一个开源的僵尸网络分析框架

"架构详细介绍

Dorothy2是这款选用Ruby語言开发设计的恶意程序／僵尸网络剖析架构，你能应用Dorothy2架构来对异常的二进制代码开展剖析。该架构的较大优点就是说其有着非常灵活的模块化设计自然环境，而且配置有针对网络分析每日任务的可互动式调研架构。此外，它可以根据比照先前转化成的基线漂移来鉴别新的系统进程。据统计，开发者将在下一个版本号中加上两大作用，即静态数据编码剖析及其改善的系统软件个人行为剖析。Dorothy2在对二进制文件开展剖析时，必须应用预设定的剖析配置文件。

那份剖析配置文件关键有下列原素组成：

沙盒系统软件种类

沙盒系统软件版本号

沙盒系统语言

固定不动的剖析请求超时時间（修复虚拟机前需等候多长时间）

post请求截屏的总数（及其截屏时间间隔）

可适用的软件和拓展

拥有那份配置文件以后，科学研究工作人员就能够应用不一样的自然环境来对二进制代码非空子集开展剖析了。大伙儿也了解，一些恶意程序只有在特殊的自然环境下运作。1个电子计算机安全事故没有响应精英团队（CSIRT）还可以应用配置文件在某个特殊自然环境中检测异常的恶意程序。

Dorothy2架构关键由几大控制模块构成，这种控制模块均能够独立运作。下边这张照片显示信息的是Dorothy2的框架剪力墙图，至少的每个控制模块已相连接：

1.  编码载入控制模块（BFM）

该控制模块承担从编码源读取下待检测的编码。“编码源”能够是系统软件文件夹名称、邮箱地址、或是是每台能够根据SSH浏览的互联网服务器。当编码所有读入以后，BFM会将编码添加剖析序列当中。

2.  Dorothy剖析模块

该控制模块根据在沙盒自然环境中实行待检测的编码来剖析序列中的源代码，随后将检测转化成的数据流量和截屏储存剖析文件夹名称中。

3.  数据网络获取控制模块（DEM）

该控制模块承担分析pcaps文档，并将基本信息（流统计数据和iP信息内容等）储存至Dorothive当中。此外，它会将沙盒免费下载的文档获取出去，并将这种文档储存至编码文档中的剖析文件夹名称内。

11.  WebGUI（WGUI）

该控制模块能够将全部获得到的统计数据以可互交的方式显示信息出去。警示：这一控制模块必须在控制计划自然环境下运作，创作者明显抵制客户将其曝露在互联网上。

4.  TheJava Dorothy Drone（未公布）

6.  僵尸网络渗入控制模块（基本信息）

软件环境

警示：当今版本号的Dorothy应用了VMWareESX5来做为它的虚似沙盒控制模块（VSM）。因而，Dorothy不兼容注册版的ESXi，由于它应用的是vSphere 5 API。可是，全部架构是能够开展自定设定的，配备以后就能够应用别的的虚拟化技术模块了。Dorothy2是1个高宽比模块化设计的架构，客户能够进行自定设定和改动。

Dorothy的实行必须取决于下述手机软件：

-VMWare ESX >= 4.0

-Ruby 1.9.3

-Postgres >= 9.0

-最少每台Windows虚拟机

-每台类Unix机器设备，用以网络分析模块（NAM）

-pcapr-local（用以doroParser）

-MaxMind编码库（用以doroParser）

电脑操作系统规定：

-Dorothy能够在一切*nix系统软件上运作。现阶段，它能够在OSX和Linux系统软件上极致运作。

-被作为沙盒自然环境的虚拟机系统软件必需是Windows。（提议应用xp）

架构安裝

一、  设定ESX自然环境

1. 基础设定（ssh）

-在vSphere中设定：

Configuration->SecurityProfile->Services->Proprieties->SSH->Options->Start little Stopwith host->Start->Ok

2. 设定2个单独的虚拟网络

3. 配备Windows虚拟机

停用Windows服务器防火墙

安裝VMWare

配备静态数据iP

配备进行以后，应用vSphere控制面板建立1个沙盒虚拟机的快照。

11. 在vSphere中建立1个Unix虚拟机，用以NAM控制模块

-安裝tcpdump和sudo

#apt-set install tcpdump sudo

-为Dorothy建立1个专有权客户（比如“dorothy”）

#useradd dorothy

-在dorothy客户主目录下建立1个文件夹名称，用以储存数据网络

#su dorothy 

$mkdir /home/dorothy/pcaps 

-加上Do