NÁSTROJE
Mezitím si můžete již stáhnout některé z výzkumných nástrojů:
PANDA je platforma pro Architektura Neutral dynamická analýza. Je to
platforma založená na QEMU 1.0.1 a LLVM 3.3 pro provádění dynamickou analýzu
softwaru, abstrahování detaily architektury úrovni pryč s pluginy čisté
rozhraní. V současné době je vyvíjen ve spolupráci s MIT Lincoln Laboratory,
Georgia Tech a Severovýchodní univerzita.
FUNCAP je skript pro záznam volání funkce (a vrací) přes spustitelný
soubor pomocí IDA debugger API, spolu se všemi předaných argumentů. To vypíše
informace do textového souboru, a také vloží ho do IDA vložených komentářů.
Tímto způsobem, statická analýza, která obvykle navazuje na analýzu chování
runtime při analýze malware, mohou být přímo krmena runtime informací, jako
dešifrovaných řetězců vrácené v argumentech funkce je
Jeden prezentace zmínil rámec pro reverzní inženýrství, které považuji za hodné
seznam zde.
Miasma 2 je aa zdarma a open source (GPLv2) reverzní inženýrství
rámec. V jeho pojetí se zaměřuje na analýzu / upravit / generovat binární
programy. Schopnosti představují sestavu sémantické pomocí zprostředkující
jazyk, emulovat pomocí JIT (dynamická analýza kódu, vybalování) a výraz
zjednodušení pro automatické de-mlžení
-------------------------------------------------------------------------------------------------------------------------------------
Reverzní inženýrství Malware analýzy
-
pedump , readpe.py :
Staticky zkoumat vlastnosti souboru Windows PE
-
VirusTotal-tools :
Pracovat s VirusTotal databáze
z příkazového řádku
-
Nginx :
Webový server, který nahrazuje Tiny
HTTPD ,
který byl přítomen na REMnux dřívější
-
VolDiff :
Porovnejte paměti forenzní obrazy na místě změny pomocí Volatilita
-
Pravidlo Editor :
Úprava pravidel MOV Yara, Snort a OpenIOC, nahrazovat jeho předchůdce Yara
Editor
-
Rekall :
Paměť forenzní nástroj a rámec
-
m2elf :
Vytvořte ELF binární soubor z shell kód
-
Yara Pravidla :
Podpisy pro nanášení škodlivé vlastnosti v souborech
-
OfficeDissector doga plugins :
Prověřit Microsoft Office XML souborů na bázi pomocí mastif
-
Docker :
spouštět aplikace jako izolované nádoby na lokálním počítači
-
AndroGuard :
Analyzovat podezřelých Android aplikací
-
vtTool :
Určit malware příjmení exempláře tím, že dotazování VirusTotal
-
oletools , libolecf :
Analýza Microsoft Office OLE2 soubory
-
tcpflow :
Zkontrolujte síťový provoz a vyřezat pcap sběrné soubory
-
passive.py: Provést pasivní vyhledávání DNS pomocí knihovny PDNS
-
CapTipper :
Zkontrolujte síťový provoz a vyřezat pcap sběrné soubory
-
oledump :
Zkontrolujte podezřelé soubory Microsoft Office
-
CFR :
Dekompilovat podezřelé soubory třídy Java
-
aktualizace-remnux: Aktualizace distro, upgrade svého softwaru a instalace
nově přidané nástroje
Knihovny pro analýzy
-
IOC Writer :
Python knihovna pro vytváření a editaci OpenIOC objektů
-
Cybox :
Python knihovna pro analýzu, manipulaci, a generování obsahu CybOX
-
diStorm3 , Capstone :
Python knihovny pro demontáž binární soubory
-
pylibemu :
Python knihovna pro přístup libemu funkce
emulace shellcode
-
Yara knihovna :
Python knihovna pro identifikaci a klasifikaci vzorků malwaru
-
olefile :
Python knihovna pro čtení / zápis Microsoft Office OLE2 soubory
-
PyV8 :
Python wrapper knihovna pro V8 motor
JavaScript
-
pyssdeep :
Python wrapper knihovna pro ssdeep Fuzzy
hash nástroj
-
pyexiftool :
Python wrapper knihovna pro ExifTool
-
OfficeDissector :
Python knihovna podezřelé Microsoft Office souborů XML
-
PDNS: Python knihovna pro provádění pasivních vyhledávání DNS
-
Javassist :
Java knihovna, která pomáhá s zkoumání Java bytecode