如何在windows系统中构建蜜罐

构建一个基于Unix系统的蜜罐网络，对系统维护和网络安全的知识要求相对较多，而做windows系统蜜罐的门槛相对较低。今天，我们将尝试在windows下构建一个蜜罐系统。
由于win和Unix系统不同，我们很难使用有效的工具来完全跟踪入侵者的行为，因为win下有各种各样的远程管理软件(VNC，remote-anything)，而对于这些软件，大部分杀毒软件都不会查杀，我们也没有像LIDS这样强大的工具来控制管理员的权限。相对来说，蜜罐的风险更大一点，也是必须的。

首先，介绍一下我们需要的软件。

Vpc虚拟pc，这是一个虚拟操作系统的软件，当然你也可以选择VMware下的perl解析器。
Active Perl-5 . 8 . 0 . 805-ms win32-x86 . MSI Windows
evtsys _ exe . zip，一个向日志服务器发送系统日志的程序
Comlog101.zip，一个用Perl编写的秘密记录cmd.exe的程序，不会显示在进程列表中，因为入侵者确实在运行cmd . exe:)
KIWI _ syslog _ daemon _ 7，一个非常专业的日志服务器软件
诺顿杀毒企业客户端，我的当然，如果你觉得别人更适合你，你有权选择
windows版的ethereal-setup-0.9.8.exe Ethereal，它是*nix的下一个著名嗅探器。当然，如果你已经在你的蜜网里安排了
嗅探器，这个就没必要了，但是这篇文章主要是针对Dvldr蠕虫的，ethereal的解码功能很强。利用他获取irc消息很好
Winpcap _ 3 _ 0 _ beta.exe飘渺需要他的支持。
md5sum.exe Windows下检查md5sum的工具
Windows 2000 Professional的ISO镜像需要vpc虚拟操作系统

DVLDR蠕虫简介

他是一个使用windows 2000/NT弱密码的蠕虫。蠕虫用它的字典暴力破解了随机生成的ip机。如果成功，它感染了机器，植入了修改版的VNC，并将被感染主机的信息报告给一个irc列表，同时继续感染其他机器。可以去郑州大学网络安全园看看或者更详细的了解一下。

1.安装一个win2k pro，具体安装方法本文省略。把所有补丁都打上，只留下一个漏洞，就是dvldr蠕虫需要的管理员空密码。

第二，安装诺顿杀毒企业客户端，升级到最新的病毒库，启动实时监控。

第三，用cmdlog替换cmd.exe程序。解压缩comlog101.zip后有五个文件，cmd.exe、cmd101.pl、COMLOG.txt、md5.txt、readme.txt，其中cmdlog.txt和README.txt是说明文件，md5.txt包含这五个文件的md5校验和值。我们可以使用md5sum.exe工具来检查它们是否被修改过。

d:comlog 101 > MD 5 sum . exe *
MD 5 sum . exe:。:权限被拒绝
md5sum.exe:..:权限被拒绝
f 86 ba 5 ffaa 8800 a2 EFA 9093 D2 f 11 AE 6 f * cmd.exe
484 c 4708 c17 b5 a 120 CB 08 e 40498 FEA 5f * com 101 . pl
001 a6 F9 ca 5 f 6 cf 01 a 23076 bad 9 c 6261 a * com log . txt
121 BF 60 BC 53999 c 90 c 64051TXT

将这些数字与md5.txt的数字进行比较，如有不一致，证明程序被修改过。请不要使用它。

验证无误后，我们开始覆盖系统的cmd.exe。首先打开Explorer-> Tools-> Folder Options-> View，去掉“Hide protected operating system files”的勾选，选择“Show all files and folders”-> OK，然后转到C:win ntsystem 32 lll cache的目录，找到cmd.exe。并把他的名字改成cm_。exe，然后把comlog101下的cmd.exe和com101.pl复制到这里，把c: winntsystem32下的cmd.exe改成cm_。exe，并将comlog101目录下的cmd.exe和com101.pl也复制到这里。在这段时间内，系统会提醒你系统文件已经被修改，问你是否修复，选择取消就可以了。然后，在C: winnthelp目录下构建一个名为“Tutor”的目录。这是存储cmd.exe的命令记录的地方。当然，您也可以修改com101.pl来选择日志的存储位置。

现在当我们运行cmd.exe时，你会发现窗口一闪而过，因为我们还没有安装perl parser。运行active perl-5 . 8 . 0 . 805-ms win32-x86 . MSI，一路OK到下一步。

现在我们运行cmd.exe，这一次我们可爱的cmd窗口弹出。只要输入几个东西，然后去C: winnthelpututor的目录，就可以看到记录了。为了避免记录我们在cmd.exe的行动，我们可以把原来的cmd.exe改成另一个名字。

四:安装日志服务器。我们选择Kiwi的Syslog Daemon 7是因为他足够专业，有很多统计信息和支持产品。只需继续下一步并启动服务。

Netstat -an，我们可以看到端口514。

UDP 0.0.0.0:514 *:*

第五，安装evtsys_exe。解压后，有两个节目，evtsys.exe和evtsys.dll。还需要检查文件是否被修改。

d:evtsys _ exe > MD 5 sum . exe *
MD 5 sum . exe:。:权限被拒绝
md5sum.exe:..:权限被拒绝
f5ba 9453 e 12 DC 030 b5 e 19 f 75 c 079 FEC 2 * evt sys . dll
DCC 02 e 429 fbb 769 ea 5d 94 a2 ff 0 a 14067 * evt sys . exe
EB 574 b 236133 e 60 c 989 c 6 f 472 f 07827 b * MD 5 sum . exe

如果一切正常，执行evtsys.exe/?

D:evtsys_exe>evtsys.exe /？
用法:evtsys . exe-I |-u |-d[-h host][-p port][-q char]
-I install service
-u Uninstall service
-d Debug:作为控制台程序运行
-h host log host的名称
-p syslogd的端口号(日志服务器端口，默认为514)
-q char用字符引用消息默认端口:511

我们运行d:evtsys _ exe > evtsys . exe-h log server IP-I来安装服务。

这样，你系统的应用日志、系统日志、安全日志都会被发送到日志服务器，这样我们就可以更好的了解系统的运行情况。

六:安装WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe

我们来说说这种情况下ethereal的使用。

先启动ethereal。

捕获->开始

以混杂模式捕获数据包

不要选这个，因为我们只需要获取这台机器的信息，不需要以混杂模式运行。

过滤器

过滤器名称:irc

字符串:ip主机urip和tcp端口6667

只能有一个规则，但是可以使用逻辑符号。

否定(`！或者“不是”)

交集(` && '或` and ')

联合(|| '或` or ')

以及=、> =、+、&等等。

更多详细设置请参考ethereal手册。

先自己测试一下sniffer是否管用。

连接IRC说话，可以看到一些结果。

然后选择一条记录，按“跟随tcp流”查看IRC的聊天内容。

七。安装设置绿色警戒防火墙，关闭“传入请求通知”，开放共享，将所有入侵检测对策的“阻止”改为“警告”，警告级别改为“记录”。我们主要想了解一下大致的攻击情况。

然后清理战场，把下载的软件，临时文件，历史记录，文档全部删除，但是别忘了用regsnap做个镜像，最后再打开ethereal。

现在剩下的就是等待蠕虫感染的到来