11:15
12/7/2010

REMnux to opartna na Ubuntu dystrubucja Linuksa, dedykowana wszystkim tym, którzy chcą poddać analizie oprogramowanie (w większości przypadków, złośliwe).

REMnux — Reverse Engineering Malware

Analiza złośliwego oprogramowania przy pomocy REMnuksa w większości przypadków będzie polegała na zainfekowaniu jakiegoś hosta badanym malwarem i przekierowaniu wszystkich jego połączeń na maszynę pracującą pod kontrolą REMnuksa. REMnux nasłuchuje na wykorzystywanych przez złośliwego oprogramowanie portach i poddaje spływające doń dane analizie.

REMnux

REMnux umożliwia także analizę złośliwego oprogramowania (JavaScript, Java, Flash) na stronach internetowych (por. nasz artykuł o exploit packach i przykładową analizę złośliwej aplikacji na Facebooku).

REMnux, lista narzędzi

Dystrybucja REMnux wspiera również analizę złośliwych dokumentów Microsoft Office, Adobe PDF oraz częściowo pozwala na analizę powłamaniową w oparciu o zrzuty pamięci. Poniżej wybór narzędzi wbudowanych w REMnuksa:

REMnuksa ściągniesz stąd (VMware).

Dane logowania do systemu REMnux

login: remnux,
password: malware

Inne dystrybucje do analizy malware’u

Oprócz REMnuksa jest jeszcze (SIFT) SANS Investigative Forensic Toolkit (VMware, nie tylko analiza malware’u ale i forensic) oraz Zero Wine (wirtualna maszyna QEMU z Debianem na pokładzie).

Przypominamy, że zarówno podstaw reverse engineeringu jak i zaawansowanej analizy malware’u możesz nauczyć się na niebezpiecznikowych szkoleniach.
Pamiętajcie, że powyższe narzędzia nie są doskonałe jeśli chodzi o analizę złośliwego oprogramowania. Współczesny malware z reguły zawiera kod pozwalający mu na wykrycie, czy jest analizowany (por. 10 lat “łamania” Skype’a) lub odpalany w wirtualnej maszynie.

Gdyby ktoś z Was chciałby się podzielić na łamach Niebezpiecznika wrażeniami z zabawy w/w maszynkami, czekamy na e-maile.

Przeczytaj także:

4 komentarzy

Dodaj komentarz
  1. Cały news poszedł w RSSie nie podobne do niebezpiecznika…

  2. Wszystkie te toolsy to ja większość standardowe programy używane przez ludzi którzy tworzą aplikacje webowe lub analizują sieć. Nic szczególnego :]

  3. “Deobfuskacja Javy”. Powinno raczej być “Java Scriptu”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: