Обърнете инженера и анализирайте Malware с REMnux
Заразяването с злонамерен софтуер е лесно. Просто трябва да отворите подозрителен файл или да посетите злонамерен уебсайт, а бумът на компютъра ви е заразен. От друга страна, анализирането и обръщането на злонамерен софтуер е много трудна задача, която специалистите могат да правят само със специализирани инструменти. Ако сте един от тези, които са любопитни за това как работи злонамереният софтуер, има дистрибуция на Линукс, която идва с всички необходими инструменти, за да анализирате злонамерения софтуер.
REMnux е лека дистрибуция на Линукс, която ви позволява да извършвате злонамерен софтуер или дори да реверсирате зловреден софтуер, за да разберете как работи.
REMnux се използва най-добре в изолирана среда, като виртуална машина или Live CD, така че зловредният софтуер да не навреди на главната машина. Той идва във формат OVF / OVA, където можете лесно да импортирате във виртуалната си машина като VirtualBox или VMware. Има и изображение ISO, в което можете да записвате в компактдиск и да го стартирате на компютъра си.
REMnux се базира на Ubuntu и идва с работния плот LXDE, главно поради малкия си размер на паметта. При първото тичане може да нямате представа какво е способно да прави REMnux и какви инструменти са включени. Проверката на менюто на приложението не е полезна, тъй като повечето от инструментите са базирани на командния ред и не се показват в менюто. Един добър начин да започнете е да преминете през "Съветът REMnux" на работния плот. Това ще ви даде общ преглед на това, което REMnux може да направи и инструкциите за извършване на анализа.
Неща, които REMnux може да направи:
Анализ на зловреден софтуер в мрежата
Има няколко свързани с мрежата инструменти в REMnux, които ви позволяват лесно да сканирате мрежата за злонамерен софтуер. Wireshark е анализатор на мрежови протоколи и е идеален за гледане на мрежовите ви дейности на микроскопично ниво. Honeyd, stunnel и FakeDNS са полезни за създаване на виртуални контейнери, за да се симулира безкраен брой компютърни мрежи и да се създаде перфектното място за анализ на зловреден софтуер.
Анализирайте злонамерения уебсайт
Браузърът Firefox в REMnux идва с много полезни разширения, предварително инсталирани, за да ви помогнат да анализирате злонамерения уебсайт. Firebug, javascript deobfuscator, данни за фалшификати и превключвател на потребителски агенти са някои от тях, които ви улесняват да проверите работата на злонамерен сайт.
Анализирайте злонамерени файлове
Ако имате PDF файл или документ на Microsoft Office, за който подозирате, че е заразен, можете да сканирате документите с инструменти като PDF Walker, pyOLEScanner и т.н. Също така има PEScanner и SCTest за сканиране на изпълними файлове и shellcode.
Променливата памет на Forsenic Framework също е включена в REMnux и може да ви даде представа за състоянието на работа на системата. Той може да открие скрити процеси, да изброява всички процеси, да показва ключ за регистъра или дори да открива и извлича злонамерен софтуер.
заключение
Доброто нещо за REMnux е, че съдържа повечето от инструментите, които трябва да анализирате PDF, Flash, Javascript и друг злонамерен софтуер. Разбира се, можете да инсталирате тези инструменти на текущото си дистрибуция, но това ще изисква много време и конфигурация. С REMnux току-що го стартирате и можете да го пуснете веднага. Едно нещо, обаче, REMnux не е предназначен за всички. Бъдете готови да си ръцете мръсни, тъй като повечето от инструментите са базирани на командния ред.