REMnux 7.0 جو رليز، هڪ مالويئر تجزيو ورهائڻ

آخري شماري جي اشاعت کان پنج سال ٺهيل هڪ خاص لينڪس ڊويزن جي نئين رليز ريمنڪس 7.0، انجنيئر مالويئر ڪوڊ جي مطالعي ۽ ريورس ڪرڻ لاءِ ٺهيل. تجزيي جي عمل دوران، REMnux توهان کي هڪ الڳ ليبارٽري ماحول مهيا ڪرڻ جي اجازت ڏئي ٿو جنهن ۾ توهان حملي هيٺ هڪ مخصوص نيٽ ورڪ سروس جي آپريشن کي نقل ڪري سگهو ٿا ته جيئن حقيقي ماڻهن جي ويجهو حالتن ۾ مالويئر جي رويي جو مطالعو ڪيو وڃي. REMnux جي ايپليڪيشن جو ٻيو علائقو جاوا اسڪرپٽ ۾ لاڳو ڪيل ويب سائيٽن تي بدسلوڪي داخلن جي ملڪيت جو مطالعو آهي.

تقسيم Ubuntu 18.04 پيڪيج جي بنياد تي ٺهيل آهي ۽ LXDE صارف ماحول کي استعمال ڪري ٿو. فائر فاڪس NoScript add-on سان گڏ اچي ٿو ويب برائوزر جي طور تي. تقسيم کٽ ۾ مالويئر جي تجزيي لاءِ اوزارن جي مڪمل چونڊ، ريورس انجنيئرنگ ڪوڊ لاءِ يوٽيلٽيز، پي ڊي ايف جي مطالعي لاءِ پروگرام ۽ حملي ڪندڙن پاران تبديل ٿيل آفيس دستاويز، ۽ سسٽم ۾ سرگرمي جي نگراني لاءِ اوزار شامل آهن. ماپ بوٽ تصوير REMnux، لاء ٺهيل لانچ ورچوئلائيزيشن سسٽم اندر، اهو 5.2 GB آهي. نئين رليز ۾، سڀني پيش ڪيل اوزار کي اپڊيٽ ڪيو ويو آهي، تقسيم جي جوڙجڪ کي خاص طور تي وڌايو ويو آهي (مجازي مشين جي تصوير جي سائيز کي ٻيڻو ڪيو ويو آهي). تجويز ڪيل افاديت جي فهرست ڀاڱن ۾ ورهايل آهي.

کٽ ۾ هيٺيان شامل آهن инструменты:

• ويب سائيٽ جو تجزيو: ٺگ, mitmproxy, نيٽ ورڪ Miner مفت ايڊيشن, زنده, وسيلو, برپ پراکسي مفت ايڊيشن, خودڪار, pdnstool, تار, tcpextract, tcpflow, passive.py, ڪيپ ٽائيپر, yaraPcap.py;
• خراب فليش وڊيوز جو تجزيو: xxxswf, SWF اوزار, RABCDAsm, extract_swf, ويندڙ;
• جاوا تجزيو: جاوا ڪيش IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, جاواسٽ, CFR;
• جاوا اسڪرپٽ تجزيو: رينو ڊيبگر, Extract Scripts, اسپائڊر مينڪي, V8, جي ايس بيوٽيفير;
• PDF تجزيو: پي ڊي ايف جو تجزيو ڪريو, Pdfobjflow, pdfid, pdf-parser, peepdf, اورنگي, PDF X-RAY Lite, پي ڊي ٽي ٽي, swf_mastah, qpdf, pd تازو;
• Microsoft Office دستاويزن جو تجزيو: آفيس پارسر, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, يونيسيڊ;
• شيل ڪوڊ تجزيو: sctest, unicode2hex-escaped, unicode2raw, dism- هي, shellcode2exe;
• مبهم کي پڙهڻ جي قابل شڪل ۾ آڻڻ (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, بالبزارڊ, فلوس
• تار ڊيٽا ڪڍڻ: strdeobj, پيٽ, پودا;
• فائل وصولي: اڳوڻي, اسڪيلل, bulk_extractor, چوپائي;
• نيٽ ورڪ سرگرمين جي نگراني: وارثر, ngrep, ٽي سي سي ڊمپ, tcpick;
• نيٽ ورڪ خدمتون: FakeDNS, نينڪس, جعلي ميل, ماٺ, INetSim, IRCd کي متاثر ڪريو, OpenSSH, قبول-سڀ-ips؛
• نيٽ ورڪ افاديت: prettyping.sh, set-static-ip, renew-dhcp, نيٽ ڪيٽ, EPIC IRC ڪلائنٽ, ٽنگيون, بس- ميٽا ڊيٽا;
• مالويئر مثالن جي گڏ ڪرڻ سان ڪم ڪرڻ: مالٽريو, ريگپڪر, وانپ, ماسٽيف, کثافت اسڪائوٽ;
• دستخط جي تعريف: يارا جنريٽر, IOC extractor, خودمختياري, ضابطي جو ايڊيٽر, ioc-parser;
• اسڪيننگ: يارا, ڪلام وي, ٽرينڊ, ايڪسفول, وائرس مجموعي- جمع ڪرايو, Disitool;
• هيش سان ڪم ڪرڻ: nsrlookup, خودڪار, Hash سڃاڻپ ڪندڙ, کل ڀوڳ, ssdeep, وائرس جي مجموعي ڳولا, VirusTotalApi;
• لينڪس مالويئر تجزيو: سسڊيگ, نه ويندؤ
• ٽوڙڻ وارا: Vivisect, Udis86, objdump;
• ڊيبگر: ايوان ڊيبگر (EDB), GNU پروجيڪٽ ڊيبگر (GDB);
• ٽريڪنگ سسٽم: ڀا .و, ltrace
• تحقيق ڪريو: ريڊار 2, پائو, بکن, m2elf, ELF پارسر;
• ٽيڪسٽ ڊيٽا سان ڪم ڪرڻ: SciTE, جاني, Vim;
• تصويرن سان ڪم ڪرڻ: في, تصوير ايمڪيڪڪ;
• بائنري فائلن سان ڪم ڪرڻ: wxHexEditor, VBinDiff;
• ميموري ڊمپ جو تجزيو: ٻرندڙ فريم ورڪ, ڳولڻ, AESKeyFinder, RSAKeyFinder, VolDiff, ياد ڪرڻ, linux_mem_diff_tool;
• قابل عمل پي اي فائلن جو تجزيو UPX, بائيٿسٽ, کثافت اسڪائوٽ, PackerID, objdump, Udis86, Vivisect, نشانيون, پيسڪنر, ExeScan, enp, فريم, پيڊمپ, بکن, RATD ڊيڪوڊرز, پائو, readpe.py, PyInstaller Extractor, DC3-MWCP;
• موبائل ڊوائيسز لاء مالويئر تجزيو: اندريون, AndroGuard.

جو ذريعو: opennet.ru