kickass infosec | sauver le monde, un octet à la fois

kickass infosec | sauver le monde, un octet à la fois

Rate this post

Bonjour,

Ceci est un autre article lié à l'analyse des programmes malveillants et à QEMU / KVM. J'ai fait un peu plus de recherches et j'ai trouvé différents articles plus anciens décrivant comment rendre le pafish heureux et comment éviter les logiciels malveillants qui connaissent les machines virtuelles.

Vous trouverez ci-dessous une capture d'écran de la sortie de pafish sous Windows 7.

Le système Windows 7 s'exécute sur un hôte KVM avec le noyau suivant:

Comme vous pouvez le constater, cela semble assez beau et nous pourrons peut-être vaincre la plupart des logiciels malveillants, mais nous souhaitons toujours supprimer certains éléments. Par exemple, consultez le gestionnaire de périphériques

Comme vous pouvez le constater, il existe des périphériques appelés QEMU qui indiquent qu'il ne s'agit pas d'un ordinateur portable. Notez que pafish ne l'a pas détecté, mais nous devrions quand même le réparer. Notre objectif aujourd'hui est de faire dire autre chose. Avant de continuer, j'ai utilisé beaucoup de messages (voir la fin de ce guide), mais je voulais tout recommencer à zéro et créer un guide pour tous ceux qui tentent de le faire. Vous l'avez deviné, CentOS 7.

Avant de commencer, laissez-moi vous expliquer un peu. Lorsque vous installez qemu / kvm sur CentOS 7 à l’aide de yum, il s’appellera qemu-kvm, mais lors de la compilation, il s’appellera qemu-system-x86_64. C'est important à comprendre. C'est toujours le même, mais on l'appelle différent selon qu'il est compilé ou non. Lire la suite ici
Assurez-vous également que le module kvm est chargé. Mon ordinateur portable pour ce guide est un vieil ordinateur portable exécutant un processeur AMD. Vérifiez avec lsmod si les modules appropriés sont chargés. Pour intel, il faut dire kvm_intel.

1. Installez un nouveau CentOS 7 minimal.
Je l'ai installé avec Gnome Desktop car j'utilise un vieil ordinateur portable. Et le mettre à jour:

Une fois que nous aurons terminé, cela ressemblera à quelque chose comme ça (2015-06-25)

2. Installez quelques paquets et outils de développement
Prenez un café pendant que vous attendez.

Avant de continuer, nous pouvons peaufiner la compilation un peu plus rapidement. En fonction du nombre de cœurs de votre système, vous pouvez modifier le paramètre jobs pour make. Exécutez la commande suivante:

Cela me donnerait la valeur de «make -j2». Oui, c'est un vieil ordinateur portable ..

3. Clonage de QEMU

4. Editer les pilotes et compiler
Maintenant, les choses amusantes commencent. Nous allons renommer l’appareil de QEMU HARDDISK en quelque chose d’autre. Assurez-vous que vous êtes dans le dossier qemu cloné que nous venons de cloner à partir du dépôt Git (étape 4).

Recherchez le nom du pilote (comme indiqué dans le gestionnaire de périphériques).

Ce sont les fichiers que vous devez éditer. Je vais le remplacer par «WDC WD20EARS», qui devrait simuler un disque de 2 To de Western Digital (selon une recherche Google).

En outre, n'oublions pas le lecteur de DVD. Appelons-le Toshiba DVD-ROM (parce que c’est la seule chose qui m’a surgi dans la tête)

Et il y a encore quelques endroits que nous devons éditer:

Il est temps de construire! Assurez-vous d’être root pour pouvoir l’installer.

Correction d'un lien symbolique pour rendre heureux virt-manager.

5. Il est temps de compiler libvirt

Si vous voulez en savoir plus sur la compilation de libvirt et sur les arguments que j'utilise avec autogen, vous pouvez en lire plus ici avant de continuer:
https://libvirt.org/compiling.html

Allez-y et commencez!

Vous devriez voir quelque chose comme ceci dans / var / log / messages

6. Installez virt-manager

Vous pouvez maintenant démarrer virt-manager en exécutant ./virt-manager dans le même répertoire. Ou, si vous ne souhaitez pas utiliser virt-manager et créer la machine virtuelle, vous pouvez simplement passer à l'étape 7.

7. Installez la première machine virtuelle
Laissez-nous installer un Windows XP SP0 et voir quoi. J'utilise une ancienne image iso que j'ai placée dans / root /

Lorsque l'installation est terminée, allez dans le gestionnaire de périphériques et voilá:

Gestionnaire de périphériques après les modifications QEMO

Chaque fois que vous souhaitez modifier quelque chose dans le code qemu, vous pouvez simplement réexécuter les étapes make et make install, vous mettrez à jour le binaire et les pilotes seront modifiés en conséquence.

8. Changer le BIOS
Ceci est la dernière étape si vous voulez vraiment être sournois. Lorsque vous exécutez dmidecode, il vous indiquera également qu'il s'agit de QEMU et pas autre chose.

Avis QEMU après Fabricant sur les appareils

QEMU utilise seabios, nous allons donc commencer par effectuer un clone de la dernière source et le compiler.

Le fichier de bios complété sera situé dans le dossier out et s'appelle «bios.bin». L'étape suivante consiste à l'exécuter avec certains paramètres définis («-k en» signifie clavier anglais)

Remarquez le paramètre

C'est ici que je spécifie le fichier bios que nous avons compilé.

Les autres paramètres:

C’est là que je dis de définir Dell comme fabricant et non comme QEMU. Et votre produit final, après avoir exécuté dmidecode, devrait ressembler à ceci:

dmidecode après le changement de paramètre

Vous pouvez également ajouter le fichier bios à l’aide de virsh edit et définir les paramètres suivants.

Cependant, vous avez toujours besoin des arguments smbios. Vous pouvez également ajouter les paramètres «type -smbios» dans le domaine xml pour la machine virtuelle.

C'était tout!

Références et liens


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *