12/7/2010
REMnux to opartna na Ubuntu dystrubucja Linuksa, dedykowana wszystkim tym, którzy chcą poddać analizie oprogramowanie (w większości przypadków, złośliwe).
REMnux — Reverse Engineering Malware
Analiza złośliwego oprogramowania przy pomocy REMnuksa w większości przypadków będzie polegała na zainfekowaniu jakiegoś hosta badanym malwarem i przekierowaniu wszystkich jego połączeń na maszynę pracującą pod kontrolą REMnuksa. REMnux nasłuchuje na wykorzystywanych przez złośliwego oprogramowanie portach i poddaje spływające doń dane analizie.
REMnux umożliwia także analizę złośliwego oprogramowania (JavaScript, Java, Flash) na stronach internetowych (por. nasz artykuł o exploit packach i przykładową analizę złośliwej aplikacji na Facebooku).
REMnux, lista narzędzi
Dystrybucja REMnux wspiera również analizę złośliwych dokumentów Microsoft Office, Adobe PDF oraz częściowo pozwala na analizę powłamaniową w oparciu o zrzuty pamięci. Poniżej wybór narzędzi wbudowanych w REMnuksa:
- Analiza Flasha: swftools, flasm, flare
- Analiza botnetów IRC: IRC server (Inspire IRCd) IRC client (Irssi).
- Analiza ruchu sieciowego: Wireshark, Honeyd, INetSim, fakedns fakesmtp scripts oraz NetCat
- Deobfuskacja Java Script: Firefox i Firebug, NoScript oraz JavaScript Deobfuscator, Rhino debugger, a także SpiderMonkey, Windows Script Decoder, Jsunpack-n
- Web malware: TinyHTTPd, Paros proxy
- Analiza shellkodu: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
- Analiza oprogramowania: upx, packerid, bytehist, xorsearch, TRiD
- Analiza plików PDF: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk
- Analiza pamięci: Volatility Framework oraz malware-related plugins
- Inne: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server
Dane logowania do systemu REMnux
login: remnux,
password: malware
Inne dystrybucje do analizy malware’u
Oprócz REMnuksa jest jeszcze (SIFT) SANS Investigative Forensic Toolkit (VMware, nie tylko analiza malware’u ale i forensic) oraz Zero Wine (wirtualna maszyna QEMU z Debianem na pokładzie).
Gdyby ktoś z Was chciałby się podzielić na łamach Niebezpiecznika wrażeniami z zabawy w/w maszynkami, czekamy na e-maile.
Cały news poszedł w RSSie nie podobne do niebezpiecznika…
Wszystkie te toolsy to ja większość standardowe programy używane przez ludzi którzy tworzą aplikacje webowe lub analizują sieć. Nic szczególnego :]
“Deobfuskacja Javy”. Powinno raczej być “Java Scriptu”.
Sayane: ała. Poprawione.