Platformy reverzního inženýrství
REMnux Linux
Platforma pro reverzní analýzu virů
REMnux je zdarma Linux nástroj pro pomoc malware analytiků s reverzní inženýrství škodlivého softwaru. Usiluje o to, aby bylo jednodušší pro forenzní vyšetřovatele a incidentů respondentů začít používat rozmanitost volně dostupných nástrojů, které může zkoumat malware, přesto může být obtížné najít nebo nastavit. Srdcem projektu je distribuce REMnux Linuxu založená na Ubuntu , Tento lehký distro zahrnuje celou řadu nástrojů pro analýzu Windows a Linux malware, zkoumání hrozeb na bázi prohlížeče jako je popletl JavaScript, zkoumá podezřelé soubory dokumentů a rozebírání další škodlivé artefakty. Vyšetřovatelé mohou také využít distro zachytit podezřelý síťový provoz v izolované laboratoři při provádění analýzy chování malwaru. REMnux 6 obsahuje následující nástroje, které nebyly součástí distribuce v dřívějších verzích:
pedump , readpe.py : Staticky zkoumat vlastnosti souboru Windows PE
VirusTotal-tools : Pracovat s VirusTotal databáze z příkazového řádku
Nginx :
Webový server, který nahrazuje Tiny HTTPD , který byl přítomen na REMnux
dřívější
VolDiff : Porovnejte paměti forenzní obrazy na místě změny pomocí
Volatilita
Pravidlo Editor : Úprava pravidel MOV Yara, Snort a OpenIOC,
nahrazovat jeho předchůdce Yara Editor
Rekall : Paměť forenzní nástroj a
rámec
m2elf : Vytvořte ELF binární soubor z shell kód
Yara Pravidla :
Podpisy pro nanášení škodlivé vlastnosti v souborech
OfficeDissector doga
plugins : Prověřit Microsoft Office XML souborů na bázi pomocí mastif
Docker
: spouštět aplikace jako izolované nádoby na lokálním počítači
AndroGuard :
Analyzovat podezřelých Android aplikací
vtTool : Určit malware příjmení
exempláře tím, že dotazování VirusTotal
oletools , libolecf : Analýza
Microsoft Office OLE2 soubory
tcpflow : Zkontrolujte síťový provoz a vyřezat
pcap sběrné soubory
passive.py: Provést pasivní vyhledávání DNS pomocí
knihovny PDNS
CapTipper : Zkontrolujte síťový provoz a vyřezat pcap sběrné
soubory
oledump : Zkontrolujte podezřelé soubory Microsoft Office
CFR :
Dekompilovat podezřelé soubory třídy Java
aktualizace-remnux: Aktualizace
distro, upgrade svého softwaru a instalace nově přidané nástroje
REMnux 6 také obsahuje následující knihovny, které vývojáři softwaru mohou
využít pro budování nových nástrojů a úkoly malware analýza:
IOC Writer :
Python knihovna pro vytváření a editaci OpenIOC objektů
Cybox : Python
knihovna pro analýzu, manipulaci, a generování obsahu CybOX
diStorm3 ,
Capstone : Python knihovny pro demontáž binární soubory
pylibemu : Python
knihovna pro přístup libemu funkce emulace shellcode
Yara knihovna : Python
knihovna pro identifikaci a klasifikaci vzorků malwaru
olefile : Python
knihovna pro čtení / zápis Microsoft Office OLE2 soubory
PyV8 : Python
wrapper knihovna pro V8 motor JavaScript
pyssdeep : Python wrapper knihovna
pro ssdeep Fuzzy hash nástroj
pyexiftool : Python wrapper knihovna pro
ExifTool
OfficeDissector : Python knihovna podezřelé Microsoft Office souborů
XML
PDNS: Python knihovna pro provádění pasivních vyhledávání DNS
Javassist : Java knihovna, která pomáhá s zkoumání Java bytecode
REMnux se
udržuje, Lenny Zeltser a David Westcott.