إطلاق REMnux 7.0، وهو توزيع لتحليل البرامج الضارة

خمس سنوات منذ صدور العدد الأخير شكلت إصدار جديد من توزيعة لينكس المتخصصة REM nux 7.0، مصمم لدراسة وعكس هندسة كود البرامج الضارة. أثناء عملية التحليل، يتيح لك REMnux توفير بيئة معملية معزولة يمكنك من خلالها محاكاة تشغيل خدمة شبكة معينة تتعرض للهجوم لدراسة سلوك البرامج الضارة في ظروف قريبة من الظروف الحقيقية. مجال آخر لتطبيق REMnux هو دراسة خصائص الإدخالات الضارة على مواقع الويب المطبقة في JavaScript.

التوزيع مبني على قاعدة حزمة Ubuntu 18.04 ويستخدم بيئة مستخدم LXDE. يأتي Firefox مزودًا بوظيفة NoScript الإضافية كمتصفح ويب. تتضمن مجموعة التوزيع مجموعة كاملة إلى حد ما من الأدوات لتحليل البرامج الضارة، والأدوات المساعدة لرمز الهندسة العكسية، وبرامج لدراسة ملفات PDF ومستندات المكتب التي تم تعديلها بواسطة المهاجمين، وأدوات مراقبة النشاط في النظام. مقاس صورة التمهيد REMnux، تم تشكيلها من أجل إطلاق أما داخل أنظمة المحاكاة الافتراضية فتبلغ 5.2 جيجا بايت. في الإصدار الجديد، تم تحديث جميع الأدوات المقدمة، وتم توسيع تكوين التوزيع بشكل كبير (تضاعف حجم صورة الجهاز الظاهري). وتنقسم قائمة المرافق المقترحة إلى فئات.

تتضمن المجموعة ما يلي أدوات:

• تحليل الموقع: سفاح, ميتمبروكسي, الطبعة المجانية لعمال المناجم في الشبكة, حليقة, wget, Burp Proxy الإصدار المجاني, آلي, com.pdnstool, تور, com.tcpextract, com.tcpflow, passive.py, CapTipper, yaraPcap.py;
• تحليل مقاطع فيديو الفلاش الضارة: xxxswf, أدوات SWF, RABCDAsm, extract_swf, توهج;
• تحليل جافا: محلل جافا ذاكرة التخزين المؤقت IDX, JD-GUI جافا المنقح, JAD جافا المنقح, جافاسست, CFR;
• تحليل جافا سكريبت: مصحح وحيد القرن, ExtractScripts, القرد العنكبوت, V8, شبيبة التجميل;
• تحليل قوات الدفاع الشعبي: تحليلPDF, pdfbjflow, pdfid, محلل pdf, com.peepdf, اوريغامي, PDF X-RAY لايت, بدفتك, swf_mastah, com.qpdf, pdf صحيح;
• تحليل مستندات مايكروسوفت أوفيس: com.officeparser, pyOLEScanner.py, oletools, libolecf, oledump, com.emldump, MSGConvert, base64dump.py, يونيكود;
• تحليل كود القشرة: com.sctest، unicode2hex-escaped، unicode2raw، تفكيك هذا, shellcode2exe;
• جلب التشويش إلى شكل قابل للقراءة (إزالة التشويش): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, com.xortool, NoMoreXOR, XORBruteForcer, بالبوزارد, FLOSS
• استخراج بيانات السلسلة: com.strdeobj, بيستر, سلاسل;
• استرداد الملف: في المقام الأول, مشرط, Bulk_extractor, قاطع متناوب;
• مراقبة نشاط الشبكة: يريشارك, نجريب, تفريغ TCP, com.tcpick;
• خدمات الشبكة: FakeDNS, إنجن إكس, com.fakeMail, معسل, INetSim, إلهام IRCd, بينسه، قبول الكل-IPS؛
• مرافق الشبكة: beautifulping.sh، تعيين-ثابت-ip، تجديد-dhcp، نتكات, عميل EPIC IRC, stunnel, فقط البيانات الوصفية;
• العمل مع مجموعة من أمثلة البرامج الضارة: مالترييف, راجبيكر, أفعى سامة, الدرواس, كشاف الكثافة;
• تعريف التوقيعات: يارا مولد, IOCextractor, حكم تلقائي, محرر القواعد, ioc-parser;
• يتم المسح: يارا, كلاماف, TRIDEM, ExifTool, Virustotal-إرسال, ديسيتول;
• العمل مع التجزئة: nsrlookup, آلي, معرف التجزئة, com.totalhash, com.ssdeep, Virustotal-search, VirusTotalApi;
• تحليل البرامج الضارة لنظام التشغيل Linux: سيسديج, إظهار
• المفككات: تشريح, اوديس86, com.objdump;
• مصححات الأخطاء: مصحح أخطاء إيفان (EDB), مصحح أخطاء مشروع جنو (GDB);
• أنظمة التتبع: عنيد, ltrace
• يفتش: الرادار 2, بيو, الدولارات, m2elf, محلل ELF;
• التعامل مع البيانات النصية: سايت, Geany, همة;
• العمل مع الصور: feh, يماغيماغيك;
• العمل مع الملفات الثنائية: wxHexEditor, VBinDiff;
• تحليل تفريغ الذاكرة: تقلب الإطار, findaes، AESKeyFinder، RSAKeyFinder، VolDiff, اعد الاتصال, linux_mem_diff_tool;
• تحليل ملفات PE القابلة للتنفيذ UPX, بايتيهيست, كشاف الكثافة, معرف باكر, com.objdump, اوديس86, تشريح, Signsrch, com.pescanner, إكسسكان, بيف, بيفريم, pedump, الدولارات, RATDecoders, بيو, readpe.py, مستخرج PyInstaller, DC3-MWCP;
• تحليل البرامج الضارة للأجهزة المحمولة: أندروارن, أندروغارد.

المصدر: opennet.ru