抬丸郎, 這個打從我工作後算是略有小成果的一套東西 ! 從開始測試 ~ 更新 ~ 安裝 ~ 調整 ~ 至今也兩年多了 ! 慢慢的在搜尋引擎上可以找到很多的相關資料, 但是總是還有些不易讓人理解的小步驟, 有鑑於有時候在回答人問題時我自己總會有點不耐煩 . . 我決定把整個心酸路程給寫出來 ! 我只是想說 : 我愛惡搞電腦, 我可以全心投入 . . 很多事真的是需要自己花時間深入去研究的 ! 而不是 . . ㄟ . . 為什麼不會動這種鬼問題 . . 所以 ~ 這邊就特地撥空一步步的來慢慢解說一下吧 . . . 不過 ! 先容我說明一下 ! 他到底是用來幹麼的 ! 1.實際感染執行惡意程式來進行分析 2.具備快速復原能力 3.Open Source 故事是從 2009/04 左右開始 ! 由於需要開發研究一個惡意程式的分析測試平台 . . 一開始是透過這套商業軟體 Sunbelt CWSandBox 來測試, 它是建構在 Virtual Machine 上的測試環境 ! 不過 . . 我還是花了點時間 . . 將它結合了 NCHC 所開發的 CloneZilla 實作在實體環境上 可惜它要錢買的 ! 而且依我技術能力無法瞭解其整個運行過程, 更別說以它為基礎嘗試開發出另一套可供大家使用的平台了 ! 加上找到很多的相關論文都說明了 . . 1. 惡意程式大多具備偵測是否在 虛擬環境上運行的技術 2. 惡意程式大多具備偵測是否有 SandBox 在 Monitor 它 相關文章如下 : 就在苦腦怎樣進行下一步動作時 . . .時間是 2009/06 . . 我找到了這些東西, Secure Works 研究員Joe Stewart所開發 Truman, The Reusable Unknown Malware Analysis Net 還有幾篇論文 : Behavioural malware analysis using Sandnets Building an Automated Behavioral Malware Analysis Environment using Open Source Software FARM: An Automated Malware Analysis Environment 哇嗚 !!! 簡直是驚為天物呀 !!! 是個 Open Source 耶 . . 當然就二話不說的開始研究它了 ! 在此時 . . 為了要累積績效 . . 也將上面所述撰寫成一篇國內會議論文 內容結合我在碩士班時的研究 " Ontology " 發表了 . . 黃獻德, 蔡一郎, 邱敏乘, 李健興, 莊宗嚴, "知識本體於惡意程式行為分析之應用,"2009年臺灣網際網路研討會(TANET2009), 彰化, 2009. --------------------------------分隔線----------------------------------------- 但是 . . 因為缺乏設備 . . 申請設備的流程又一整個奇慢無比 . . 一開始只能很克難的使用已準備報廢的 IBM 筆電來進行安裝測試 但也還算很順利的將整個環境給建構起來 . . 一台 NB 當 Linux Server, 一台則是安裝 Win XP, 接著將 XP 調整成 PXE-BOOT . . . 嗯 ~ 這是一個很難搞的動作 ! 為了解決這個麻煩, 前後大概花了我三週 . . K 了很多的相關文件 . . http://www.wenzk.net/blog/post/233/ http://nsmwiki.org/Truman_Installation_Notes http://hi.baidu.com/rhca/blog/item/733fbc459b250f23cefca3ea.html http://syslinux.zytor.com/wiki/index.php/SYSLINUX 總算順利把 PXE-BOOT 的環境給解決了 ! 這時時間已經來到了 2009/08 這邊需要說明的是, Truman 是將 惡意程式直接在實體系統上執行 接著將整個感染過的系統使用 dd 做成 image 檔 . . 並且用來跟感染前的 image 檔進行分析比對, 這就是為什麼需要 PXE-BOOT 的原因了 ! 因為這樣才可以透過網路開機將 XP 變成 Linux . . 這樣就解決了嗎 ? 不 ~~~ 當我完成這樣的動作後 ! 也馬上發表了第二篇國內會議論文 黃獻德,李健興, 莊宗嚴, 蔡一郎, 邱敏乘, "基於知識本體之惡意程式分析平台,"2009全國計算機會議(NCS2009), 台北, 2009. 此時就已經整個 TWMAN 的雛形已經出來了 ! --------------------------------分隔線----------------------------------------- 可能會有人發現 . . 怎會冒出一個可愛的 Logo 呢 ? 在某一個晚上 . . 為了想要跟原始的 Truman 做出區別 . . 我發現 Truman . . 不仔細看會感覺像是 " 真男人 " 而它的原文是 " The Reusable Unknown Malware Analysis Net " 意即 " 可重覆使用的惡意程式分析網 " . . 我第一個念頭便是針對 " 真男人 " 來改進 . . 於是我想到了 " 臺灣人 " . . 意外又發現 傳說中很愛噹我 的 海苔仙人 MSN 匿稱寫著 " 愛抬丸 " . . 厚厚 ~ 靈機一動 . . TWMAN ( 抬丸郎 )就這樣誕生了 ! 原文則是 TaiWan Malware Analysis Net ( 台灣惡意程式分析網 ) . . 也委請 海苔仙人幫忙設計了那簡單明白又可愛的 Logo . . 這時時間已經來到 2009/09 了 ! --------------------------------分隔線----------------------------------------- 後來 ! 發現在用來 PXE-BOOT 裡的 initrd img 裡面大有玄機 . . 