搭建一個基於*nix系統的蜜罐網絡相對說來需要比較多系統維護和網絡安全知識的基礎,但是做一個windows系統的蜜罐(下面簡稱winpot)的門檻就比較低,而且大部分朋友都會M$的select & click ,今天我們就一起嘗試搭建一個windows下的蜜罐系統
由於win和*nix系統不一樣,我們很難使用有效的工具來完整的追蹤入侵者的行為,因為win下有各式各樣的遠程管理軟件(VNC,remote-anything),而對於這些軟件,大部分殺毒軟件是不查殺他們的,而我們也沒有象LIDS那樣強大的工具來控制Administrator的權限,相對而言,winpot的風險稍微大了點,而且需要花更加多的時間和精力去看管他,沒辦法,門檻低了,風險當然就會相對高了。
OK,開始
先介紹一下我們需要的軟件
vpc Virtual pc,他是一個虛擬操作系統的軟件,當然你也可以選擇vmware.
ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
evtsys_exe.zip 一個把系統日志發送到log服務器的程序
comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序,不會在進程列表中顯示,因為入侵者運行的的確是cmd.exe??
Kiwi_Syslog_Daemon_7 一個很專業的日志服務器軟件
norton antivirus enterprise client 我最喜歡的殺毒軟件,支持win2k server。當然,如果你覺得其他的更加適合你,你有權選擇
ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一個很出名的sniffer,,當然,如果你已經在你的honeynet中布置好了
sniffer,這個大可不必了,但是本文主要還是針對Dvldr 蠕蟲的,而且ethereal的decode功能很強,用他來獲取irc MSG很不錯的
WinPcap_3_0_beta.exe ethereal需要他的支持。
md5sum.exe windows下用來進行md5sum校驗的工具
綠色警戒防火牆 對入侵者做限制
windows 2000 professional的ISO鏡象 用vpc虛擬操作系統的時候需要用到他
除了windows 2000 professional的ISO鏡象,本文涉及的所有程序都可以在鄭州大學網絡安全園下載的到
Dvldr蠕蟲簡介
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解?*
