Platformy reverzního inženýrství

 

REMnux Linux

Platforma pro reverzní analýzu virů

REMnux je zdarma Linux nástroj pro pomoc malware analytiků s reverzní inženýrství škodlivého softwaru. Usiluje o to, aby bylo jednodušší pro forenzní vyšetřovatele a incidentů respondentů začít používat rozmanitost volně dostupných nástrojů, které může zkoumat malware, přesto může být obtížné najít nebo nastavit. Srdcem projektu je distribuce REMnux Linuxu založená na Ubuntu , Tento lehký distro zahrnuje celou řadu nástrojů pro analýzu Windows a Linux malware, zkoumání hrozeb na bázi prohlížeče jako je popletl JavaScript, zkoumá podezřelé soubory dokumentů a rozebírání další škodlivé artefakty. Vyšetřovatelé mohou také využít distro zachytit podezřelý síťový provoz v izolované laboratoři při provádění analýzy chování malwaru. REMnux 6 obsahuje následující nástroje, které nebyly součástí distribuce v dřívějších verzích:

 

pedump , readpe.py : Staticky zkoumat vlastnosti souboru Windows PE
VirusTotal-tools : Pracovat s VirusTotal databáze z příkazového řádku
Nginx : Webový server, který nahrazuje Tiny HTTPD , který byl přítomen na REMnux dřívější
VolDiff : Porovnejte paměti forenzní obrazy na místě změny pomocí Volatilita
Pravidlo Editor : Úprava pravidel MOV Yara, Snort a OpenIOC, nahrazovat jeho předchůdce Yara Editor
Rekall : Paměť forenzní nástroj a rámec
m2elf : Vytvořte ELF binární soubor z shell kód
Yara Pravidla : Podpisy pro nanášení škodlivé vlastnosti v souborech
OfficeDissector doga plugins : Prověřit Microsoft Office XML souborů na bázi pomocí mastif
Docker : spouštět aplikace jako izolované nádoby na lokálním počítači
AndroGuard : Analyzovat podezřelých Android aplikací
vtTool : Určit malware příjmení exempláře tím, že dotazování VirusTotal
oletools , libolecf : Analýza Microsoft Office OLE2 soubory
tcpflow : Zkontrolujte síťový provoz a vyřezat pcap sběrné soubory
passive.py: Provést pasivní vyhledávání DNS pomocí knihovny PDNS
CapTipper : Zkontrolujte síťový provoz a vyřezat pcap sběrné soubory
oledump : Zkontrolujte podezřelé soubory Microsoft Office
CFR : Dekompilovat podezřelé soubory třídy Java
aktualizace-remnux: Aktualizace distro, upgrade svého softwaru a instalace nově přidané nástroje


REMnux 6 také obsahuje následující knihovny, které vývojáři softwaru mohou využít pro budování nových nástrojů a úkoly malware analýza:
IOC Writer : Python knihovna pro vytváření a editaci OpenIOC objektů
Cybox : Python knihovna pro analýzu, manipulaci, a generování obsahu CybOX
diStorm3 , Capstone : Python knihovny pro demontáž binární soubory
pylibemu : Python knihovna pro přístup libemu funkce emulace shellcode
Yara knihovna : Python knihovna pro identifikaci a klasifikaci vzorků malwaru
olefile : Python knihovna pro čtení / zápis Microsoft Office OLE2 soubory
PyV8 : Python wrapper knihovna pro V8 motor JavaScript
pyssdeep : Python wrapper knihovna pro ssdeep Fuzzy hash nástroj
pyexiftool : Python wrapper knihovna pro ExifTool
OfficeDissector : Python knihovna podezřelé Microsoft Office souborů XML
PDNS: Python knihovna pro provádění pasivních vyhledávání DNS
Javassist : Java knihovna, která pomáhá s zkoumání Java bytecode
REMnux se udržuje, Lenny Zeltser a David Westcott.

 

Zde Stahujte