Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО
9 июня 2015 года
Доступен новый выпуск специализированного Linux-дистрибутива REMnux, построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.
Пользовательский интерфейс дистрибутива построен на базе LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа REMnux, сформированного для запуска (Архивная копия от 4 апреля 2020 на Wayback Machine) внутри систем виртуализации, составляет 2.1 Гб.
В комплект входят следующие инструменты (Архивная копия от 26 июля 2020 на Wayback Machine):
- Анализ вредоносных Flash-роликов: swftools, flasm, flare;
- Анализ IRC-ботов: IRC-сервер Inspire IRCd) и IRC-клиент ( Irssi);
- Мониторинг сетевой активности: Wireshark, Honeyd, INetSim, fakedns, скрипты fakesmtp, NetCat;
- Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator (Архивная копия от 7 декабря 2017 на Wayback Machine), отладчик Rhino, две модифицированные версии SpiderMonkey, Windows Script Decoder (Архивная копия от 11 октября 2014 на Wayback Machine), Jsunpack-n;
- Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd и прокси Paros proxy
- Анализ shell-кода: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
- Разбор защищенных исполняемых файлов: upx, packerid (Архивная копия от 28 мая 2016 на Wayback Machine), bytehist, xorsearch, TRiD;
- Анализаторы PDF-файлов: Didier's PDF tools, Origami framework (Архивная копия от 14 мая 2016 на Wayback Machine), Jsunpack-n, pdftk;
- Исследование остаточного содержимого памяти: Volatility Framework (Архивная копия от 15 ноября 2013 на Wayback Machine);
Новый выпуск примечателен переработкой архитектуры дистрибутива, добавлением утилиты update-remnux для обновления состава виртуального окружения, поставкой новых версий программ. В состав включена большая порция новых приложений и библиотек, полезных для анализа вредоносного ПО, в том числе средства для статического анализа исполняемых файлов Windows PE ( pype), офисных файлов (
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.