為了瞭解 核心 的差異 一樣也又研究了好多的文章 http://www.ibm.com/developerworks/cn/linux/l-k26initrd/ http://blog.csdn.net/jiazhen/archive/2009/03/25/4022800.aspx http://wiki.openvz.org/Modifying_initrd_image http://sial.org/howto/linux/initrd/ 但是這舊型的網卡 . . 分析一隻惡意程式整個流程 大概要花一個小時 . . 於是 . . 這時候 ! Figaro 大師出現了 ! 花了很多的時間跟他討論以及測試 ! 終於把整個 initrd image 的功能以及細項大約的瞭解了 ! 也決定朝修正這個問題來進行下一步 . . 而這時已經是 2009/10 了 !!! --------------------------------分隔線----------------------------------------- 為了解決核心重編的麻煩 ! 研究了 Figaro 大師的文章 然後開始嘗試將其重新編譯 . . . 而有了如下的一些過程圖片 好不容易的將 核心 重新編譯完成後 . . 生出了 PXE-BOOT 所需使用的 vmlinuz 原本打算要再修改 initrd 的 . . 但礙於要盡快解決 MJIB 的一個 Project . . 並未再深入修正 . . 但是 ~ 這時候 ~ 因為可以使用 1000Mbps 的網卡 . . 分析一隻惡意程式的時間已經從 60 分鐘 縮短到 40 分鐘了 ! 當然 ~ 沒記錯的話這時已經是 2009/11 了 !!! --------------------------------分隔線----------------------------------------- 這時候, 開始調整 一開始的計畫 . . 原先預計 國內會議論文 * 1 --> 國內期刊論文 * 1 --> 國外會議論文 * 1 不小心變成 國內會議論文 * 2 . . . 只好硬著頭皮朝 國外會議論文 * 1 還有 送審 國科會計畫 開始努力 . . 時間居然一轉眼的來到了 2009/12 並且拜托 IDN-Mei 的 這位美少女 幫忙設計網頁, 也把所跑完的分析報告略做調整 . . 修正很多小功能 一直到了 2010/02 . . 將網站發佈到 SourceForge . . 還有 Google Site . . http://twman.sourceforge.net/ http://sites.google.com/site/twmantwman/ 計畫順利的送審 . . 國外會議論文也順利的投出 . . 當然我也沒忘記一開始用過的 Clonezilla . . 多虧公司前輩 民哥 以及 Steven 組長 的協助 . . TWMAN 為了加快其分析的速度 . . 整合了 Clonezilla-Live 在感染後採用 dd 做映像檔存至 Server . . 進行分析比對 接著直接使用 Clonezilla 裡的 Partimage 來還原 . . . 整個時間已經縮短至分析一隻惡意程式約需 20 ~ 25 分鐘 . . 就這樣的時間已經到了 2010/04 . . TWMAN 目前很正常持續的分析所搜集到的 惡意程式 中英文網站已經完成 . . 國外會議論文也已經被接受 . . 準備 2010/07 出發去報告 . . 以上 !!! 就是 抬丸郎 的 誕生過程之心酸血淚史 . . 為了他 ~ 還真是花掉了我好多的時間 . . . 只是正當我自以為而看起來也正慢慢開始有點小成果時 ... 2010-06-24 Prof. Loia 來訪 NCHC 2010/07/19 我在 Barcelona, Spain 報告論文 2010/09/24 獲邀至憲兵司令部 數位鑑識中心 演講 2010/11/03 國科會來訪審查計畫進度 接著 ... 適逢 中華民國 100 年 ... 整個網站便進行大改版 更讓人意外的 .... 嘗試針對 TWMAN 撰寫一論文投搞 ! 也被接受了 ... 就這樣在 2011年04月自費去法國參加了這個研討會 也跟自己的指導老師 李健興教授 還有 郭耀煌教授 參加了 台灣與英國頂尖大學前期合作研究計畫 2010 Initiative Research Cooperation among Top Universities between UK and Taiwan 申請計畫 " Type-2 fuzzy ontology model and its applications " 且通過了 (Link) ! 以為一切非常順利嗎 ? ... 其實 ... 我深深體驗到了大人的世界是如此的複雜深澳 ... 我永遠記得當初我是多麼的欣喜若狂的來到這裡 我真的只是想要好好的享受開心享受做研究的快樂 但這時研發替代役役期只剩不到 50 天 ... H. D. Huang, G. Acampora, V. Loia, C. S. Lee, H. Hagras, M. H. Wang, H. Y. Kao, and J. G. Chang, "Fuzzy Markup Language for Malware Behavioral Analysis," (Book Chapter) On the Power of Fuzzy Markup Language, Springer-Verlag, 2011. (Submitted) 仍一步步的依照年初所訂目標 ... 陸續的完成了相關 KPI ... 接著就是繼續往推廣至國際前進 ... 感謝您看到這邊,如果您有興趣歡迎持續關注這裡 ... ~~~ 這就是抬丸郎的血淚史呀 ~~~ 有鑑於好多人問我為啥要放棄一個薪水不錯的工作,我的答案是: 當你無法改變自己適應環境而環境也無法被你改變, 除了默默離開這選擇還能怎樣。 或許我應該適應環境動動口就好,不用自己一人搞的那麼累,但我就是不喜歡只嘴炮。 過去我只記得申請電腦三次都不給過要我一個人做出東西很困難。 現在我只是單純不想輕易放棄這花了我好多精神跟時間所想出來的小東西而已。 而人生就是要充滿許多不確定的變數,並且一一去征服才精采不是 ? 如果我選擇不甘不願的留下,那又怎對的起過去十年我為了找尋我的興趣所耗的時間呢 ? 拿得起就要放的下,所以就不要再問我到底為啥要役畢選擇離職了。 |
@TWMAN > Introduction (介紹) >