用的话,他也会等到明天回到学校实验室,那里他的电脑是一台FreeBSD工作站,在其上运行一台虚拟机肯定是游刃有余的。
不过肖远在正式进行分析之前,他决定先看看这段网络数据中内嵌的蠕虫病毒究竟是什么样子的,具体的表现是什么,只有做到知己知彼,才能百战不殆。
要想将蠕虫病毒释放出来,肖远需要前期做一些准备,首先他要准备一个虚拟环境。
这个虚拟环境第一个作用是作为一个隔离层,让蠕虫运行于其中,防止对计算机真正的系统造成损害,其二,这个虚拟环境也有类似于监控的作用,蠕虫在其中的一举一动,都会被记录下来,便于观察,第三,虚拟系统还可以根据需要,放开适当的网络端口,或者预留出某一些特定的系统漏洞,用以观察蠕虫在其中的反应等等。
搭建虚拟环境所需要的软件肖远早已收集有,现在存放在玄涅社区他的私人空间里,只需要从哪里下载到本机就可以了。
虚拟环境虽然不是真正的虚拟机,但是也要消耗大量的资源,肖远在将之配置好之后,就明显感觉到系统变慢了,但是还在可以忍受的范围之内,并不影响他工作。
搭建好虚拟环境后,肖远又将已经被鲁宾事先转存成文本文件的网络数据样本利用一个工具转换成二进制形式,然后将之导入到了另一个工具中,这个工具会在肖远现在的计算机模拟一个网络主机,并利用模拟出来的主机向虚拟环境发送网络数据,实现和真正从网络上接受数据包完全相同的效果。
在将网络数据发送到虚拟环境之前,肖远现将这些数据导入了另一个网络数据分悉软件,这个软件会对网络数据流进行初步分析,判断出数据流所使用的网络协议,并统计出其他的一些数据,以供肖远观察分析。
分析结果出来后,肖远先看了一遍,首先可以确定的一点是,这些数据鲁宾是从TCP/IP网络堆栈中网络层截取的,其次,这些数据由很多具有正常功能的网络层协议数据包组成,其中TCP协议的数据包占据了大多数,另外还有少数的ICMP协议数据包,这些数据包穿插在TCP/IP数据包中,插入位置呈现随机性,这两种协议的数据包占据了整个数据流的97%,除此之外,还有其他的一些网络层协议数据包,比如数据广播协议IGMP等等。
从分析报告来看,所有的网络层数据包都是正常的数据包,没有任何异常,如果想要查询数据包里所携带的数据究竟会不会有问题,则需要对所有这些数据包进行解包,然后分解出其中更底层数据流进行进一步的分析。
进一步的解包和分析肖远准备留到明天到实验室后再做,现在只是想要了解一下这段数据流的基本情况,然后就是通过软件将它们发送至虚拟环境,看看网络蠕虫在虚拟环境中究竟会干些什么。
数据发出之后,肖远在虚拟环境的监控窗口中看到这些数据包被虚拟环境接受,解包,然后因为找不到接收这些数据包的程序,开始将这些数据包丢弃……
“哇,这是什么地方?”
而就在数据包被虚拟环境接收不到不到三分之一的时候,突然虚拟环境中弹出了一个对话框,令肖远为之一惊,因为他也知道,这个对话框的出现,标志着蠕虫病毒已经进入了虚拟环境,但是这个病毒究竟是怎么进去的,他根本就没有发现,一切都是那么的突然,而且对话框里的话更值得他去寻味。
“难道这个病毒已经发现他所处的环境不是正常的系统环境了吗,它是怎么发现的?”肖远仔细捉摸着对话框里的话。
“这里很不正常啊,怎么这么空旷,而且到处都是监控,不行,我不喜欢,我要离开。”
就在肖远捉摸着第一个对话框里的话的时候,那个对话框自己关闭了,然后第二个对话框弹了出来,里面的话让肖远感到惊讶的同时,也确认了他刚才的推测,那就是这个蠕虫竟然这么快识别出来,他所处的环境不正常,并且还表达出想要离开的意图。
这时候,虚拟环境的监控窗口内,信息快速的滚动起来,显示着虚拟环境中有一个进程在对虚拟环境进行扫描,而这个进程的名字是imthin。
“imthin,这是什么意思?”肖远觉得这个名字很奇怪。
而就在这时,电脑突然发出了一阵嘀嘀的报警声,把肖远的思路打断了。
“哈哈,终于出来了,竟然想要把我关进小房子里,太可恶了,坏蛋!”
“我靠,这家伙竟然跑出来了!”肖远这时却无心再去关心对话里充满孩子气的话了,这时他更关心的是这个蠕虫是怎么从虚拟环境中跑出来的。
肖远关掉了屏幕上的对话框,噼里啪啦敲击着减胖,一连串的命令通过虚拟环境的监控窗口发了出去,他要将监控程序的详细日志调查来,看看这个蠕虫是怎么跑出来的,然后就在他将命令发出去后,等待详细日志出来的时候,电脑屏幕上又弹出了一个对话框,里面的话却让他如遭雷击,一下子愣在了那里,眼泪迅速模糊了视线。
“喂,坏蛋,问你个问题,我很胖吗?”
