编辑2:仔细检查文档后发现了一个工具。
情况:爱FakeDNS使计算机使用自己的 IP 地址回复恶意软件样本发出的所有 DNS 请求的工具。
但是,当恶意软件样本到达某个 IP 地址时,如果目标计算机恰好不是同一 IP 地址,则该样本将会被丢弃。
问题:是否有类似的工具FakeDNS,但它会回复任何查询的 IP 地址?我正在考虑一个脚本来配置网络接口以响应 ARP 请求。
最好工具应在 Linux 上运行
编辑1:
希望该设置应该与我通常进行的恶意软件分析类似 - 在封闭网络(无互联网)中只有 2 个虚拟机。
10.1.1.1 10.1.1.2
------- -------
| VM1 |=========| VM2 |
------- -------
VM1 将执行恶意软件,而 VM2 则运行所有其他网络内容,包括FakeDNS.我可以完全控制虚拟机和主机。
例如1 FakeDNS,只是它如何工作的一个例子:
- VM1 配置为将 VM2 作为默认网关和 DNS 服务器。
- VM2 已
FakeDNS运行。 a.exe在 VM1 上运行恶意软件。example.orgVM1 上的恶意软件向 DNS 服务器请求。- VM2 使用自己的 IP 地址 (
example.org -> 10.1.1.2) 进行回复。
例如2 "Script/tool/config X":
- VM1 配置为将 VM2 作为默认网关。
- VM2 有
script/tool/config X. b.exe在 VM1 上运行恶意软件。- VM1 上的恶意软件要求
8.8.8.8("Who has 8.8.8.8?")。 "I am 8.8.8.8"无论配置的 IP 地址如何,VM2 都会进行回复
答案1
我没有提到 VM2 是 REMnux,我正在仔细研究REMnux 的备忘单及其工具正在寻找不同的工具,我意识到它包含一个脚本accept-all-ips。
该脚本使用 IPtables 的 NAT 表将流量重定向回自身,从而能够回复任何 IP 地址。