The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от opennews (ok) on 09-Июн-15, 11:20 
Доступен (https://zeltser.com/remnux-v6-release-for-malware-analysis/) новый выпуск специализированного Linux-дистрибутива REMnux (https://remnux.org/), построенного на пакетной базе Ubuntu и предназначенного для изучения и обратного инжиниринга кода вредоносных программ. В процессе анализа REMnux позволяет обеспечить условия изолированного лабораторного окружения, в котором можно сэмулировать работу определенного атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным. Другой областью применения REMnux является изучение свойств вредоносных вставок на web-сайтах, реализованных на JavaScript, Java или Flash.


Пользовательский интерфейс дистрибутива построен на базе LXDE. В качестве web-браузера поставляется Firefox с дополнениями NoScript, JavaScript Deobfuscator и Firebug. В комплект дистрибутива включена достаточно полная подборка инструментов для анализа вредоносного ПО, утилит для проведения обратного инжиниринга кода, программ для изучения модифицированных злоумышленниками PDF и офисных документов, средств мониторинга активности в системе. Размер загрузочного образа (http://sourceforge.net/projects/remnux/files/version6/) REMnux, сформированного для запуска (https://remnux.org/docs/distro/get/#download-the-remnux-virt...) внутри систем виртуализации, составляет 2.1 Гб.

В комплект входят следующие инструменты (https://remnux.org/docs/distro/tools/):


-  Анализ вредоносных Flash-роликов: swftools (http://www.swftools.org/), flasm (http://www.nowrap.de/flasm.html), flare (http://www.nowrap.de/flare.html);

-  Анализ IRC-ботов: IRC-сервер Inspire IRCd (http://www.inspircd.org/)) и IRC-клиент (Irssi (http://www.irssi.org/));

-  Мониторинг сетевой активности: Wireshark (http://www.wireshark.org/), Honeyd (http://www.honeyd.org/), INetSim (http://www.inetsim.org/), fakedns (http://code.activestate.com/recipes/491264-mini-fake-dns-server/), скрипты fakesmtp, NetCat;


-  Приведение запутанного JavaScript кода в читаемый вид (deobfuscation): JavaScript Deobfuscator (https://addons.mozilla.org/en-US/firefox/addon/10345/), отладчик Rhino (http://www.mozilla.org/rhino/debugger.html), две модифицированные версии SpiderMonkey (http://www.mozilla.org/js/spidermonkey/), Windows Script Decoder (http://www.virtualconspiracy.com/index.php?page=scrdec/intro), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de...);


-  Слежение за вредоносным ПО в лабораторных условиях: http-сервер TinyHTTPd (http://tinyhttpd.sourceforge.net/) и прокси Paros proxy (http://www.parosproxy.org/)
  

-  Анализ shell-кода: gdb (http://www.gnu.org/software/gdb/), objdump (http://en.wikipedia.org/wiki/Objdump), Radare (http://radare.nopcode.org/) (hex editor+disassembler), shellcode2exe (http://zeltser.com/reverse-malware/convert-shellcode.html)


-  Разбор защищенных исполняемых файлов: upx (http://www.upx.org/), packerid (http://handlers.dshield.org/jclausing/packerid.py), bytehist (http://www.cert.at/downloads/software/bytehist_en.html), xorsearch (http://blog.didierstevens.com/programs/xorsearch/), TRiD (http://mark0.net/soft-trid-e.html);
  

-  Анализаторы PDF-файлов (http://zeltser.com/reverse-malware/analyzing-malicious-docum...): Didier's PDF tools (http://blog.didierstevens.com/programs/pdf-tools/), Origami framework (http://seclabs.org/origami/), Jsunpack-n (http://jsunpack.blogspot.com/2009/06/very-cool-javascript-de...), pdftk (http://www.accesspdf.com/pdftk/);


-  Исследование остаточного содержимого памяти: Volatility Framework (https://www.volatilesystems.com/default/volatility);
  


