如何在windows系统中构建蜜罐 .pdfVIP

搭建⼀个基于Unix系统的蜜罐络相对说来需要⽐较多系统维护和络安全知识的基础，但是做⼀个windows系统的蜜罐的门槛

就⽐较低，今天我们就⼀起尝试搭建⼀个windows下的蜜罐系统。

由于win和Unix系统不⼀样，我们很难使⽤有效的⼯具来完整的追踪⼊侵者的⾏为，因为win下有各式各样的远程管理软

件（VNC，remote-anything），⽽对于这些软件，⼤部分杀毒软件是不查杀他们的，⽽我们也没有象LIDS那样强⼤的⼯具来

控制Administrator的权限，相对⽽⾔，蜜罐的风险稍微⼤了点，⽽且需要花更加多的时间和精⼒。

先介绍⼀下我们需要的软件

vpcVirtualpc，他是⼀个虚拟操作系统的软件，当然你也可以选择vmware.

ActivePerl-5.8.0.805-MSWin32-x86.msiwindows下的perl解析器

evtsys_exe.zip⼀个把系统⽇志发送到log服务器的程序

comlog101.zip⼀个⽤perl写的偷偷记录cmd.exe的程序，不会在进程列表中显⽰，因为⼊侵者运⾏的的确是cmd.exe:)

Kiwi_Syslog_Daemon_7⼀个很专业的⽇志服务器软件

nortonantivirusenterpriseclient我最喜欢的杀毒软件，⽀持win2kserver。当然，如果你觉得其他的更加适合你，你有

权选择

ethereal-setup-0.9.8.exeEthereal的windows版本，Ethereal是*nix下⼀个很出名的sniffer，当然，如果你已经在你的

honeynet中布置好了

sniffer,这个⼤可不必了，但是本⽂主要还是针对Dvldr蠕⾍的，⽽且ethereal的decode功能很强，⽤他来获取ircMSG很

不错的

WinPcap_3_0_beta.exeethereal需要他的⽀持。

md5sum.exewindows下⽤来进⾏md5sum校验的⼯具

windows2000professional的ISO镜象⽤vpc虚拟操作系统的时候需要⽤到他

Dvldr蠕⾍简介

他是⼀个利⽤windows2000/NT弱⼝令的蠕⾍。该蠕⾍⽤所带的字典暴⼒破解随机⽣成的ip的机器，如果成功，则感染机

器，并植⼊VNC修改版本，并向⼀个irc列表汇报已经感染主机的信息，同时继续向其他机器感染。可以访问郑州⼤学络安全

园或者关于他更详细的信息。

⼀：安装⼀个win2kpro，具体的安装⽅法本⽂就省略了，打上所有的补丁，只留⼀个漏洞，就是dvldr蠕⾍需要的

administrator的空密码。

⼆：安装nortonantivirusenterpriseclient，升级到最新的病毒库，并启动实时监控

三：⽤cmdlog替换cmd.exe程序，把comlog101.zip解压缩后有五个⽂件

cmd.exe，cmd101.pl，COMLOG.txt，MD5.txt，README.txt，其中cmdlog.txt和readme.txt都是说明⽂件，md5.txt包含这五

个⽂件的md5校验和的值，我们可以使⽤md5sum.exe⼯具来检测⼀下他们是否遭受修改

D:comlog101md5sum.exe*

md5sum.exe:.:Permissiondenied

md5sum.exe:..:Permissiondenied

f86ba5ffaa8800a2efa9093d2f11ae6f*cmd.exe

484c4708c17b5a120cb08e40498fea5f*com101.pl

001a6f9ca5f6cf01a23076bad9c6261a*comlog.txt

121bf60bc53999c90c6405440567064b*md5.txt

eb574b236133e60c989c6f472f07827b*md5sum.exe

42605ecfa6fe0f446c915a41396a7266*README.TXT

把这些数字和md5.txt的数字对⽐，如果出现不⼀致，就证明程序遭受修改，请勿使⽤。

在校验⽆误之后，我们开始覆盖系统的cmd.exe.先打开资源管理器——⼯具——⽂件夹选项——查看，把隐藏受保

护的操作系统⽂件的钩去掉，并选择显⽰所有⽂件和⽂件夹——确定，然后去到C：WINNTsystem32dllcache⽬录，并找

到cm