» REMnux — programy do analizy złośliwego oprogramowania -- Niebezpiecznik.pl --

11:15
12/7/2010

REMnux — programy do analizy złośliwego oprogramowania

Autor: Piotr Konieczny | Tagi: analiza, forensic, malware, ochrona, Programy, reverse engineering

REMnux to opartna na Ubuntu dystrubucja Linuksa, dedykowana wszystkim tym, którzy chcą poddać analizie oprogramowanie (w większości przypadków, złośliwe).

REMnux — Reverse Engineering Malware

Analiza złośliwego oprogramowania przy pomocy REMnuksa w większości przypadków będzie polegała na zainfekowaniu jakiegoś hosta badanym malwarem i przekierowaniu wszystkich jego połączeń na maszynę pracującą pod kontrolą REMnuksa. REMnux nasłuchuje na wykorzystywanych przez złośliwego oprogramowanie portach i poddaje spływające doń dane analizie.

REMnux

REMnux umożliwia także analizę złośliwego oprogramowania (JavaScript, Java, Flash) na stronach internetowych (por. nasz artykuł o exploit packach i przykładową analizę złośliwej aplikacji na Facebooku).

REMnux, lista narzędzi

Dystrybucja REMnux wspiera również analizę złośliwych dokumentów Microsoft Office, Adobe PDF oraz częściowo pozwala na analizę powłamaniową w oparciu o zrzuty pamięci. Poniżej wybór narzędzi wbudowanych w REMnuksa:

Analiza Flasha: swftools, flasm, flare
Analiza botnetów IRC: IRC server (Inspire IRCd) IRC client (Irssi).
Analiza ruchu sieciowego: Wireshark, Honeyd, INetSim, fakedns fakesmtp scripts oraz NetCat
Deobfuskacja Java Script: Firefox i Firebug, NoScript oraz JavaScript Deobfuscator, Rhino debugger, a także SpiderMonkey, Windows Script Decoder, Jsunpack-n
Web malware: TinyHTTPd, Paros proxy
Analiza shellkodu: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
Analiza oprogramowania: upx, packerid, bytehist, xorsearch, TRiD
Analiza plików PDF: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk
Analiza pamięci: Volatility Framework oraz malware-related plugins
Inne: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server

REMnuksa ściągniesz stąd (VMware).

Dane logowania do systemu REMnux

login: remnux, password: malware

Inne dystrybucje do analizy malware’u

Oprócz REMnuksa jest jeszcze (SIFT) SANS Investigative Forensic Toolkit (VMware, nie tylko analiza malware’u ale i forensic) oraz Zero Wine (wirtualna maszyna QEMU z Debianem na pokładzie).

Przypominamy, że zarówno podstaw reverse engineeringu jak i zaawansowanej analizy malware’u możesz nauczyć się na niebezpiecznikowych szkoleniach.

Pamiętajcie, że powyższe narzędzia nie są doskonałe jeśli chodzi o analizę złośliwego oprogramowania. Współczesny malware z reguły zawiera kod pozwalający mu na wykrycie, czy jest analizowany (por. 10 lat “łamania” Skype’a) lub odpalany w wirtualnej maszynie.

Gdyby ktoś z Was chciałby się podzielić na łamach Niebezpiecznika wrażeniami z zabawy w/w maszynkami, czekamy na e-maile.

Przeczytaj także:

Niebezpiecznik

4 komentarzy

Dodaj komentarz

Vimes 2010.07.12 11:31 | # | Reply

Cały news poszedł w RSSie nie podobne do niebezpiecznika…
maettd 2010.07.12 12:15 | # | Reply

Wszystkie te toolsy to ja większość standardowe programy używane przez ludzi którzy tworzą aplikacje webowe lub analizują sieć. Nic szczególnego :]
Sayane 2010.07.12 12:50 | # | Reply

“Deobfuskacja Javy”. Powinno raczej być “Java Scriptu”.
- Piotr Konieczny 2010.07.12 13:42 | # |
  
  Sayane: ała. Poprawione.

Niebezpiecznik