Новый выпуск примечателен переработкой архитектуры дистрибутива, добавлением утилиты update-remnux для обновления состава виртуального окружения, поставкой новых версий программ. В состав включена большая порция новых приложений и библиотек, полезных для анализа вредоносного ПО, в том числе средства для статического анализа исполняемых файлов  Windows PE (pype (https://github.com/crackinglandia/pype32)), офисных файлов (OfficeDissector (https://github.com/grierforensics/officedissector/tree/maste...)) и OLE2 (oletool (https://github.com/libyal/libolecf), oledump (http://blog.didierstevens.com/programs/oledump-py/)), сравнения дампов памяти (VolDiff (https://github.com/aim4r/VolDiff)), анализа содержимого памяти (rekall (http://www.rekall-forensic.com/)), изучения трафика (tcpflow (https://github.com/simsong/tcpflow)), проверки Android-приложений (androguard (https://github.com/androguard/androguard)), декомпиляции Java-файлов (cfr (http://www.benf.org/other/cfr/)).


Добавлена возможность использования контейнеров Docker для дополнительной изоляции инструментов анализа вредоносного ПО. Для пользователей Ubuntu 14.04 подготовлен репозиторий пакетов (https://launchpad.net/~remnux/+archive/ubuntu/stable/+packages), из которого можно установить все специфичные для REMnux инструменты и утилиты, которые отсутствуют в штатных репозиториях Ubuntu.  


URL: https://zeltser.com/remnux-v6-release-for-malware-analysis/
Новость: https://www.opennet.ru/opennews/art.shtml?num=42393

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Нанобот (ok) on 09-Июн-15, 11:20 
судя по списку софта, оно предназначено для реверс-инжениринга любого софта, не только вредоносного. происки маркетолохов? или это разрабы шифруются от закона?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Аноним (??) on 09-Июн-15, 17:54 
Зачем заниматься реверс инженирингом свободного ПО? Его исходный код итак всем известен!

Да, всю бинарную проприетарщину и вирусную надо реверс инженирить, для поиска бекдоров и троянов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от IMHO on 09-Июн-15, 22:06 
> Его исходный код итак всем известен!

exe, может быть собран не по коду, как кажется по исходнику

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Аноним (??) on 10-Июн-15, 11:07 
Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь.

Да, для анализа проприетарщины это необходимо, а свободные программы проще пересобрать.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Andrey Mitrofanov on 10-Июн-15, 12:32 
> Я в своих системах всё сам собираю, чужими бинарями и блобами не пользуюсь.
>а свободные программы проще пересобрать.

Стесняюсь спросить, а исходники вычитываете? Полностью? А bios-ы и процессоры-южмосты как проверяете?   Мне тоже надо!!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

2. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Аноним (??) on 09-Июн-15, 11:43 
>...или это разрабы шифруются от закона?

Как не стыдно ))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Аноним (??) on 09-Июн-15, 19:29 
В данном случае они реально полезное для общества дело делают. Гораздо полезнне, чем законы о защите "интеллектуальной собственности".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от бедный буратино (ok) on 09-Июн-15, 12:35 
А роликов с Лозинским из "От Винта" нарезали? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  –4 +/
Сообщение от Аноним (??) on 09-Июн-15, 12:41 
>анализа вредоносного ПО
>нет IDA pro

ололо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  –1 +/
Сообщение от Аноним (??) on 09-Июн-15, 21:25 
В тексте новости ссылка на upx ведёт не туда. Совсем. Вероятнее всего, должна быть эта:
http://upx.sourceforge.net/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от klalafuda on 09-Июн-15, 21:39 

Я наверное что-то не понимаю, но что мешает вызвать apt-get install <список> и получить желаемое :-? Можете поменять apt-get на то, что больше по душе, это не меняет сути вопроса и не повод к холивару. Собственно некто, кто в состоянии осмысленно использовать указанный инструментарий, уж что-что а собрать себе за час-два рабочую станцию с нужной ф-ю может на раз-два.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск REMnux 6.0, дистрибутива для анализа вредоносного ПО "  +/
Сообщение от Аноним (??) on 10-Июн-15, 17:44 
Вот по теме ссылка

http://reverseengineering.stackexchange.com/questions/283/ar.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру